AENOR

Seguridad en la Gestión de las TICs con normas ISO (Modelo de Gobierno y Gestión de las TICs)

Dirección de Desarrollo AENOR

Carlos Manuel FERNÁNDEZ

Ing. en Informática. CISA, CISM. MBA

Gerente de TICs (AENOR)

Vocal del Colegio Profesional de Ingenieros en Informática de Madrid (CPIICM)

Profesor Máster (UNIR/UPSAM)

Octubre 2013

AENOR

AGENDA

1. QUIÉN ES AENOR

2. MODELO DE GOBIERNO Y GESTION DE AENOR

3. POR QUÉ Y ASPECTOS CLAVES DE SGSI - ENS

4. PROCESO DE CERTIFICACION SGSI

5. BIBLIOGRAFIA

6. ALGUNOS DATOS

7. CONCLUSIONES

AENOR

Asociación privada de Normalización y Certificación

AENOR es el representante de ISO en España y algunos países de Latinoamérica.

Sin ánimo de lucro Constitución: 1986 Real decreto 2200/95 AENOR Corporación AENOR INTERNACIONAL (12 filiales) AENOR México ( +10 años en México DF y

Delegaciones) Multisectorial Normalización Certificación productos, servicios, sistemas de

gestión y personal Servicios de Formación AENOR es miembro de IQNET

AENOR

AENOR

AENOR

ASOCIACIÓN ESPAÑOLA DE NORMALIZACIÓN Y CERTIFICACIÓN Entidad privada, independiente, sin ánimo de lucro

ACTIVIDADES -Elaborar normas técnicas nacionales (UNE) y participar en la elaboración de normas internacionales -Certificar productos, servicios y empresas (sistemas de gestión)

Entidad designada por el Ministerio de Industria y Energía (R.D. 1614/1985), como entidad

para desarrollar las actividades de N+C. Reconocida como Organismo de Normalización y para

actuar como Entidad de Certificación (R.D. 2200/1995)

AENOR

AENOR Datos relevantes

25.300 Certificados ISO 9000 1.200 Certificados OHSAS 18001 + 400 Certificados IS0 27001 + 120 Certificados ISO 20000-1 41 Certificados SPICE nivel 2 3 Certificados SPICE nivel 3

6.220 Certificados ISO 14000 558 Certificados EMAS

Calidad y Seguridad Medioambiente

Internacional Recursos Humanos

Más de 45 Acuerdos internacionales para certificación de sistemas

Más de 40 Países donde AENOR concedido certificados

500 Auditores/25 auditores TICs

Producto

Más de 89.570 Certificados

Normalización

Más de25.000 Normas (UNE y Ratificadas)

Cambio Climático

Más de 200 proyectos MDL, AC y Voluntarios

AENOR

¿Qué es un CPD?:

Es un Conjunto de:

- Personas (Humanware)

- Sistemas o Tecnologías (Base de Datos, software, aplicaciones, Hardware, Telecomunicaciones y sala de servers e infraestructura).

- Procesos

- Infraestructura

Centro de Proceso de Datos o Tecnologías de Información y Comunicaciones

AENOR

B2C B2B BigData

WEB 1.0 WEB 2.0 WEB 3.0?

“New Business and Tools for Business” To CEOs & CIOs

Portal Corporativo Redes Sociales Wikis BYOD

e-Branding e-Mailing e-Learning

GIS RFID

CRM ERP SCM

MOBILITY Pdas Smartphone Blakberry / Iphone / HTC

BUSINESS PLAN = PLAN DE TICS (Integración y Alineamiento)

FACTORIA DE TICs (Nuevos Servicios y Operaciones de TICs)

CLOUD COMPUTING SaaS (Software As A Service)

IaaS (Infraestructure As A Service)

PaaS (Platform As A Service)

LAS TICs COMO APOYO A LA GESTION E INNOVACION EN LAS EMPRESAS

7

AENOR

• 71% de los ejecutivos están de acuerdo que es una palanca las TI para transformar el negocio

• 62% creen que las TICs deben focalizarse en la innovación de los procesos de negocio

• 66% están de acuerdo que las TICs han implicado una

gestión de riesgos más compleja en las corporaciones.

» Fuente: Ernst&Young study” What’ next for the CIO? (Enero 2011).

Una solución al gobierno y la gestión de las TICs es el modelo de AENOR de ISO en las TICs donde se realiza el gobierno y la gestión de las TICs alineadas con los objetivos de negocio.

Cómo perciben los ejecutivos los Sistemas de Información

AENOR

Modelo ISO para las TICs y otros entornos

SGCN ISO 22301

Sistema de Gestión Continuidad del Negocio.

Nivel de Madurez. Ciclo de Vida de SW

SPICE ISO 15504 Modelo de Evaluación, Mejora y Madurez de Software

SGAS - SAM ISO 19770-1

Sistema de Gestión Activos Software (Licencias de Software)

SGSI ISO 27001

Sistema de Gestión Seguridad de la Información

ISO 27002 Guía de Controles

ISO 12207 Ciclo de Vida de Desarrollo de

Software

SGSTI ISO 20000-1

Sistema de Gestión Servicios TI

ISO 20000-2 Guía de Buenas Prácticas

Desarrollo de Software Procesos / Servicios

Adicionalmente:

• BPCE – Buenas Práctica Comercio Electrónico

Copyright AENOR. Diciembre 2006

Objetivo: Gobierno y Gestión de las TICs con estándares ISO.

Gobierno de TI ISO / IEC 38500

IT Governance

ISO 25000 Calidad del Producto Software

Funciones del director de TI

Calidad y seguridad en servicios de TI (el día a día)

Creación de Software

La empresa y su continuidad según procesos críticos

Nota: tiene PDCA / Control interno Tecnologías de Información

Datacenter Green. Sostenibilidad Energética en CPDs- SE CPD-

AENOR

Factores que influyen en la Seguridad de los SI

• Actualmente: Nueva York y en los 80´s :

Mainframe – Ciudad de Ávila. Magerit

• Amplio uso de la Tecnología.

• Interconectividad de los sistemas. Sistemas abiertos y distribuidos.

• Cambios muy rápidos en las TICs.

• Ataques a Organizaciones. Tema atractivo?.

• Factores externos: Legislación .etc...

(Information Security Governance. 2001. IT Governance Institute).

10

AENOR

Informe de Riesgos en las TICs

• Uno de cada 5 empleados deja a su familia y amigos usar sus portátiles corporativos para acceder a Internet. (21%).

• Uno de cada diez confiesa que baja algún tipo de contenido

que no debiera mientras está en el trabajo. • Dos tercios admiten tener conocimientos muy limitados en

materia de seguridad.

• Un 5% dice que tienen acceso a areas de la red corporativa que no deberían tener.

Fuente: McAffee.

11

AENOR

Descripción genérica de un proceso

PROCESO -Tareas / Actividades - Procedimientos -Instrucciones Técnicas - Registros (evidencias)

Entradas Salidas

Indicadores / métricas

Relaciones con otros procesos

Un proceso es un conjunto estructurado de actividades diseñado para cumplir un objetivo concreto. Un proceso tiene entradas y salidas. Las organizaciones que persiguen la eficacia en su funcionamiento tienen que identificar y gestionar numerosos procesos que están relacionados entre sí, ya que es frecuente que la salida de un proceso pase directamente a ser la entrada del siguiente proceso.

Nota: es conveniente la utilización de workflows en el proceso

AENOR

A.5 Política de Seguridad de Información A.6 Estructura organizativa de la SI A.7 Clasificación y control de activos A.8 Seguridad ligada al personal A.9 Seguridad física y del entorno

A.10 Gestión de comunicaciones y operaciones A.11 Control de accesos A.12 Desarrollo y mantenimiento de sistemas A.13 Gestión de Incidentes de Seguridad A.14 Gestión Continuidad de Negocio A15 Conformidad y Cumplimiento legislación

ISO IEC 27002 / Anexo A. ISO IEC 27001

“P”

“D”

Definir política de seguridad Establecer alcance del al SGSI Realizar análisis de riesgos Seleccionar los controles

Implantar plan de gestión de riesgos Implantar el SGSI Implantar los controles

Revisar internamente el SGSI Realizar auditorias internas del SGSI Indicadores y Métricas Revisión por Dirección

Adoptar las acciones correctivas Adoptar las acciones preventivas

SGSI - UNE ISO 27001. MODELO PDCA

“C”

“A”

AENOR

ISO 27001: SG de la Seguridad de la Información

Solución a los Riesgos Empresariales, Decisión estratégica de la organización

• Modelo para la definición, implementación, operación, revisión, mantenimiento y mejora del SG de la SI.

Reordenar la Seguridad de los SI. Sigue pautas de ISO 9001 e ISO 14001.

Para todo tipo de organizaciones.

En el marco de los riesgos empresariales generales.

Fin, seleccionar controles de seguridad, adecuados y proporcionados.

Enfoque por procesos, y para la mejora contínua.

AENOR

La gestión eficaz de la Seguridad de la Información permite a la organización preservarlas.

Cumplimiento normativo-legal en Europa (Esquema Nacional de Seguridad, LOPD, LPI, LSSI, etc.)

DISPONIBILIDAD CONFIDENCIALIDAD

INTEGRIDAD

Asegurar que la información es accesible solo para aquellos autorizados a tener acceso.

Garantizar la exactitud y completitud de la información y los métodos de su proceso

Asegurar que los usuarios autorizados tienen acceso cuando lo requieran a la información y sus activos asociados.

Propiedades principales asociadas a la Información

AENOR

Seguridad de la Información

Para conducir y operar exitosamente una organización se requiere, que se:

salvaguarden los activos,

mantenga la integridad de los datos e infraestructura,

suministre información relevante y fiable,

trabaje de forma eficiente,

tengan dispuestos controles internos que aporten garantía razonable de que los objetivos de negocio se alcanzan. PDCA - CITI

AENOR

Riesgos en los sistemas de información

Riesgo es una función de:

La probabilidad de que una amenaza explote una vulnerabilidad El impacto es el resultante de dicho evento en la organización

Riesgos y Amenazas:

AENOR

Activos de SI

Sistemas de información (Base de Datos)

Software (Aplicativos)

Hardware

Telecomunicaciones

Personas

Análisis y Gestión de riesgos

R=F(X1,X2,X3,Xn)

Integridad (X1)

Confidencialidad (X2)

Disponibilidad (X3)

Amenazas (X4)

Vulnerabilidades (X5)

Impacto Económico (X6)

XN

Riesgo Residual

Activo1-------R’1

Activo2-------R’2

Aplicando

ISO/IEC 27002

(Selección de

Controles)

Procesos de Negocio / Servicios de TI

Análisis y Gestión de riesgos – Implantación de controles

AENOR

Esquema Nacional de Seguridad. Aspectos clave

1. ISO 27001 – PDCA. Implícito 2. Categorización de los sistemas.

• 3 categorías (Alta, media, baja) en cada una de las dimensiones de seguridad (DAICT- Disponibilidad, Autenticidad, Integridad, Confidencialidad, Trazabilidad).

• En función de la gravedad del impacto que tendría un incidente que afectará a la seguridad de la información o a los servicios

3. Metodología MAGERIT-ENISA. (Análisis de riesgos) 4. CCN-CERT prestará servicios a AAPP (CCN-Centro Criptográfico

Nacional-Computer Emergency Reaction Team)

• Soporte y coordinación para resolver incidentes • Formación en el campo de la seguridad de las TICs • Información sobre vulnerabilidades, alertas y avisos de

nuevas amenazas, etc.

AENOR

Esquema Nacional de Seguridad. Aspectos clave

La disposición transitoria del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, publicado en el BOE el 29 de enero de 2010, articula el siguiente mecanismo escalonado para la adecuación a lo previsto en el Esquema Nacional de Seguridad: «los sistemas de las administraciones deberán estar adecuados a este Esquema en el plazo de doce meses, aunque si hubiese circunstancias que impidan la plena aplicación, se dispondrá de un plan de adecuación que marque los plazos de ejecución, en ningún caso superiores a 48 meses desde la entrada en vigor».

Ya se ha cumplido el primer plazo de 12 meses y el segundo plazo de 48 meses se cumplirá el próximo 29 de enero de 2014.

AENOR

SGSI - ISO/IEC 27002: Objetivos y Controles

AENOR

Procedimientos

Registros

Manual de seguridad

Política(s), alcance evaluación de riesgo,

declaración de aplicabilidad

Describe procesos - quién, qué, cuándo, dónde (4.1- 4.10)

Describe las tareas y las actividades específicas y cómo se realizan

Proporciona las pruebas objetivas del cumplimiento con las exigencias del SGSI (cláusula 4.3.2-4.3.3)

Nivel 2

Nivel 3

Nivel 4

Nivel 1

Instrucciones de trabajo, listas de comprobación, formularios, etc.

La documentación del SGSI

AENOR

Para los Sistemas de Información:

Sistematizar las actividades de SI

Ahorro de recursos en las actividades de SI, mejorando la motivación e

implicación de los empleados

Analizar riesgos: identificar amenazas, vulnerabilidades e impactos en la

actividad empresarial

Establecer objetivos y metas que permitan aumentar el nivel de confianza en la seguridad

Planificar, organizar y estructurar los recursos asignados a seguridad de la

información

Identificar y clasificar los activos de información

Ventajas de certificar la Seguridad de la Información

AENOR

Seleccionar controles y dispositivos físicos y lógicos adecuados a la

estructura de la organización

Asegurar el nivel necesario de disponibilidad, integridad, y confidencialidad

de la información

Establecer planes para adecuada gestión de la continuidad del negocio

Establecer procesos y actividades de revisión, mejora continua y auditoría

de la gestión y tratamiento de la información

Ventajas de certificar la Seguridad de la Información

AENOR

• Para el Negocio:

Integrar la gestión de la seguridad de la información con otras modalidades de gestión empresarial

Mejorar la imagen, confianza y competitividad empresarial. Certificación y reconocimiento por terceros.

Comprobar su compromiso con el cumplimiento de la legislación: protección de datos de carácter personal, servicios sociedad de información, comercio electrónico, propiedad intelectual, etc...

Dar satisfacción a accionistas y demostrar el valor añadido de las actividades de

seguridad de la información en la empresa.

APORTA CONFIANZA A LOS SISTEMAS DE INFORMACIÓN

Ventajas de certificar la Seguridad de la Información

AENOR

Proceso de Certificación según ISO 17021

FASE 2: REALIZACIÓN DE

LA AUDITORÍA (presencial)

ELABORACIÓN DEL PLAN DE ACCIONES CORRECTIVAS - PAC

FASE 1: PLANIFICACIÓN DE LA AUDITORÍA Y ESTUDIO DE DOCUMENTACIÓN (presencial)

CUESTIONARIO PRELIMINAR Y SOLICITUD

AUDITORÍAS DE RENOVACIÓN

(AL TERCER AÑO)

REGISTRAR LOS RESULTADOS

CONCESIÓN DEL CERTIFICADO

AUDITORÍAS DE SEGUIMIENTO

(AL PRIMER AÑO)

AUDITORÍAS DE SEGUIMIENTO

(AL SEGUNDO AÑO)

AENOR

Auditoría de Certificación (ISO 17021)

Aud

itoría

s de

man

teni

mie

nto

de la

ce

rtifi

caci

ón

Informe de Evaluación y

Decisión

Informe fase 1

Hoja de datos Alcance : “… de acuerdo

al XXX vigente”

Informe final

AENOR

Evaluación y Decisión

Manteniendo una estructura que permita independencia e imparcialidad, en la toma de decisiones para la concesión o no de una certificación se establecen tres niveles:

Proceso de Certificación en ISO 27001 - SGSI

Auditor Jefe

Gerente TICs - Comité

TRE (Técnico Responsable Expediente) Revisión de Propuesta (Concesión / no concesión)

Decisión (Concesión / no concesión)

Propuesta (Concesión / no concesión)

AENOR

Acreditación de AENOR - SGSI

AENOR

Miembros IQNET

AENOR

AENOR e ISO 27001 en la actualidad

Con más de 400 certificaciones emitidas en SGSI-ISO 27001, destacar: Desde AAPP, Colegios Profesionales, Organizaciones / empresas privadas, bufetes de abogados, etc.

AENOR

ISO 27001 SGSI

AENOR FORMACION Titulaciones Propias – Ver otras slides

Salidas profesionales desde el modelo de AENOR

ISO 20000 SGSTI

ISO 22301 SGCN

SPICE ISO 15504

Madurez en ciclo de vida de software

Responsable

Consultor

Auditor interno

Auditor externo Ídem Ídem Ídem

Otros Sistemas en Desarrollo con su titulación

ISO 38500 Gobierno de TI

SAM – ISO 19770 SGAS

EA 0044:2013 SE CPD

AENOR

• Guía de aplicación de la Norma . UNE –ISO / IEC 27001 para PYMES. AENOR. Ediciones. 2012.

• MAGERIT: Metodología de análisis y gestión de riesgos de los sistemas de información de las

Administraciones Públicas. www.csi.map.es/csi/pg5m20.htm

• Seguridad de las Tecnologías de la Información. AENOR. 2003. Varios Autores: Eduardo Fdez. Medina, Roberto Moya, Mario Piattini, etc..

www.aenor.es

• Seguridad Informática para empresas y particulares. 2004. Mc Graw Hill y Panda. Gonzalo Alvárez Marañón y Pedro Pablo Pérez. Revisión: Pedro Bustamante.

• NIST Special Publication SP 800-12: An Introduction to Computer Security.The NIST Handbook. National Institute of Standards and Technology.

– http://csrc.nist.gov/publications/nistpubs/800-12/

• Information Security Governance: Guidance for Boards of Directors and Executive Management. IT Governance Institute.

• Control Objectives for Information and Related Technology (Cobit) . www.isaca.org/cobit.htm

• Implementation guide ISO 27001/ISO 17799. Van Haren

Bibliografía específica Seguridad de la Información

AENOR

Futura ISO 27001:2013

AENOR

Bibliografía ISO 20000-1 / ISO 27001

AENOR

Bibliografía

AENOR

Aspectos a considerar: • El control interno de Tecnologías de Información no es

una moda. • El Sistema de Gestión en las TICs ayuda a gestionar el

control interno de Tecnologías de la Información alineado e integrado con los objetivos del negocio y el cumplimiento normativo legal y sectorial.

• ISO incorpora PDCA-motor y el conocimiento-control

interno de TICs, cumpliendo objetivos de negocio.

Futuro y conclusiones en Sistemas de Gestión en las TICs.

AENOR

Sistemas de Gestión en las TICs. Una historia reciente

“La simplicidad es la mayor de las sofisticaciones” Leonardo Da Vinci

AENOR

“PDCA –Ciclo de mejora Continua (Deming) Sistema de Gestión Integrado y alineado con los Objetivos del Negocio.

En conclusión: ¿Dormirá tranquilo el/la CIO?

Muchas Gracias por su atención!

Un nuevo reto en las TICs

Carlos Manuel FERNÁNDEZ

Ing. en Informática. CISA, CISM. MBA

Gerente de TICs (AENOR)

Vocal del Colegio Profesional de Ingenieros en Informática de Madrid (CPIICM)

Profesor Máster (UNIR/UPSAM)

Octubre 2013