“Normativas y Procesos”
description
Transcript of “Normativas y Procesos”
Copyright © 2012 BSI. All rights reserved.
Normativas & Procesos
Gestión de la Seguridad en TIC
Gestión de la Seguridad en TICNoviembre 2013
Eugenio Torres GutiérrezBest Practices Advisor
Copyright © 2012 BSI. All rights reserved. 2Noviembre 2013 Gestión de la Seguridad en TIC
Controlando la Seguridad de la Información
¿El control será por software o hardware?
¿Qué tan robusto debe ser el control?
¿Cuáles son sus características mínimas?
¿Qué reglas serán definidas en el control?
¿Quién las define?
¿Quién y cómo las implementa?
¿Quién y cómo las prueba?
¿Con que periodicidad se probarán y ajustarán?
¿Cómo validar la efectividad diaria del control?
¿Quién es el responsable del control?
¿Cómo identificar una falla en el control?
¿Cuál será el crecimiento orgánico del control?
¿Qué nivel de soporte se debe contratar?
¿Qué actividades de gestión diarias se requieren?
Copyright © 2012 BSI. All rights reserved. 3Noviembre 2013 Gestión de la Seguridad en TIC
¿Qué es un Sistema de Gestión?
Conjunto de elementos mutuamenterelacionados o que interactúan paraestablecer la política y lograr losobjetivos
ISO 9000:2005Fundamentos y Vocabulario
Copyright © 2012 BSI. All rights reserved. 4Noviembre 2013 Gestión de la Seguridad en TIC
¿Cómo funciona un Sistema de Gestión?
El Sistema de Gestión permite demanera sistemática establecer eldestino, definir la ruta y controlar eltrayecto para lograr los tiempos ycumplir con los límites de velocidad.
Copyright © 2012 BSI. All rights reserved. 5
Encuesta 2012. International Organization for Standardization
Menos de 10
Entre 10 y 100
Entre 100 y 1,000
Entre 1,000 y 10,000
Más de 10,000
Noviembre 2013 Gestión de la Seguridad en TIC
Distribución Mundial de Certificados ISO/IEC 27001
75 organizaciones en México
Copyright © 2012 BSI. All rights reserved. 6Noviembre 2013 Gestión de la Seguridad en TIC
Evolución de las Certificaciones ISO/IEC 27001
9 13
31
4956
70 75
2006 2007 2008 2009 2010 2011 2012
Encuesta 2012. International Organization for Standardization
Organizacionesen México
Copyright © 2012 BSI. All rights reserved. 7Noviembre 2013 Gestión de la Seguridad en TIC
Resultados de la aplicación del estándar
Proporciona mayor control sobre la operación, incrementando la eficiencia y generando oportunidades de mejora.
Transforma los departamentos de TI de reaccionar a los requisitos del negocio a convertirse en una parte integral y proactiva del mismo.
Asegura que los servicios de TI se alineen y satisfagan las necesidades del negocio.
Mejora la confiabilidad y disponibilidad de los sistemas al realizar una mejor planeación de la demanda en la provisión del servicio.
Copyright © 2012 BSI. All rights reserved. 8
Si bien ISO define a los Servicios como un tipo de Producto, unacomprensión más simple de lo que es un servicio se puede explicar como laexperiencia generada por un conjunto de productos que un proveedor ofrece.
Gestión de la Seguridad en TICNoviembre 2013
La evaluación de los servicios
Para evaluar la experiencia de un comensal queasiste a un restaurante, algunos de los elementosque tomará en cuenta son:
el sabor de los alimentos, el ambiente del establecimiento, la amabilidad del personal, la limpieza del local y servicios, el tipo de clientela, y el precio
entre otros, estableciendo criterios y umbrales acumplir por cada elemento.
Copyright © 2012 BSI. All rights reserved. 9
Hoy en día, la tecnología a transformado la manera en la cual se operan ycontrolan las organizaciones, simplificando y acelerando el procesamiento deinformación y la compartición de la misma al interior y fuera de la organización.
Servicios de TI
Los servicios de TI dan soporte a las funciones de negocio de lasorganizaciones mediante la automatización de tareas y la simplificación de lasactividades de gestión. Ejemplos de servicios de TI son:
el correo electrónico y la mensajería en línea,
el control de inventarios y, la recompra de insumos y materias primas,
el análisis de información para la toma de decisiones,
entre otros.
la interrupción o degradación de estos servicios impactará directamente laoperación de la organización.
Gestión de la Seguridad en TICNoviembre 2013
Los Servicios y las Tecnologías de la Información (TI)
Copyright © 2012 BSI. All rights reserved. 10
La gestión de servicios pretende establecer una estructura que describa comodefinir los criterios, objetivos y márgenes de desempeño que deberán cumplirsepara garantizar que los servicios soporten a las funciones de negocio.
Gestión de la Seguridad en TICNoviembre 2013
La Gestión de Servicios
El negocio determina la funcionalidad y
desempeño que los servicios deben cumplir
El proveedor del servicio identifica los riesgos que pueden
provocar un incumplimiento
El proveedor del servicio establece la estructura de gestión
que prevenga o reaccione ante un riesgo o incidente
Copyright © 2012 BSI. All rights reserved. 11
Para identificar los elementos de gestión requeridos para el servicio, debemosresponder a la siguiente pregunta:
¿Cuáles son las posibles causas de un incumplimientoen la funcionalidad o desempeño del servicio?
Las posibles respuestas son:
Una modificación a la estructura operativa del servicio que afecte la funcionalidad.
Una falta de recursos que afecte el desempeño del servicio.
Una nueva funcionalidad que no cumple los requerimientos solicitados.
Una falta de recursos para sostener el costo de los servicios.
Un incumplimiento de los compromisos de un proveedor.
Una actualización mal planeada que afecta el desempeño del servicio.
Una falla en la infraestructura que interrumpe la funcionalidad del servicio.
Una falla funcional debido a una falta de mecanismos de respuesta a eventos.
Gestión de la Seguridad en TICNoviembre 2013
La Gestión de Servicios
Copyright © 2012 BSI. All rights reserved. 12
Causas de Incumplimiento
Una modificación a la estructura operativa del servicio que afecte la funcionalidad.
Una falta de recursos que afecte el desempeño del servicio.
Una nueva funcionalidad que no cumple los requerimientos solicitados.
Una falta de recursos para sostener el costo de los servicios.
Un incumplimiento de los compromisos de un proveedor.
Una actualización mal planeada que afecta el desempeño del servicio.
Una falla en la infraestructura que interrumpe la funcionalidad del servicio.
Una falla funcional debido a una falta de mecanismos de respuesta a eventos.
…
Acciones de Control
Gestión de Cambios
Gestión de la Capacidad
Gestión de Modificaciones a los Servicios
Gestión de Presupuestos
Gestión de Proveedores
Gestión de Liberaciones
Gestión de la Continuidad de Negocio
Gestión de Incidentes
…
Noviembre 2013 Gestión de la Seguridad en TIC
La Gestión de Servicios
Copyright © 2012 BSI. All rights reserved. 13Noviembre 2013 Gestión de la Seguridad en TIC
¿Cómo se relacionan los Sistemas de Gestión?
i1 i2 i3 i4 i5
A B C D E SalidaEntrada
ISO 9001
ISO 27001
ISO 20000-1
D
ISO22301
Los Sistemas de Gestión son la estructura operativa que una organizaciónestablece para controlar sus procesos de negocio con base a sus políticas ybuscando que dichos controles permitan alcanzar los objetivos establecidos.
Copyright © 2012 BSI. All rights reserved. 14Noviembre 2013 Gestión de la Seguridad en TIC
Gestión de la Seguridad de la Información
Amenaza
Evento
Daño
Recuperación
PrevenciónReducción
Detección
Represión
Recuperación
Evaluación
Gestión delIncidente
Continuidad
Los elementos básicos queconforman la Seguridad de laInformación son:
Las acciones necesarias para reducir el riesgo antes de un evento indeseado.
Las acciones que indiquen como responder durante el evento.
Las acciones que describan como recuperarse después de que el evento se ha presentado.
Copyright © 2012 BSI. All rights reserved. 15
Gestión de la Seguridad de la Información
Gestión de la Seguridad en TIC
Políticas de seguridad
Organización de la seguridad de la
información
Gestión de activos
Control de acceso
Seguridad de comunicaciones
Seguridad física y del medio ambiente
Seguridad de Operaciones
Criptografía
Relaciones con proveedores
Desarrollo, mantenimiento y
adquisición sistemas
Continuidaddel negocio
Getión de incidentes de seguridad de
información
Seguridad de Recursos Humanos
Cumplimiento
Ámbitos de Control de la
Seguridad de la Información
Noviembre 2013
Copyright © 2012 BSI. All rights reserved. 16Noviembre 2013 Gestión de la Seguridad en TIC
Gestión de Servicios
Diseño y transición de servicios nuevos y modificados
Responsabilidades de la Dirección
Gobierno de procesos operados por tercerosEstablecimiento y mejora del SGS
Gestión de documentos
Gestión de recursos
Sistema de Gestión de Servicio (SGS)
Procesos para la provisión del servicio
Gestión de Nivelesde Servicio
Reportes del servicio
Gestión de la continuidad ydisponibilidad del servicio
Presupuesto y gestiónpara los servicios
Gestión de la capacidad
Gestión de la seguridadde la información
Gestión de relacionesde negocio
Procesos de relacionamiento
Gestión de proveedores
Gestión de incidentes y solicitudesde servicio
Procesos de resolución
Gestión de problemas
Gestión de configuraciones
Procesos de control
Gestión de cambios
Gestión de liberaciones
Copyright © 2012 BSI. All rights reserved. 17Gestión de la Seguridad en TIC
Gestión de la Continuidad de Negocio
Respuesta al Incidente(Minutos a horas) Asistir a las víctimas Contener los daños Evaluar los daños Invocar el BCP
Continuidad de Negocio(Minutos a días) Contactar a los involucrados Recuperar los procesos críticos Recuperar el trabajo perdido
Recuperación(Semanas a Meses) Reparar los daños Reubicar a las instalaciones permanentes Recuperar los costos de las aseguradoras
Tiempo Cero
Incidente Retorno a la normalidadlo más rápido posible
Noviembre 2013
Copyright © 2012 BSI. All rights reserved. 18
La estructura de los estándares
4 Contexto de
la
organización
Entendimiento
de la
organización y
su contexto
Expectativas de
las partes
interesadas
Alcance de
SGSI
SGSI
5 Liderazgo
Liderazgo y
compromiso
Políticas
Organización
de roles,
responsabilidad
es y
autoridades
6 Planeación 7 Soporte
Recursos
Competencias
Conciencia
Comunicación
8 Operación
9 Evaluación
del
desempeño
Monitoreo,
medición,
análisis y
evaluación
Auditorías
internas
Revisión de la
Alta Dirección
10 Mejora
No-
conformidades
y acciones
correctivas
Mejora continua
PLANEAR HACER VERIFICAR ACTUAR
Información
Documentada
Las acciones
para abordar
los riesgos y
oportunidades
Objetivos y
planes IS
Planeación y
control
operacional
Evaluación de
riesgos de la
seguridad de la
información
Manejo de
reisgos de la
seguridad de la
información
Noviembre 2013 Gestión de la Seguridad en TIC
Copyright © 2012 BSI. All rights reserved. 19Noviembre 2013 Gestión de la Seguridad en TIC
Proceso de Certificación
Auditoría de Registro o
Certificación
Etapa 1. Auditoría de Intención o Documental
Se verifica que la intención y los objetivos del sistema de gestión estén considerados en la documentación.
Se verifica que la documentación cumpla con todos los criterios del estándar.
Etapa 2. Auditoría de Implementación y Eficacia
Se verifica que el sistema de gestión implementado cumpla con las especificaciones establecidas en la documentación.
Se verifica que el sistema de gestión logre los objetivos establecidos.
Copyright © 2012 BSI. All rights reserved. 20Noviembre 2013 Gestión de la Seguridad en TIC
Sesión de preguntas
Copyright © 2012 BSI. All rights reserved. 21
Contáctanos
BSI Group México
Tel. 01 800 044 0274+52 (55) 5241 1370
Noviembre 2013 Gestión de la Seguridad en TIC
Noviembre 2013 Gestión de la Seguridad en TIC