Implantación de un Sistema de Gestión de Seguridad de la Información ISO/IEC 27001:2005

Transcripción

1 Implantación de un Sistema de Gestión de Seguridad de la Información ISO/IEC 27001:2005

2 INDICE 1. Audisec 2. Presentación del proyecto 3. Problemática y contexto 4. Situación actual 5. Beneficios 6. Desarrollo del proyecto 7. Retorno de inversión asegurado.

3 AUDISEC: QUIÉNES SOMOS AUDISEC Seguridad de la Información, una empresa dedicada a aportar seguridad a sus clientes en el tratamiento de su activo más importante, sus datos, su información. Experiencia en Consultoría, Implantación y auditoría de: Sistemas de Gestión de Seguridad de la Información (SGSI) Norma ISO (LA MITAD DE LA EMPRESAS CERTIFICADAS EN ESPAÑA) Sistemas de Gestión de Servicios TI Norma ISO (MÁS DE LA MITAD DE LA EMPRESAS CERTIFICADAS EN ESPAÑA) Planes de continuidad de Negocio ISO Sistemas de gestión del riesgo, ISO Sistemas de gestión para Protección de Infraestructuras Críticas Calidad de Software, CMMI, SPICE Sistemas de protección de datos de carácter personal (LOPD) Esquema Nacional de Seguridad (ENS) Desarrollo de proyectos de I + D + i Desarrollo de productos para esos servicios: GlobalSUITE

4 Introducción Equipo técnico con alta cualificación y experiencia: Ingenieros Abogados Auditores CISA, CISM Lead Auditor ISO 27001, ISO Certificado BCI en continuidad de negocio BS25999 Primera empresa en España en obtener: La certificación ISO La certificación ISO La certificación BS de continuidad de negocio Hemos empezado la implantación de SPICE.

5 GlobalSUITE : Solución integrada de Gestión SOLUCIONES DE ÉXITO EN LA IMPLANTACIÓN: GLOBAL SUITE GlobalSUITE Única herramienta que existe actualmente en el mercado mundial que gestiona ÍNTEGRAMENTE la implantación y mantenimiento de cualquier tipo de sistema de gestión GlobalSUITE permite gestionar de manera integrada o bien de manera separada cualquier tipo de sistema de gestión

6 Presentación del Proyecto Continuidad de Negocio Seguridad De La Información Gestión De Servicios TI

7 Presentación del Proyecto ISO Todo tipo de organizaciones, siendo de especial interés para aquellas en las que su información sea un activo vital para su negocio, con lo que tendrán que protegerlo. Todo tipo de sectores de actividad. En cualquier país. No sólo seguridad informática -> seguridad de la información. Esquema nacional de seguridad, con muchas similitudes con ISO

8 Problemática Implantar un sistema de gestión basado en ISO en una PYME con recursos y presupuesto limitados. Hay que buscar alcances que sean ambiciosos pero que no deriven en un proyecto inmanejable. Hay que marcarse un plazo realista. Hay que buscar herramientas que automaticen el proceso, tanto de implantación como de mantenimiento posterior. La dirección debe estar comprometida con el proyecto, sobre todo a la hora de asignar recursos.

9 Contexto 27001, e ISO Semejanzas entre ISO 27001, ISO 20000, ISO 22301, ISO 9001, ISO 14001, etc. Implantan un sistema de gestión, con lo que ello implica: Control documental Control de registros. Alcance. Objetivos. Auditoría interna. Revisión por dirección Mejora continua Etc

10 Motivación de Proyecto Uno de los principales motivos para abordar el proyecto fue aumentar la calidad y seguridad de los servicios prestados y aportar mayor confianza a los clientes. Para ello tanto ISO como ISO y BS encajaban a la perfección. Otros motivos: Posicionamiento estratégico. Mejora de la imagen.

11 ISO en ESPAÑA SITUACIÓN ACTUAL Contextualicemos Punteros en certificaciones ISO a nivel mundial. Una Ley de protección de datos que incluso es copiada por otros países. Un ENS obligatorio para las AAPP que presten servicios de e-administración.

12 Son una Necesidad Comienza a ser una necesidad Al igual que pasó con normas como ISO 9001 o ISO 14000, ISO 27001, ISO y BS se están convirtiendo en una necesidad para aquellas organizaciones que quieren desarrollar su actividad dentro del panorama empresarial actual. Una consecuencia de la implantación es el cumplimiento de la legislación vigente: Protección de datos de carácter personal, gestión de licencias de Software, comercio electrónico, etc. El mercado exige demostrar que nuestros servicios son seguros, eficaces y eficientes. Adicionalmente a la Administración Pública, hay empresas que ya lo exigen como condición para trabajar con ellas o llegar a acuerdos de partner.

13 Beneficios desde tres puntos de vista ANTE EL MERCADO ANTE LOS CLIENTES GESTIÓN ORGANIZACIÓN Afianza la posición de su organización Nuevos clientes Factor competitivo Imagen de marca Favorece el desarrollo Puntúa en pliegos de las AAPP. Mayor confianza del cliente Aumenta satisfacción Mejor imagen y comunicación Confidencialidad, Integridad y Disponibilidad de la información Gestión de la continuidad de negocio Seguridad Servicios TI orientados hacia el negocio. Eficiencia y productividad Conocimiento y depuración procesos internos Mejor gestión de recursos y costes Mejora continua Continuidad Negocio

14 Dinámica de Trabajo Audisec planteó el proyecto con reuniones internas periódicas en las que se fueron analizando e implantando los diferentes requisitos de las normas. Reunión Interna Adaptación de requisitos Día a día del proyecto Hecho? Si Cierre de Siguiente Reunión No Trabajos derivados Gestión interna del proyecto

15 Cronología del Proyecto ISO 27001: año 2008 ISO 20000: año BS 25999: año 2010.

16 Programación del Proyecto Audisec planteó el proyecto durante un periodo de 6-9 meses de duración desde el inicio del mismo para la implantación de ISO No hubo dedicación completa por parte del equipo de trabajo, ya que fue realizado por consultores de Audisec que también estaban realizando proyectos en clientes. Una vez certificados en ISO 27001, se inició un proyecto similar para implantar de manera paralela ISO y BS

17 Equipo de trabajo del Proyecto ISO personas a tiempo parcial durante 6 meses para ISO 27001: Los tres con certificación CISA y CISM. Un perfil 100% de consultoría. Un perfil más técnico, perfil de sistemas. Un perfil con conocimientos de desarrollo software.

18 ISO/IEC 27001:2005 La norma ISO 27001:2005 es un estándar internacional publicado en octubre de 2005 dedicado a la organización de la seguridad de la información. En noviembre de 2007 fue traducida y se ha convertido en norma española: UNE ISO/IEC 27001:2005

19 ISO/IEC 27001:2005 ISO define un sistema de gestión que sigue un ciclo de mejora continua según el ciclo de Deming: PDCA. Anexo A con 133 controles divididos en 11 dominios. Certificable. ISO 27002: buenas prácticas en la implantación de 11 dominios de controles de seguridad que comprenden tanto medidas técnicas como organizativas, asegurando así la mejora en la gestión de los seguridad de la información. PDCA SGSI Controles

20 Desarrollo del Proyecto Planificación del proyecto. Grupo de Trabajo. Alcance. Políticas. Planes. Análisis de Riesgos. Implementación de controles. Formación y concienciación. PLAN DO ACT CHECK Gestión No Conformidades, acciones preventivas y correctivas. Implantación de Mejoras. Revisión del SG. Cuadro de mando. Auditoría interna. Validación del SG. Mediciones. Revisión por Dirección.

21 Fase Plan Inicio del Proyecto En la Fase Inicial, de planificación, se establecen todos los mecanismos necesarios para la consecución con éxito del proyecto. Cronograma. Equipo de proyecto. Definición formal del Alcance. Definición formal del comité. Definición de políticas y planes. Análisis Diferencial. Análisis de Riesgos.

22 Fase Plan Inicio del Proyecto Análisis Diferencial Auditoría inicial para comprobar el grado de cumplimiento de los requisitos del estándar y marca el camino óptimo a seguir. Elaboración de Informe de Auditoría Conocimiento de los requisitos

23 Fase Do Fase de Implementación En la Fase DO se realiza la implantación real de todas las actuaciones definidas en la fase anterior: Implantación de procesos de gestión. Implantación de medidas de seguridad. Formación a los responsables del proyecto. Formación y concienciación al resto de empleados que interactúen con el sistema.

24 Fase Do Fase de Implementación Medidas de seguridad a implantar con ISO 27001

25 Fase Check Fase de Revisión y Validación En la Fase CHECK se articulan procedimientos y medidas para revisar de forma continua el sistema e identificar oportunidades de mejora: Cuadro de mando con indicadores y métricas. Auditoría Interna. Procedimientos de MEJORA CONTINUA. Revisión del Sistema por parte de Dirección.

26 Fase ACT Acciones de Mejora En la Fase ACT se implantan aquellas mejoras identificadas en la fase CHECK. Acciones preventivas. Acciones correctivas. Oportunidades de mejora. No conformidades.

27 Por qué no aprovechar Sinergias? Enfoque integrado de Proyecto Estas tres normas tienen más de un 30% de requisitos en común. La integración desarrollada por Audisec permite abordar los tres estándares como un único proyecto, con el triple de beneficios. ISO ISO ISO 20000

28 Herramientas GlobalSuite

29 GlobalSGSI GlobalSGSI es la herramienta web que permite cubrir el ciclo completo de análisis, implantación, gestión y mantenimiento de la Norma ISO GlobalSGSI está disponible en múltiples versiones adaptadas a las necesidades tanto de grandes como pequeñas compañías. GlobalSGSI permite a través de las pestañas de Inicio, Análisis, Planes, Gestión y Mediciones llevar a cabo la implantación completa de la norma ISO sin necesidad de papeles.

30 Recapitulando Enfoque de consultoría en Audisec Referencias en diferentes sectores de negocio. Profesionales con certificados CISA, CISM, Lead Auditor 27/20 e ITIL Foundations. Enfoque práctico y didáctico de los proyectos. Herramienta GlobalSuite Aplicación web que soporta toda la implantación del SG. Ahorro sustancial de tiempo de implantación y mantenimiento.

31 Retorno de Inversión Asegurado Cómo podríamos aumentar el retorno de inversión? Qué beneficios aporta? 1. Menos costes de consultoría de implantación. 2. Menos horas de trabajo interno por parte de la organización. 3. El mantenimiento del sistema requiere muchos menos recursos internos al llevar todo el sistema de forma centralizada con una herramienta. 4. Un sistema automatizado hace que su uso se extienda más rápidamente, haya más implicación y realmente se optimice el sistema. Si el sistema no es fácil de gestionar no se aprovecharán sus beneficios.

32 Beneficios del Proyecto Consecución de un sistema adaptado a las necesidades de su empresa y que cumple con los requisitos de negocio identificados en las fases iniciales. Mejor Servicio. Procesos depurados. Clientes satisfechos. Servicio Seguro. Menos incidentes y problemas. Menos costes. Más Calidad. Imagen y prestigio. Reconocimiento.

33 Más información Madrid Barcelona Ciudad Real Bogotá México D.F.