Caso Práctico: Proyecto de Certificación ISO 27001

Transcripción

1 Caso Práctico: Proyecto de Certificación ISO SER MÁS LÍDERES 21 Junio 2.006

2 Índice 01 La Problemática 02 Qué es un Sistema de Gestión? 03 Qué es un SGSI? 04 Por qué un SGSI? 05 Qué es la Norma ISO/IEC ? 06 Motivación y Compromiso de Telefónica Soluciones 07 Metodología y Ciclo de Implantación de un SGSI 08 El Proyecto 09 Recomendaciones 10 El Compromiso de Telefónica Soluciones 11 Alcance del SGSI 2

3 01 La Problemática Cómo medir el nivel de riesgo soportado por mi organización? Está dentro de los niveles aceptables? En qué áreas (activos) existen mayores oportunidades de mejora? A la hora de contratar un servicio cómo medir qué Proveedor cuenta con una mejor gestión de la seguridad de la información? Es compatible con mi gestión de la seguridad? Los problemas de la Seguridad de la Información rara vez se centran en aspectos de carácter técnico exclusivamente, sino de gestión: Cómo alinear la tecnología con los objetivos de la organización 3

4 02 Qué es un Sistema de Gestión? Un sistema que: Establece e Implanta unos procesos que permiten a una organización realizar un producto/servicio conforme a unas especificaciones dadas Mide y Evalúa los resultados obtenidos frente a los objetivos marcados Incorpora un proceso de revisión para asegurar que los problemas que puedan surgir se detectan y se corrigen, y que permite identificar oportunidades de mejora UNE-EN ISO 9001:2000 Sistemas de Gestión de la Calidad: Requisitos UNE-EN ISO 14001:2004, Sistemas de Gestión Medioambiental: Especificaciones y directrices para su utilización 4

5 03 Qué es un Sistema de Gestión de Seguridad de la Información (SGSI)? Un SGSI es un sistema de gestión que comprende la política, la estructura organizativa, los procedimientos, los procesos y los recursos necesarios para implantar la gestión de la seguridad de la información Se puede implantar un SGSI atendiendo a múltiples criterios y estándares, entre los que destacan: BS :2002 UNE 71502:2004 ISO/IEC Estas normas se basan en el código de buenas prácticas y objetivos de control ISO Por seguridad de la información, ISO se centra en la preservación de las características de confidencialidad, integridad y disponibilidad de la misma. Adicionalmente, pueden considerarse otras propiedades, como autenticación, no repudio, trazabilidad, etc. 5

6 04 Por qué un SGSI? El hecho de implantar un SGSI no prueba que una organización sea 100 % segura. La seguridad completa no existe. No obstante, la adopción de un SGSI proporciona innegablemente ventajas: Aspecto organizaciona l Compromiso: el registro de las actividades permite garantizar y demostrar la eficacia de los esfuerzos desarrollados para asegurar la organización en todos sus niveles y probar la diligencia razonable de sus administradores. Aspecto legal Conformidad con requisitos legales: el registro permite demostrar que la organización observa todas las leyes y normativas aplicables al alcance. Aspecto funcional Aspecto comercial Aspecto financiero Aspecto humano Gestión de los riesgos: obtención de un mejor conocimiento de los sistemas de información, sus debilidades y los medios de protección. Garantiza también una mejor disponibilidad de los materiales y datos. Credibilidad y confianza: los socios, los accionistas y los clientes se tranquilizan al constatar la importancia que la organización concede a la protección de la información. Una certificación también puede brindar una diferenciación sobre la competencia y en el mercado. Algunas licitaciones ya comienzan a pedir un sistema de gestión certificado. Reducción de los costes vinculados a los incidentes y posibilidad de disminución de las primas de seguro. Mejora la sensibilización del personal hacia la seguridad y a sus responsabilidades en la organización. 6

7 05 Qué es la Norma ISO/IEC ? La norma ISO/IEC 27001:2005 Information Technology - Security techniques - Information Security Management Systems-Requirements, es la evolución certificable del código de buenas prácticas ISO (Futura ISO ) Qué aporta la certificación ISO 27001? La certificación ISO avala la adecuada implantación, gestión y operación de todo lo relacionado con la implantación de un SGSI, siendo la norma más completa que existe en lo relativo a la implantación de controles, métricas e indicadores que permiten establecer un marco adecuado de gestión de la seguridad de la información para las organizaciones. Qué relación tiene con la BS7799? sustituye a la BS : Los Certificados BS tendrán que adaptarse a los requisitos la norma ISO Integración con otros Sistemas de Gestión Entre las ventajas que ofrece, al ser un estándar ISO, se encuentran las facilidades que ofrece de integración con otros sistemas de gestión vigentes en la empresa, por ejemplo ISO 9001 e ISO

8 06 Motivación de Telefónica Soluciones para la Certificación Formalizar y acreditar una realidad: la gestión de la seguridad del CDG de Tres Cantos Gestionar el riesgo de la manera más eficiente Ofrecer a nuestros clientes una base sobre la que éstos puedan certificar sus servicios Ser pioneros en la adopción de estándares de seguridad Ofrecer una medida contrastable en la gestión de la seguridad Proceso de mejora continua 8

9 07 Metodología y Ciclo de Implantación de un SGSI Definir el alcance del SGSI Definir la política del SGSI Identificar los riesgos Gestionar los riesgos Seleccionar los controles ISO 17799:2005 Implantar las mejoras Adoptar acciones preventivas y correctivas Comunicar acciones y resultados Verificar que las mejoras cumplen su objetivo Actuar Mantener y Mejorar el SGSI Planificar Establecer el SGSI Monitorizar y Establecer el SGSI Comprobar Hacer Implantar y Operar el SGSI Definir e implantar plan de gestión de riesgos Implantar controles seleccionados y sus indicadores Implantar el Sistema de Gestión Desarrollar procedimientos de monitorización Revisar regularmente el SGSI Revisar los niveles de riesgo Auditar internamente el SGSI 9

10 08 El Proyecto El proyecto completo ha durado unos 7 meses, con una dedicación directa de 3 consultores, a parte de la dedicación a tiempo parcial de las áreas afectadas por el alcance # Tarea 1 Planificación y estudio del Proyecto 2 Formación SGSIs 3 Análisis y Gestión de Riesgos 4 Auditoría previa 5 Plan de Gestión del Riesgo - Selección de los Controles 6 Desarrollo e Implantación del SGSI 7 Auditoría Interna 8 Implantar Plan de Acciones Correctivas 9 Auditoría de Certificación 10 Certificado Octubre Noviembre Diciembre Enero Febrero Marzo Abril Mayo /3/ /5/ /4/

11 09 Recomendaciones Contar con el apoyo de la Alta Dirección Concienciación (formación, campañas informativas, etc.) y participación de todos los empleados Acotar bien el alcance, que afecte a pocas personas/procesos (críticos). Es más sencillo crecer de un núcleo certificado, que certificar el todo desde cero Preferible enfoque Práctico frente a Perfeccionista : Adaptar la Norma a la Empresa, no la Empresa a la Norma Trabajar con un objetivo (fecha) definido de Certificación 11

12 10 El Compromiso de Telefónica Soluciones Hemos obtenido el certificado ISO , por la entidad de certificación Applus+, con fecha 12 de mayo de 2006 Somos la primera empresa española certificada en la Norma ISO Estamos en proceso de certificar otro SGSI - portal del empleado (RRHH) Ampliaremos la certificación al resto de CDG de Telefónica Soluciones, y al resto de servicios prestados Estamos trabajando para obtener la certificación ISO (ITIL, BS ) 12

13 11 Alcance del SGSI Los Sistemas de Gestión de la Seguridad de la Información relativos a las actividades de control, monitorización y mantenimiento de las infraestructuras e instalaciones generales, necesarios para la adecuada prestación de servicios a clientes, así como de la información derivada del funcionamiento de los mismos, del Centro de Datos Gestionado de Telefónica Soluciones, situado en la Avda. de los Artesanos 26, en Tres Cantos, Madrid 13

14 Climatización Protección contra incendios Suministro eléctrico Gestión 24x7 Seguridad 14

15