Modelo de Gobierno y Gestión de las TIC.

Transcripción

1 Modelo de Gobierno y Gestión de las TIC. Como gestionar los riesgos: principales normas internacionales para la ciberseguridad Boris DELGADO. CISA, CISM Gerente de TIC (AENOR) Marzo

2

3 AGENDA 1. AENOR EN EL MUNDO 2. TICs PALANCA DEL NEGOCIO 3. RIESGOS DE LAS TICs Y SOLUCIONES. PRINCIPALES ESTANDARES INTERNACIONALES DE CIBERSEGURIDAD 4. UNE-ISO/IEC 27001:2014 (SGSI) 5. RD 3/2010 ESQUEMA NACIONAL DE SEGURIDAD 6. PROCESO DE CERTIFICACION 7. ISO SURVEY 2015 ESPAÑA EN EL TOP TEN 8. HERRAMIENTAS: BIBLIOGRAFIA AENOR TICs 3

4 1. AENOR EN EL MUNDO Desde Enero 2017 AENOR INTERNACIONAL SAU Separación en Certificación y Normalización. Hasta 2016 Asociación privada de Normalización y Certificación sin ánimo de lucro AENOR es el representante de ISO en España y algunos países de Latinoamérica. Constitución: Real decreto 2200/95 AENOR Corporación AENOR INTERNACIONAL (12 filiales Europa y Latam) AENOR México ( +10 años en México DF y Delegaciones) Multisectorial Normalización Certificación productos, servicios, sistemas de gestión y personal Servicios de Formación AENOR es miembro de IQNET 4

5 2. Centro de Proceso de Datos o Tecnologías de Información y Comunicaciones Es un Conjunto de: - Personas (Humanware) - Sistemas o Tecnologías (Base de Datos, software, aplicaciones, Hardware, Telecomunicaciones y sala de servers e infraestructura). - Procesos - Infraestructura 5 Centro de Cómputo=CPD=Factoría 5

6 2. Cómo perciben los ejecutivos los Sistemas de Información 71% de los ejecutivos están de acuerdo que es una palanca las TI para transformar el negocio 62% creen que las TICs deben focalizarse en la innovación de los procesos de negocio 66% están de acuerdo que las TICs han implicado una gestión de riesgos más compleja en las corporaciones.» Fuente: Ernst&Young study What s next for the CIO? (Enero 2011). Una solución al gobierno y la gestión de las TICs es el modelo de AENOR de ISO en las TICs donde se realiza el gobierno y la gestión de las TICs alineadas con los objetivos de negocio. 6

7 3. La solución: el Modelo dinámico de ISO para las TICs SGCN ISO Sistema de Gestión Continuidad del Negocio. Creación de Software La empresa y su continuidad según procesos críticos Objetivo: Gobierno y Gestión de las TICs con estándares ISO. Desarrollo de Software Gobierno de TI ISO IT Governance DEVOPS Operaciones / Servicios Funciones del CIO Calidad y seguridad en servicios de TI (el día a día) Nivel de Madurez. Ciclo de Vida de SW SPICE ISO Modelo de Evaluación, Mejora y Madurez de Software ISO Ciclo de Vida de Desarrollo de Software Adicionalmente: SGSI ENS - Esquema Nacional de Seguridad SGAS SAM ISO Sistema de Gestión Activos Software (Licencias de Software) BPCE Buenas Prácticas Comercio Electrónico SGSI SCADA ISO Calidad del Producto Software SGSTI ISO Sistema de Gestión Servicios TI ISO Guía de Buenas Prácticas SGSI ISO Sistema de Gestión Seguridad de la Información ISO Guía de Controles Datacenter Green. Sostenibilidad Energética en CPDs- SE CPD- Copyright AENOR. Diciembre 2006 NOTA: desde 2004 certificando SGSI/ISO empresas certificadas Nota: tiene PDCA / Control interno Tecnologías de Información 7

8 3. LAS TICs COMO APOYO A LA GESTION E INNOVACION EN LAS EMPRESAS New Business and Tools for Business To CEOs & CIOs B2C B2B BIG DATA MOBILITY Pdas Smartphone Blakberry / Iphone / HTC WEB 1.0 WEB 2.0 WEB 3.0? GIS RFID Portal Corporativo Redes Sociales Wikis BYOD CRM ERP SCM e-branding ing e-learning CLOUD COMPUTING SaaS (Software As A Service) IaaS (Infraestructure As A Service) PaaS (Platform As A Service) Social Mobility Analytics Cloud BUSINESS PLAN = PLAN DE TICS (Integración y Alineamiento) FACTORIA DE TICs (Nuevos Servicios y Operaciones de TICs) Fuente: Carlos MF UPSAM/UPM/UAM/UAH/UNIR

9 3. MODELO PDCA. (Motor PDCA-1 y Conocimiento-2) Identificar Objetivos del Negocio (medibles) Tener apoyo de la Dirección Definir política Establecer alcance del al SG Seleccionar procesos/procedimientos/controles PLAN Implantar plan de gestión (tareas, actividades, PERT, GANTT, etc.) Implantar el SG Implantar los procesos/procedimientos/controles Asignar recursos Formación y Concienciación ACT GUIAS DE BUENAS PRACTICAS -2 CONOCIMIENTO REPOSITORIO DE PROCESOS / PROCEDIMIENTOS / CONTROLES DO Aplicar mejora continua Plan y Adoptar las acciones correctivas Plan y Adoptar las acciones preventivas 9 CHECK Monitorizar el SG Revisar internamente el SG Realizar auditorias internas del SG Indicadores y Métricas Revisión por Dirección

10 3. Solución a los Riesgos en el Modelo de ISO en las TICs Riesgos en Seguridad SI (ISO 27001) - Perdida de integridad en la información. - Suplantación de identidad/mal uso de roles. - Intrusión en los sistemas de información. - Denegación de Servicio (DoS). - Fuga de Información. - Riesgo de malware (virus, troyanos, etc.) Riesgos en Servicios TI (ISO ) - Servicios de TI no definidos, y sin compromiso - Incumplimiento de los SLAs (Acuerdos de nivel de servicio). - Servicios con un mayor coste. - Pérdida del servicio, y lentitud en la recuperación. Riesgos Desarrollo SW (ISO SPICE) - No cumplir con requisitos de usuario. - No cumplimiento de la planificación del proyecto. - Usuario no prueba antes de entrega final. - Trazabilidad de requisitos de usuario hasta código fuente 10

11 3. Solución a los Riesgos en el Modelo de ISO en las TICs Riesgos en Gobierno de TI (ISO 38500) - No cumplimiento plan de TICs / Business Plan - Incumplimiento legal. - Personal no motivado. - Compras de TI no alineadas con las necesidades del negocio. Costes excesivos Riesgos Propiedad intelectual (ISO ) - Multas por software ilegal. - Compras de coste excesivo. - Interoperabilidad entre el software. Riesgos en Continuidad de Negocio (ISO 22301) - Desaparición de la empresa. Después de un desastre natural ó provocado ó negligencia. - No existe resiliencia ante un desastre o incidentes graves 11 Riesgos en Producto SW(ISO 25000) - No cumple con la funcionalidad prevista - Costes de mantenimiento desorbitados. - Complejidad del software

12 3. Riesgos Globales World Economic Forum Se valoran riesgos económicos, medioambientales, geopolíticos, sociales y tecnológicos En el top three de riesgos tecnológicos se encuentran: El fraude y robo de información/datos. Daño y pérdida de la información de las infraestructuras criticas. Ciberataques. 12

13 3. Riesgos Globales Estándares de Ciberseguridad Según ISACA (*): La ciberseguridad, se ocupa de la protección de los activos digitales - todo, desde las redes al hardware y la información que es procesada, almacenada o transportada a través los sistemas de información interconectados. (*): ISACA CSX Cibersecurity Fundamentals Study Guide 13

14 3. Riesgos Globales Estándares de Ciberseguridad ISO/IEC 27032:2012 Information technology Security techniques Guidelines for cybersecurity Define la ciberseguridad como la "preservación de la confidencialidad, integridad y disponibilidad de la información en entornos virtuales interconectados (ciberespacio) Fuente: ISO Relación entre Ciberseguridad y otros dominios de seguridad 14

15 3. Riesgos Globales Estándares de Ciberseguridad Las principales secciones: 5. Overview 6. Assets in the Cyberspace 7. Threats against the security of the Cyberspace 8. Roles of stakeholders in Cybersecurity 9. Guidelines for stakeholders 10. Cybersecurity controls 11. Framework of information sharing and coordination Annex A. Cybersecurity readiness Annex B. Additional resources Annex C. Examples of related documents 15

16 3. Riesgos Globales Estándares de Ciberseguridad En la ISO se abordan riesgos específicos los ataques de ingeniería social. El acceso secreto y no autorizado a sistemas informáticos (Hacking); La proliferación de software malicioso (Malware); El software espía (Spyware); Otros tipos de software potencialmente no deseables (Ransomware). Amenazas Persistentes (APTs) Y propone controles: Controles a nivel de aplicaciones (SW seguro) Controles para la protección de Servidores (Hardening) Controles para usuario final (end-user) e ingeniería social Propone un marco para proveedores/clientes: Compartir información (colaboración segura y confiable, que también proteja la privacidad de las partes implicadas) Coordinación y gestión de incidentes. 16

17 3. Riesgos Globales Estándares de Ciberseguridad RELACION DE ESTANDARES PARA CIBERSEGURIDAD ISO/IEC 27032:2012 Information technology Security techniques Guidelines for cybersecurity ISO Information security management systems Overview and vocabulary ISO Information security management systems Requirements ISO Code of practice for information security management ISO Information security risk management ISO Security techniques - Network security ISO Security techniques - Guidelines for application security. ISO Security techniques Information security incident management ISO Code of practice for information security controls based on ISO for cloud services - Perspectiva del cliente de servicios en la nube 17 - Perspectiva del proveedor de servicios en la nube

18 4. UNE-ISO/IEC 27001: SGSI UNE-ISO/IEC 27001:2014 Sistema de Gestión de Seguridad de la Información 18

19 4. SGSI - ISO MODELO PDCA Definir política de seguridad Establecer alcance del al SGSI Realizar análisis de riesgos Seleccionar los controles P Implantar plan de gestión de riesgos Implantar el SGSI Implantar los controles A ISO IEC / Anexo A. ISO IEC A.5 Política de Seguridad de Información A.6 Organización de la Seguridad de la información A.7 Seguridad en los RRHH A.8 Gestión de Activos A.9 Control de Accesos A.10 Criptografía A.11 Seguridad Física y ambiental A.12 Seguridad en las operaciones A.13 Seguridad en las comunicaciones A.14 Adquisición, desarrollo y mantenimiento de sistemas A15 Relación con proveedores A.16. Gestión de incidentes de seguridad A.17 Aspectos de Seguridad de la información dentro de continuidad de negocio A.18 Conformidad D Adoptar las acciones correctivas Adoptar las acciones preventivas 19 C Revisar internamente el SGSI Realizar auditorias internas del SGSI Indicadores y Métricas Revisión por Dirección

20 4. Análisis y Gestión de riesgos Implantación de controles Procesos de Negocio / Servicios de TI Activos de SI Datos Sistemas de información (aplicativos) Software Hardware Telecomunicaciones Personas Análisis y Gestión de riesgos R=F(X 1,X 2,X 3,X n ) Integridad (X 1 ) Confidencialidad (X 2 ) Disponibilidad (X 3 ) Amenazas (X 4 ) Vulnerabilidades (X 5 ) Impacto Económico (X 6 ) X N Riesgo Residual Activo R 1 Activo R 2 Aplicando ISO/IEC (Selección de Controles SOA, PTR) 20

21 4. UNE-ISO/IEC 27001:2014 Aspectos Principales - PDCA En PDCA (27001) : 1. Reestructuración del estándar con Anexo SL. 2. Ya no se habla directamente de PDCA, sino de Mejora Continua. 3. Mayor conocimiento del contexto de la organización y de las necesidades de las partes interesadas 4. Proceso de análisis de riesgos más general y alineado a ISO Ya no se habla de la relación: - Riesgos Activos amenazas vulnerabilidades 6. Se habla del propietario del riesgo 7. Mayor importancia al liderazgo y compromiso de la Dirección 8. Mayor relevancia a la definición de Objetivos de Seguridad 9. Mayor relevancia a la medición y monitorización. (PDCA, grupos de controles y PTR). 10. Se elimina la lista de documentos obligatorios, y no se distinguen documentos y registros. Se generaliza como información documentada. 11. Revisión por Dirección no tan exhaustiva. 12. Se eliminan las acciones preventivas (se consideran acciones derivadas de la gestión de riesgos), y solo existen acciones correctivas. 21

22 4. UNE-ISO/IEC 27001: CONTROLES UNE-ISO 27002:2014 (Anexo A. ISO 27001:2014) Cada área o dominio tiene asociados uno o varios objetivos de seguridad. Para cada objetivo se definen, a su vez, uno o más controles de seguridad cuya implantación debe traducirse en la consecución del objetivo de seguridad asociado ISO 27002:2013 DOMINIO Total controles ISO DOMINIOS A5 Política de Seguridad de la Información 2 A6 Organización de la seguridad de la información A7 Seguridad de los RRHH 6 7 A8 Gestión de activos 10 A9 Control de accesos 14 A10 Criptografía 2 35 OBJETIVOS CONTROL A11 Seguridad física y ambiental 15 A12 Seguridad en las operaciones 14 A13 Seguridad en las comunicaciones 7 A14 Adquisición, desarrollo y mantenimiento de los sistemas de información CONTROLES A15 Relaciones con proveedores 5 A16 Gestión de incidentes de seguridad de la información 7 A17 Aspectos de seguridad de la información en continuidad de negocio 4 22 A18 Cumplimiento 8 TOTAL 114

23 5. ESQUEMA NACIONAL DE SEGURIDAD - ENS RD 3/2010 ESQUEMA NACIONAL DE SEGURIDAD 23

24 5. ENS Elementos Principales Real Decreto 3/2010. Regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. Establecer la política de seguridad en la utilización de medios electrónicos a través de principios básicos y requisitos mínimos que permitan una protección adecuada de la información. Se crean las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas de seguridad para garantizar la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos. Dimensiones de Seguridad en ENS: Confidencialidad, Integridad, Disponibilidad, Autenticidad y Trazabilidad PRINCIPIOS BASICOS REQUSITOS MINIMOS MEDIDAS DE SEGURIDAD Se tienen en cuenta para las decisiones en materia de seguridad - Seguridad Integral - Gestión basada en riesgos - Prevención, reacción y recuperación - Líneas de defensa - Evaluación periódica - Función diferenciada Permitirán una protección adecuada de la información Se tendrán que cumplir dentro de los principios básicos y requisitos mínimos establecidos y serán proporcionales a: i) El tipo y nivel de la información gestionada ii) Las dimensiones de seguridad relevantes en el sistema a proteger iii) La categoría del sistema de información a proteger. 24 Fuente: Como implantar un SGSI y su aplicación en el ENS. AENOR Ediciones

25 5. ENS Medidas de Seguridad CCN-STIC-804 Guía de implantación de medidas Guía que establece unas pautas para la aplicación de medidas 25 Fuente:

26 5. ENS Medidas de Seguridad 26

27 5. ENS Medidas de Seguridad 27 27

28 5. ENS Medidas de Seguridad Resolución de 7 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de Informe del Estado de la Seguridad. CCN-CERT provee herramientas como INES (estado de la ciberseguridad) ó LUCIA (ciberincidentes) 28

29 5. ENS - Interrelación con la ISO CCN-STIC-825 ENS. Certificaciones ISO Guía que permite conocer como una certificación sirve de soporte al cumplimiento del ENS. El ENS contempla y exige la gestión continuada de la seguridad, para lo cual cabe aplicar un sistema de gestión de seguridad de la información. Quién haya certificado su Servicio/Sistema conforme a la norma UNE ISO/IEC 27001:2014 está muy cerca de asegurar el cumplimiento del ENS, cuya conformidad debe alcanzarse siguiendo la metodología descrita en los Anexos I, II y III del RD 3/2010 y en su caso, qué elementos adicionales son requeridos. 29 ENS RD 3/ Anexo II 75 medidas (controles) de seguridad ISO Anexo A. ISO controles

30 5. ENS - Interrelación con la ISO DIMENSIONES DE LA SEGURIDAD ENS añade las dimensiones de seguridad Autenticidad y Trazabilidad SGSI - ISO 27001: Confidencialidad, Integridad y Disponibilidad. CATEGORIZACION Y ANÁLISIS DE RIESGOS ENS requiere un proceso de categorización (Anexo I) y una serie mínima de medidas de seguridad (Anexo II) que son obligatorias u opcionales en función de la categoría del sistema. La máxima libertad que se concede es que la entidad/organismo demuestre que ha implantado medidas alternativas que alcanzan el mismo nivel de protección. La realización del análisis de riesgos servirá para precisar las medidas de seguridad teniendo en cuenta la categoría del sistema (Básico, Medio, Alto) a la vez que su resultado determinará la necesidad implantar o no medidas adicionales. SGSI-ISO el proceso de evaluación de riesgos determina que controles se aplican y cuales no a los sistemas de información que dan soporte a los procesos de negocio/servicios definidos en el alcance 30

31 5. ENS - Interrelación con la ISO MARCO ORGANIZATIVO Roles ENS Roles ISO Responsable de la Información Responsable del servicio Propietario del Riesgo Responsable de seguridad Responsable de Seguridad Responsable del sistema Responsable del sistema CORRESPONDENCIA PRINCIPALES REQUISITOS ENS Requisito UNE-ISO/IEC Art. 11 Política de seguridad 5.2 Art. 12 Compromiso de la dirección 5.1 Art Art Evaluación de riesgos Art Gestión de riesgos Art Declaración de aplicabilidad Art Formación Art Auditorías 9.2 Art. 26 Mejora continua Fuente: Como implantar un SGSI y su aplicación en el ENS. AENOR Ediciones

32 5. ENS - Interrelación con la ISO Medidas de seguridad (controles) de ENS sin reflejo en ISO Componentes certificados op.pl.5 Componentes certificados Control de Acceso op.acc.5 Mecanismo de autenticación (alternativamente se podrían considerar ISO 27002) Gestión de la información secreta de autenticación de usuarios Uso de la información secreta de autenticación Gestión de las contraseñas de usuario Protección de la Información: mp.info.4 Firma electrónica (alternativamente se podrían considerar ISO 27002) Política de uso de los controles criptográficos Protección de las transacciones Regulación de los controles criptográficos mp.info.5 Sellos de tiempo (alternativamente se podrían considerar ISO 27002) Protección de las transacciones mp.info.6 Limpieza de documentos Explotación op.exp.2 Configuración de seguridad op.exp.3 Gestión de la configuración 32 Protección de los servicios mp.s.2 Protección de servicios y aplicaciones web mp.s.8 Protección frente a la denegación de servicio (alternativamente se podrían considerar ISO 27002) Gestión de capacidades

33 6. PROCESO DE CERTIFICACION PROCESO DE CERTIFICACIÓN 33

34 6. Proceso de Certificación en ISO SGSI Auditorías de mantenimiento de la certificación FASE 1: PLANIFICACIÓN DE LA AUDITORÍA Y ESTUDIO DE DOCUMENTACIÓN (presencial) Informe fase 1 CUESTIONARIO PRELIMINAR Y SOLICITUD AUDITORÍAS DE RENOVACIÓN (AL TERCER AÑO) AUDITORÍAS DE SEGUIMIENTO (AL SEGUNDO AÑO) AUDITORÍAS DE SEGUIMIENTO (AL PRIMER AÑO) AENOR Auditoría de Certificación (ISO e ISO 27006) REGISTRAR LOS RESULTADOS FASE 2: REALIZACIÓN DE LA AUDITORÍA (presencial) Informe final Hoja de datos Alcance : de acuerdo Al documento de aplicabilidad vigente ELABORACIÓN DEL PLAN DE ACCIONES CORRECTIVAS - PAC Informe de Evaluación y Decisión CONCESIÓN DEL CERTIFICADO 34

35 6. Acreditación de AENOR y Reconocimiento Internacional mutuo 35

36 6. Auditoría de Certificación de Conformidad ENS según ISO ISO Certificación de Productos y Servicios CCN-STIC-809 Declaración y Certificación de conformidad con el ENS y el distintivo de cumplimiento Registro de la conformidad con todos los requisitos auditados (evidencias de conformidad y no conformidad) CCN-STIC-802. Auditoría del ENS CCN-STIC 808. Verificación del cumplimiento medidas ENS. No hay ciclo de certificación. (son bienales) Las auditorías son evaluaciones puntuales. AENOR ya emite certificados con estos criterios/formato Instrucción Técnica de Seguridad (ITS) de conformidad con el Esquema Nacional de Seguridad. (BOE Nov-16) 36

37 6. Auditoría de Certificación de Conformidad ENS según ISO Auditorías de mantenimiento de la certificación FASE 1: PLANIFICACIÓN DE LA AUDITORÍA Y ESTUDIO DE DOCUMENTACIÓN (presencial) Informe fase 1 CUESTIONARIO PRELIMINAR Y SOLICITUD AENOR Auditoría de Certificación de Conformidad ENS (utilizando ISO 17065) FASE 2: REALIZACIÓN DE LA AUDITORÍA (presencial) Informe final Hoja de datos Alcance y Categoriz. de acuerdo a la cat. sist. vigente AUDITORÍAS DE RENOVACION (BIENAL) REGISTRAR LOS RESULTADOS ELABORACIÓN DEL PLAN DE ACCIONES CORRECTIVAS - PAC Informe de Evaluación y Decisión CONCESIÓN DEL CERTIFICADO 37

38 6. Auditoría de Certificación de Conformidad según ISO Entidades en proceso de acreditación por ENAC 38 Fuente:

39 6. HERRAMIENTAS Y CONSULTAS ENS Contacto público para consultas del ENS y Guía de Preguntas Frecuentes Ministerio de Hacienda y Administraciones Públicas Centro Criptológico Nacional 39 Fuente: Fuente:

40 6. Proceso de Certificación en ISO y ENS Evaluación y Decisión Manteniendo una estructura que permita independencia e imparcialidad, en la toma de decisiones para la concesión o no de una certificación se establecen tres niveles: Gerente TICs - Comité Decisión (Concesión / no concesión) TRE (Técnico Responsable Expediente) Revisión de Propuesta (Concesión / no concesión) Auditor Jefe Propuesta (Concesión / no concesión) 40

41 7. ISO SURVEY 2015 ESPAÑA en el TOP TEN (ISO e ISO )

42 7. Estado del Arte Nota de Prensa AMETIC (Abril 2014) 42

43 7. Testimoniales del Modelo de AENOR ISO ISO Luís Lopes Director Técnico Luis Manuel Ortiz CESCE Soluçoes Informatica. Portugal del Grupo Director Comercial SIA España TI América. México Tenemos un análisis de riesgos totalmente adaptado a nuestras necesidades SPICE-ISO 15504/ISO Maximino Álvarez Director General Xtream. España Base de nuestro crecimiento internacional ENS Carlos Carnicer Presidente Consejo General de la Abogacía Española Los ciudadanos pueden confiar en que sus datos se gestionan con garantías de seguridad ISO Para continuar cuidando La certificación garantiza a los clientes que nuestros servicios se rigen por las mejores prácticas ISO ISO Luis Montalban CEO BITWARE. España La aplicación conjunta de ISO e ISO ha supuesto una mejora en la productividad y un ahorro de costes en el mantenimiento del 60% en el software Cristo M. Pérez Rosquete Área de Seguridad Informática Sanitas. España

44 8. HERRAMIENTAS: Bibliografía AENOR TICs 44

45 Un nuevo reto en las TICs PDCA Ciclo de mejora Continua / Control Interno en las TICs Sistema de Gestión Integrado y alineado con los Objetivos del Negocio. En conclusión: El modelo de AENOR aporta: ciberseguridad, confianza, calidad, productividad-costes e innovación una solución a los Riesgos en las TICs. Dormirá tranquilo el/la CIO? AENOR INTERNACIONAL SAU DELEGACION DE ASTURIAS PCT de Gijón. Edificio FADE, Profesor Potter, 51. Cabueñes, Gijón Teléfono: dpa@aenor.com 45 Boris DELGADO. CISA, CISM Gerente de TICs. AENOR bdelgado@aenor.es