Temario. Historia de la norma. Porqué ISO-27001? Breves conceptos Estándares? Tendencias en España Tendencias Internacionales Conclusiones

Transcripción

1 Ponente: Alejandro Corletti Estrada (Dir. Div. Segur. Info NCS)

2 Temario Historia de la norma Porqué ISO-27001? Breves conceptos Estándares? Tendencias en España Tendencias Internacionales Conclusiones

3 Breve historial de la norma Tiene sus orígenes desde los 90`en el BS-7799 Se transforma en ISO En el 2004 AENOR UNE Especificaciones para los SGSI. Octubre 2005 ISO-27001:2005 Septiembre 2007 AENOR ISO/UNE Situación Actual (Familia 27000) Publicadas ISO (Certificable) ISO (regula los organismos de certificación, alineada con 17021) ISO (guía de controles, Ex 17799) Sin publicar aún (Ayuda para la implantacón SGSI) (Métricas) (Riesgos) (requisitos de auditoría de un SGSI) (Sector TICs) (Plan de Continuidad de Negocio) (Ciberseguridad) (seguridad en redes, sobre la base de 18028) (Seguridad en las aplicaciones)

4 Temario Historia de la norma Porqué ISO-27001? Breves conceptos Estándares? Tendencias en España Tendencias Internacionales Conclusiones

5 Porqué ISO-27001? Por primera vez ISO, homogeneiza sus familias (GESTIÓN). La Seguridad deja de ser sólo una cuestión técnica. Implica a todos los niveles de la organización. Introduce el Análisis de Riesgo y el SGSI. El conjunto de controles (133), no deja nada librado al azar. Ha tenido acogida y apoyo internacional (1ª vez en seguridad). Pone/demuestra Calidad en la seguridad de la Información. Aparece en un momento clave de la industria. RECUERDEN: Marca un antes y un después.

6 Temario Historia de la norma Porqué ISO-27001? Breves conceptos Estándares? Tendencias en España Tendencias Internacionales Conclusiones

7 Breves conceptos Esta norma, no está orientada a despliegues tecnológicos o de infraestructura, sino a aspectos netamente organizativos, es decir, la frase que podría definir su propósito es Organizar la seguridad de la información Propone secuencias de acciones tendientes al: - Establecimiento - Implementación - Operación - Monitorización - Revisión - Mantenimiento - Mejora SGSI Sistema de Gestión de la Seguridad de la Información. El SGSI, es el punto fuerte de este estándar.

8 Breves conceptos Los detalles que conforman el cuerpo de esta norma, se podrían agrupar en tres grandes líneas: Análisis de riego (AR) SGSI Controles

9 Breves conceptos (Análisis de riesgo) Puede ser desarrollado con cualquier tipo de metodología (pública o particular), siempre y cuando sea completa y metódica. El resultado final de un análisis de riesgo, es: Clara identificación, definición y descripción de los activos. El impacto que podría ocasionar un problema sobre cada uno. Conjunto de acciones que pueden realizarse (agrupadas). Propuesta varios cursos de acción posibles (Máx, inter1/2s, mín). Finalmente: Elección y Aprobación de un curso de acción por parte de la Dirección. Es decir, el compromiso que asume en virtud de su propia estrategia (Coste/beneficio/Negocio), para tratar las acciones de ese curso de acción y ASUMIR el riesgo residual que quedará con lo que no esté dispuesto a abordar (..o en definitiva a pagar..).

10 Breves conceptos (SGSI) En el punto cuatro de la norma, se establecen los conceptos rectores del SGSI. Punto 4.1. Requerimientos generales: La organización, establecerá, implementará, operará, monitorizará, revisará, mantendrá y mejorará un documentado SGSI en su contexto para las actividades globales de su negocio y de cara a los riesgos. Para este propósito, el proceso está basado en el modelo PDCA. PUNTOS DE LA NORMA (Relativos al SGSI) 4. Sistema de Gestión de la Seguridad de la Información (SGSI) 5. Responsabilidades de la Dirección (Compromiso, gestión y provisión recursos, concienciación y formación) 6 Auditoría Interna del SGSI (Documentos, planificación, metodología, acciones) 7. Revisión de SGSI por parte de la Dirección 8. Mejora de SGSI (Continua, correctiva y preventiva)

11 Breves conceptos (Los controles) El anexo A los numera tal cual se presentan a continuación: A.5 Política de seguridad A.6 Organización de la información de seguridad A.7 Administración de recursos A.8 Seguridad de los recursos humanos A.9 Seguridad física y del entorno A.10 Administración de las comunicaciones y operaciones A.11 Control de accesos A.12 Adquisición de sistemas de información, desarrollo y mantenimiento A.13 Administración de los incidentes de seguridad A.14 Administración de la continuidad de negocio A.15 Marco legal y buenas prácticas

12 Breves conceptos (métricas)

13 Breves conceptos (relación documental)

14 Temario Historia de la norma Porqué ISO-27001? Breves conceptos Estándares? Tendencias en España Tendencias Internacionales Conclusiones

15 Calidad Europa, se encuentra en una necesidad de demostrar, garantizar y justificar su Calidad. Calidad, esa es la palabra clave de la Industria. En la CE, toda industria necesita respetar cada vez más una serie de medidas, que lo que tratan de hacer en definitiva, es salvaguardar al cliente final de lo que consume. Esto se ve reflejado en todo ámbito, desde el medio ambiente, los medicamentos, la industria alimenticia, automotriz, los servicios, las telecomunicaciones, etc. Uno de los pilares de esta cadena de producción, es la informática, y: una cadena se corta por el eslabón más fino (Dentro de la CE, no se admitirá más que el eslabón más fino sea la informática, y en informática, seguridad es un factor fundamental).

16 Certificaciones En el discurso Internacional, el mensaje es sumamente sencillo: Informe ISO (Dic 2007) ISO 9001 Lugar de España: 4º mundial con certificados ISO Lugar de España: 3º mundial con certificados ISO Total mundial: 5797 certificados Lugar de España: No aparece en el Top 10 (23 certificados) España es un País de calidad, pues así lo demuestra el ranking Internacional de ISO España, es un País que se preocupa por su medioambiente, según su creciente volumen en certificaciones ISO No hay pautas claras que sitúen a España como un País confiable para intercambiar información On Line, para abrir y compartir bases de datos privadas y públicas, para confiar el bien más preciado, para comunicarse de forma segura, etc...

17 Realidad En seguridad, internacionalmente no demostramos ninguna preocupación. Esto tal vez pueda no ser significativo para ciertos nichos de mercado...pero cualquier empresa que trabaje con información confidencial, privada, crítica, que tenga alta dependencia de la disponibilidad de sus datos, de I+D, etc. Ya no puede dejar pasar más tiempo.

18 Temario Historia de la norma Porqué ISO-27001? Breves conceptos Estándares? Tendencias en España Tendencias Internacionales Conclusiones

19 Tendencias en España Existen otras iniciativas para fomentar la seguridad en España a través de la norma ISO 27001, como el proyecto PYMETICA en Andalucía, el CAMERSEC en Málaga, la reciente Subvención del Ministerio de Industria del Plan AVANZA PyME ( para certificación ISO-27001) y el próximo proyecto de INTECO que abarcará varias Comunidades Españolas. RENFE, en un pliego de licitación de septiembre de 2007, hacía mención al estándar ISO (Esto corrobora el hecho del Lobby que pueden hacer las empresas certificadas, tal cual mencionamos en artículos anteriores). La Consejería de Agricultura y Pesca (Andalucía) ha obtuvo la certificación ISO del denominado Sistema de Localización y Seguimiento de Embarcaciones Pesqueras Andaluzas. Consejería de Economía y AP del Principado de Asturias (Nº exp: 58/06). Descripción del objeto: Certificación ISO del SGSI, para el CPD de la Administración del Principado de Asturias (año 2007). Exportar Æ Comercio Exterior Congreso ICEX: La constante fue: Calidad Gestión

20 A nivel AAPP Resolución de 26 de mayo de 2003, de la Secretaría de Estado para la AAPP Expresa textualmente Se insta a los Estados miembros de la UE a fomentar el uso de mejores prácticas basadas en instrumentos existentes, tales como la norma UNE ISO/IEC Reglamento (CE) No 885/2006 de la Comisión (junio de 2006) - FEAGA (Fondo Europeo Agrícola de Garantía) y del FEADER (Fondo Europeo Agrícola de Desarrollo Rural): La seguridad de los sistemas de información estará basada en los criterios fijados en una versión aplicable en el ejercicio financiero considerado de una de las siguientes normas aceptadas internacionalmente: i) ISO/IEC 17799). En realidad esto viene desde 1997, con la Directriz VI/661/97 rev. 2 CE sobre la Seg. Infor. SSII de los Organismos Pagadores que exige garantizar la seguridad de la información. la Consejería de Agricultura y Agua de la CA de Murcia, conociendo estas regulaciones, apostó por la ISO y acaba de ser la primera Entidad Pública Espaoñola en certificarse Ley 11 (junio de 2007) Acceso electrónico de los ciudadanos a los Servicios Públicos, Seguridad: se menciona cuarenta y dos veces. El punto 2. Las AAPP... asegurando la disponibilidad, el acceso, la integridad, la autenticidad, la confidencialidad y la conservación de los datos... ACIDA?? MAP (Julio de 2007) Normalización en seguridad de las TIC Criterios SNC (seguridad, normalización y conservación): UNE ISO/IEC 17799:2002, Tecnologías de la información Código de buenas prácticas para la gestión de la seguridad de la información

21 Temario Historia de la norma Porqué ISO-27001? Breves conceptos Estándares? Tendencias en España Tendencias Internacionales Conclusiones

22 9ª Encuesta E&Y de Segur. Info Aplicada a Organizac. en 48 países y 20 tipos de industrias diferentes. Resultados: El 75% de las organizaciones cuentan con un Oficial de Seguridad. El 73% mantienen a la función de seguridad integrada al proceso corporativo de administración de riesgos (AR). El 61% utiliza procedimientos formales para integrar la seguridad de la información al proceso corporativo de AR. En los últimos 12 meses el cumplimiento regulatorio fue el principal habilitador para el desarrollo de prácticas de seguridad a nivel global. Entrenamiento en protección de la información y concienciación (Dirs: 40%, Pers.Seg.Info: 56%, User: 57%, Personal TI: 55%, otros: 25%). PCN: (Eval.Riesgos: 75%, Análisis impacto: 63%, Priorizar e identificar procesos críticos para el negocio: 79%, Procedim.Escalado incidentes: 58%, Planes acción recuperación de proc.críticos: 71%). Estándares 17799/27001: 45%, COBIT: 30%, ITIL: 46%). Beneficios de adoptar un estándar: Ser capaz de compararse con otras organizaciones: 41%. Demostrar a clientes un compromiso con prácticas Segur: 67%. Incrementar mejores prácticas p/seguridad Info: 75%. que se están aplicando de manera formal: (ISO

23 Cuando el río suena... ISO could become the next ISO 9000 type standard that every organization wants to promote, that educated consumers and business partners seek before conducting business, and that every potential stockholder seeks before investing. Gartner forecasts ISO will be the most common standard used to judge the information security posture of an organization. They are also now recommending to organizations that are planning to outsource IT operations to firms in India, to require that all providers and data center locations be BS7799 Part 2 or ISO certified. Forrester has stated that ISO is the best choice for a security framework. A healthy business 28 Jan 2008 ( When a Prime Minister reads passages from an international standard in the House of Commons, security is front-page news. That is what Gordon Brown did recently after discs containing personal information on 25 million people who claim Child Benefit went missing; he quoted from the information security standard ISO/IEC in a bid to reassure the public that the government was making efforts to safeguard the personal data that it holds. Because ISO is an internationally recognized Info. security standard, companies in the global marketplace can quickly demonstrate due diligence to prospective customers via certification.

24 Temario Historia de la norma Porqué ISO-27001? Breves conceptos Estándares? Tendencias en España Tendencias Internacionales Conclusiones

25 Conclusiones El estándar ISO es robusto, completo y eficiente. Pone Gestión y Calidad donde no la había. Es HOLÍSITCO (mayor que la suma de sus partes). El mundo se decantó al unísono por ISO En España: Los órganos de gobierno YA están fomentando ISO Las grandes empresas YA lo están haciendo. Las PyMEs se están despertando. Falta aún Conciencia empresarial y gubernamental, pues: Internacionalmente HOY no figuramos (aún... y Mañana?). Dependerá pura y exclusivamente de cada uno de nosotros

26 Ponente: Alejandro Corletti Estrada (Dir. Div. Segur. Info NCS)