Indice. De qué?, y para qué? El SGSI ISO 27001

Transcripción

1 TITULO PONENCIA 1 Certificación de SGSI José Angel Valderrama AENOR

2 TITULO PONENCIA 2 De qué?, y para qué? El SGSI ISO Indice Qué es la certificación acreditada? El proceso de certificación del SGSI Tiene ventajas la certificación acreditada Situación actual de la certificación Otras certificaciones TIC 2

3 TITULO PONENCIA 3 De qué, y para qué De, y para, la INFORMACIÓN conjunto organizado de datos que tiene valor para un sujeto o sistema Qué pasaría si pierde la información, o no dispusiera de ella durante 24, 48, horas, o incluyera datos erróneos?, o la tuviera la competencia? 3

4 TITULO PONENCIA 4 Proteger la información, necesidad y obligación Interna/Negocio, Externa/Clientes, Cumplimiento Legislación genérica, y sectorial Ley Orgánica 15/1999 de Protección de Datos de carácter personal. (LOPD) Ley 34/2002, de servicios de la sociedad de la información y de comercio electrónico. Real Decreto Legislativo 1/1996, aprueba el Texto Refundido de la Ley de Propiedad Intelectual. Sanidad: LEY 41/2002, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica. Organismos pagadores de fondos: Reglamento (CE) nº 885/2006, que establece disposiciones para las autorizaciones, y la liquidación de cuentas al FEAGA / FEADER. Banca, Loterías y apuestas, 4

5 TITULO PONENCIA 5 Seguridad de la Información (SI). ISO La preservación de la Confidencialidad (accesible sólo a usuarios autorizados), integridad (exacta y completa, y los métodos de proceso), disponibilidad (accesible y usable por autorizados), pudiendo, abarcar otras propiedades, como la autenticidad, la responsabilidad, la fiabilidad y el no repudio. Teniendo en cuenta que, seguridad de la información es más que seguridad informática. 5

6 TITULO PONENCIA 6 El Sistema de Gestión de la SI (SGSI). ISO La parte del SG general, basada en un enfoque de riesgo empresarial, que se establece para crear, implementar, operar, supervisar, revisar, mantener y mejorar la Seguridad de la Información. (ISO 27001) ISO es el estándar internacional para los SGSI, y permite a la organización evaluar sus riesgos, e implementar controles apropiados que preserven la confidencialidad, la integridad y la disponibilidad de la información. 6

7 TITULO PONENCIA 7 SGSI herramienta de la Dirección. ISO Para Establecer una política, un alcance y unos objetivos para la SI. Salvaguardar los activos de información y los sistemas que los procesan; Seleccionar controles de seguridad, adecuados y proporcionados; Seguimiento de los resultados y la eficiencia del SGSI; La mejora contínua; en el marco de los riesgos empresariales generales. Enfoque común con otros SG. ISO (9001, 14001, 20000). Para todo tipo de organizaciones. Enfoque por procesos, y para la mejora continua. Abarca aspectos legales. 7

8 TITULO PONENCIA 8 El modelo de SGSI ISO Basado en la normativa internacional (ISO) UNE ISO/IEC 27001:2007 (ISO/IEC 27001:2005). SGSI. Requisitos. UNE ISO/IEC 27001:2007/1M Dic (correspondencia directa con ISO/IEC 27002:2005) El SGSI está diseñado con el fin de asegurar la selección de controles de seguridad, adecuados y proporcionados, que protejan los activos de información y den garantías a las partes interesadas. UNE ISO/IEC 27002:2009 Código de buenas prácticas para la gestión de la SI Aplica requerimientos adicionales genéricos (LOPD, LSSI, ), y sectoriales (Administraciones públicas, Sanidad, Telecomunicaciones, Health Insurance Portability and Accountability Act, ). Sirve de marco de referencia para cualquier SGSI sectorial (ENS, WLA, ). 8

9 TITULO PONENCIA 9 El modelo ISO 27001, Para quienes? Para cualquier tipo de organización, independientemente de su tamaño y sector de actividad; Para distintos alcances, dentro de cada organización; Este Sistema proporciona mecanismos para la salvaguarda de los activos de Información, y de los sistemas que los procesan, en concordancia con las políticas de Seguridad y planes estratégicos de la Organización. 9

10 TITULO PONENCIA 10 El modelo ISO Sigue pautas de ISO 9001 e ISO (integrable). Define qué se requiere, y no define el como se ha de cumplir (tecnológicamente neutral). En el marco de los riesgos empresariales generales. o o Parte del análisis de activos y sistemas de información (datos, SW, HW, servicios prestados o recibidos, telecomunicaciones, personas, instalaciones, soportes de información), para realizar la evaluación de riesgos. Prioriza y decide el tratamiento de los riesgos no aceptables, y aprueba el riesgo residual. Fin, seleccionar controles de seguridad, adecuados y proporcionados. o o Tratamiento del riesgo (Evitar, Transferir, Reducir, Asumir) SGSI documentado Enfoque por procesos, y para la mejora contínua. 10

11 El modelo ISO Establecer alcance y los límites Definir política de seguridad Realizar análisis y evaluación de riesgos Evaluar opciones para su tratamiento Seleccionar objetivos de control y controles Aprobación de la Dirección del Riesgo residual Autorización para implantar el SGSI Declaración de Aplicabilidad A 1 Política de SI 2 Aspectos organizativos de la SI 3 Gestión de activos 4 Seguridad ligada a los RRHH 5 Seguridad física y ambiental Adoptar las acciones correctivas Adoptar las acciones preventivas C P ISO/IEC Anexo A (normativo) ISO/IEC (guía para la implantación) Implantar plan de gestión de riesgos Implantar el SGSI Implantar los controles 6 Gestión de comunicaciones y operaciones 7 Control de acceso 8 Adquisición, desarrollo y mantenimiento de los sistemas de información 9 Gestión de incidentes de seguridad de la información 10. Gestión de la continuidad del negocio 11 Cumplimiento D Revisar internamente el SGSI Realizar auditorias internas del SGSI

12 TITULO PONENCIA 12 El modelo ISO Ej de controles (ISO 27002) A.5 Política de seguridad A.5.1 Política de seguridad de la información Objetivo: La Dirección proporcionará indicaciones y dará apoyo la seguridad de la información de acuerdo con los requisitos del negocio y con la legislación y las normativas aplicables. A Documento de política de segundad de la información. Control La Dirección debe aprobar un documento de política de segundad de la información, publicarlo y distribuir lo a todos los empleados y terceros afectados. A.8 Seguridad ligada a los recursos humanos A. 8.1 Antes del empleo Objetivo: Asegurar que los empleados, los contratistas y los terceros conocen y comprenden sus responsabilidades, y son adecuados para llevar a cabo las funciones que les corresponden, así como para reducir el riesgo de robo, fraude o de uso indebido de los recursos. A Funciones y responsabilidades A Investigación de antecedentes A Términos y condiciones de contratación A.9 Seguridad física y ambiental A.10 Gestión de comunicaciones y operaciones A Protección contra el código malicioso y descargable A.10.5 Copias de seguridad 12

13 TITULO PONENCIA 13 Qué es la certificación? Acto por el que una tercera parte testifica que ha obtenido la adecuada confianza en la conformidad de un determinado producto, proceso o servicio, debidamente identificado, con una norma u otro documento normativo especificado. 13

14 TITULO PONENCIA 14 Certificación acreditada ISO Contenidos básicos equivalentes a otras certificaciones ISO: - La entidad de acreditación: verifica y reconoce la competencia de la entidad de certificación y los auditores, determina la confianza en la entidad de certificación, y sus certificados. ENAC acredita en España. (ISO17021; ISO 27006; Proc. ENAC) - La entidad de certificación: establece el proceso de certificación, y asegura la competencia del equipo auditor y el cumplimiento de las normativas de certificación de SGSI (ISO 27001; ISO 27006; Regl. y Proc. de certificación). - El equipo auditor: organiza y realiza los trabajos de auditoría, determinando la calidad del proceso de auditoría y certificación. 14

15 TITULO PONENCIA 15 Acreditación de AENOR para certificar SGSI Acreditada por ENAC para certificar SGSI. Miembro español de IQNet (red mundial con 38 socios de referencia). 21 centros operativos en España, además de México, Chile, Italia, Portugal, Brasil, El Salvador, Perú y Bulgaria. Gama completa de certificaciones TIC, La más amplia experiencia, cualificación, y prestigio. Auditores competentes, y cualificados en SGSI, y otros referenciales (ISO 20000, ISO 15504, ISO 9001, I+D+i, ) 15

16 TITULO PONENCIA 16 El equipo auditor de AENOR Cualificado (Educación, Formación y Experiencia); Ej. 4 años de experiencia a tiempo completo y reciente en TICs, y dos de ellos en Seguridad de la Información. Perfil seleccionado conforme a cada empresa; Profesionalidad, Confidencialidad, Integridad; Compromiso; Y apoyo continuo, actualización de conocimientos tecnológicos y legales, y supervisión. 16

17 TITULO PONENCIA 17 El proceso de certificación del SGSI CUESTIONARIO PREVIO Y SOLICITUD AUDITORÍAS DE RENOVACIÓN (Cada tres años) AUDITORÍAS DE SEGUIMIENTO (Anuales) PLANIFICACIÓN DE LA AUDITORÍA CONCESIÓN DEL CERTIFICADO, y uso de marca ANÁLISIS DE LA DOCUMENTACIÓN FASE I VISITA PREVIA FASE I INFORME/s AUDITORÍA DEL SISTEMA FASE II PLAN DE ACCIONES CORRECTORAS 1 mes AUDITORÍA EXTRAORDINARIA INFORME 17

18 TITULO PONENCIA 18 El proceso de certificación del SGSI Actividad Solicitud de oferta y cuestionario previo Planificación de la auditoría Fase I (análisis de documentación, visita a instalaciones, ) Fase II (Auditoría inicial) Plan de acciones correctivas, y Decisión Auditoría extraordinaria Emisión y entrega del certificado Aud. de seguimiento Aud. de renovación Objetivo Recopilar información del SGSI. Dimensionar la certificación y determinar la competencia necesaria del equipo auditor. Oferta aceptada. Asignar equipo auditor, acordar fechas, preparar actividades, Planificación Revisar las líneas generales del SGSI (documentación, ubicación e instalaciones, alcance del SGSI, enfocar y acordar planificación de Fase II). Informe Confirmar la implantación del SGSI, y adecuación a la ISO Informe de auditoría inicial. Evaluar las acciones correctivas tomadas contra las no conformidades. Decisión de concesión del certificado (Si / No, con o sin Aud. Extraordinaria) Confirmar la resolución de las no confomidades. Informe. Entrega del certificado acreditado, licencia de uso, y registro de la certificación. Certificado válido por tres años. Evaluar la implantación del SGSI, prevenir desviaciones. Anual. 18 Evaluar implantación del SGSI, y emitir nuevo certificado. Cada tres años.

19 TITULO PONENCIA 19 Fase I (IOM, VP) del proceso de certificación Definir el alcance del SGSI. Auditar la documentación del SGSI, conforme a ISO Visitar y evaluar las instalaciones, e intercambio de información con personal de la organización. Recopilación de información y documentación necesaria para la certificación. Evaluar nivel de implantación del SGSI, y controles. Preparación de la planificación de la Fase II. 19

20 TITULO PONENCIA 20 Fase II (Auditoría Inicial) del proceso de certificación Reunión inicial (revisar la planificación). Auditoría: La política de seguridad de la información; Identificación y evaluación de riesgos (comparable y reproducible); La documentación del SGSI; Correspondencia de controles D. de aplicabilidad Evaluación de riesgos Política y objetivos; Implantación de los controles, y medidas de eficacia para determinar si son eficaces para los objetivos marcados; Procesos del SG (auditoría, revisión del SGSI, requisitos, ) Reunión final (informe final de resultados, y aclaración de dudas). 20

21 TITULO PONENCIA 21 El certificado del SGSI 21

22 TITULO PONENCIA 22 Ventajas del SG para la SI Transforma la SI en una actividad de gestión. Sistematizar las actividades de SI. Planificar, organizar y estructurar los recursos asignados a SI. Establecer objetivos y metas que aumentan la confianza en la SI. Identificar y clasificar los activos de información Analizar activos y riesgos. Seleccionar controles y dispositivos físicos y lógicos adecuados. Asegurar el nivel necesario de disponibilidad, integridad, y confidencialidad de la información. Eficiencia y ahorro de recursos en las actividades de SI, mejora motivación e implicación de los empleados. Planificar la adecuada gestión de la continuidad del negocio. Establecer procesos y actividades de revisión, mejora continua y auditoría de la gestión y tratamiento de la información 22

23 TITULO PONENCIA 23 Ventajas del SGSI para el Negocio Integrar la gestión de la SI con otros SG empresarial. Mejorar la imagen, confianza y competitividad empresarial. Comprobar su compromiso con el cumplimiento de la legislación: protección de datos de carácter personal, servicios sociedad de información, comercio electrónico, propiedad intelectual, etc. Dar satisfacción a accionistas y demostrar el valor añadido de las actividades de SI en la empresa. ES SOPORTE, APORTA CONFIANZA - CREDIBILIDAD 23

24 TITULO PONENCIA 24 Ventajas de certificar ISO el SGSI Apoya enfoque de negocio de la Dirección, y la actividad del Responsable del SGSI. Demuestra el cumplimiento de requisitos ( ISO 27001, legales) Incrementa el compromiso, y la concienciación. Auditores formados, cualificados, y expertos (El análisis del experto, novedades y oportunidades de mejora). Reconocimiento internacional Genera confianza / credibilidad interna y externa (clientes, empleados, accionistas / propietarios, administraciones / jueces, ) Imagen de marca y diferenciación Novedoso aún 24

25 TITULO PONENCIA 25 Por ej. reducción de sanciones en la LOPD La Audiencia Nacional, reduce de a euros la multa impuesta por la Agencia Española de Protección de Datos (AEPD) a Europ-Assistance Servicios Integrales de Gestión por facilitar datos erróneos de un conductor referidos a una infracción de tráfico. (Norma UNE-EN-ISO 9001:2008). La AEPD, ARSYS INTERNET, S.L. por una infracción tipificada como grave, una multa de (SGSI según ISO 27001). Ley 2/2011, de 4 de marzo, de Economía Sostenible (modifica la Ley Orgánica 15/1999, LOPD) Modifica art. 45: La cuantía de las sanciones se graduará atendiendo a criterios i) La acreditación de que con anterioridad a los hechos tenía implantados procedimientos adecuados de actuación en la recogida y tratamiento de Ios datos de carácter personal, siendo la infracción consecuencia de una anomalía en el funcionamiento de dichos procedimientos no debida a una falta de diligencia exigible al infractor. 25

26 TITULO PONENCIA 26 The ISO Survey 2010 ISO/IEC Information security management systems - Requirements Overview Year TOTAL Africa / West Asia Central / South America North America Europe Far East Australia / New Zealand Top 10 countries for ISO/IEC certificates Japan India United Kingdom Taipei, Chinese Spain China Romania Italy Czech Republic Germany 253 ISO/IEC Europe Year Country Czech Republic Germany Italy Romania Spain United Kingdom

27 TITULO PONENCIA 27 The ISO Survey 2010 ISO/IEC Certificates by industrial sector The following table gives an idea of the number of certificates by industrial sector. Not all data sources responded to the request EA* Code Nos. ISO/IEC BY INDUSTRIAL SECTOR Information technology Other Services Public administration Engineering Services Transport, storage and communication Financial intermediation, real estate, rental Electrical and optical equipment Construction Health and social work Education TOTAL

28 TITULO PONENCIA 28 AENOR en las TICs UNE Gestión de continuidad de negocio ISO S.G. STI ISO Guía de buenas prácticas ISO SG Seguridad de la Información ISO Guía de controles IT Governance ISO/IEC Normas y certificaciones TICs ISO SAM ISO SPiCE - PRM SW (parte 2, 5, 7) ISO ciclo de vida de desarrollo de SW UNE Accesibilidad Web Auditoría reglamentaria a operadores de telecomunicaciones (Calidad de servicio y facturación ) Buenas prácticas en comercio electrónico ISO EFQM; ISO EMAS; OHSAS; 28

29 TITULO PONENCIA 29 AENOR. Certificaciones TIC SGSI UNE ISO 27001: Mas de 320 empresas certificadas, en todos los sectores. España en el top five. SGSTI- UNE-ISO 20000: Sistema de Gestión de Servicios de TI. Calidad en la Gestión de servicios de TICs a la empresa o clientes (CPD externo o CPD interno). Basado en las librerías ITIL. Más de 70 empresas certificadas (el 50% PYMES-TIC) España en el top ten, según ItSMF. 29

30 TITULO PONENCIA 30 AENOR. Certificaciones TIC SPICE ISO : Modelo de madurez del desarrollo de software. Factorías de SW. Modelo ISO, aplica como modelo de Procesos la ISO 12207: Ciclo de Vida de Desarrollo de Software. Fases en la creación de un software. Es la competencia a CMMI. Proyecto piloto para España y Latinoamérica. 24 empresas certificadas. Accesibilidad de sitios WEB - UNE Certificación de páginas web, como contenido desarrollado y/o como portal web que se mantiene accesible. 32 sitios web certificados 30

31 TITULO PONENCIA 31 Logos de certificaciones en AENOR 31

32 TITULO PONENCIA 32 Muchas gracias, estamos a su disposición GALICIA: galicia@aenor.es José Angel Valderrama Antón Gerente Nuevas Tecnologías nuevastecnologias@aenor.es c/ Enrique Mariñas, 36, 7º. Edificio Torre Cristal A CORUÑA (Tel.: , galicia@aenor.es ) Av. García Barbón, 29, 1ºD VIGO (Tel.: ) MADRID: c/ Génova, Madrid. (Tel ) InfoAENOR