Experiencia práctica. Implantación de SGSI en una empresa española.

Transcripción

1 Experiencia práctica. Implantación de SGSI en una empresa española.

2 ÍNDICE Empresa objeto de implantación Grupo GMV Decisión de Implantación de SGSI Resultados: Certificaciones Resultados: Controles de Seguridad Mejora en Seguridad de Personal Mejora de Seguridad por Tecnología Mejora de Seguridad por Normativas Otros impactos en el Negocio Conclusiones

3 ÍNDICE Empresa objeto de implantación Grupo GMV Decisión de Implantación de SGSI Resultados: Certificaciones Resultados: Controles de Seguridad Mejora en Seguridad de Personal Mejora de Seguridad por Tecnología Mejora de Seguridad por Normativas Otros impactos en el Negocio Conclusiones

4 Grupo GMV Soluciones en TICs para los mercados aeroespacial, defensa, transporte, telecomunicaciones y e-business Aproximadamente 800 empleados (90% titulados) Actividad internacional superior al 50% GMV integra 5 filiales que operan en diferentes sectores:

5 GMV Soluciones Globales Internet GMV Soluciones Globales Internet presta desde 1995 servicios especializados en Telecos y e- Business Liderazgo en Seguridad: SGSI certificado ISO 27001:2005 en Madrid, Barcelona y Sevilla Certificación ISO 9001:2000 en Madrid (también ISO 14001:2004), Barcelona, Sevilla y Valladolid Valladolid Sevilla Madrid Barcelona Equipo de casi 200 profesionales, 90% Ingenieros Telecomunicación Instalaciones de aprox m2 en el P.T.M. de Madrid Laboratorios propios de I+D

6 ÍNDICE Empresa objeto de implantación Grupo GMV Decisión de Implantación de SGSI Resultados: Certificaciones Resultados: Controles de Seguridad Mejora en Seguridad de Personal Mejora de Seguridad por Tecnología Mejora de Seguridad por Normativas Otros impactos en el Negocio Conclusiones

7 La Decisión de Implantación (i) Por qué un SGSI para GMV-SGI? UNE ofrece ciclo continuo de mejora. Vs limitaciones de Seguridad de Santa Bárbara Permite afrontar todos frentes de seguridad 11 capítulos de ISO Basado en realidades: Análisis de Riesgos Decisiones razonadas. Conócete a ti mismo Es inadmisible tener problemas de seguridad Valor de información cedida por nuestros clientes Confianza en el Modelo Por Dirección Seguridad: Responsable implantación Por Dirección General: Respaldo SGSI

8 La Decisión de Implantación (ii) Realismo de OBJETIVOS Certificación vs. Mejora continua Visión GMV-SGI Mejora continúa de las medidas de seguridad ya implantadas. Certificación como evidencia esa decisión Realismo RECURSOS disponibles Económicos, Humanos, etc. Visión GMV-SGI Decisión sobre alcance inicial: todo Madrid Dotación de Presupuesto acorde

9 La Decisión de Implantación (iii) Realismo en CONOCIMIENTOS En Metodología SGSI y Tecnología GMV-SGI 10 años de experiencia en proyectos. En caso necesario, se hubiera recurrido a expertos (generales, campos concretos) Realismo en MOTIVACIONES Convencimiento vs. Caprichos y Modas GMV-SGI Implicación Dirección General / Seguridad SGSI como herramienta de mejora

10 La Decisión de Implantación (iv) Criterios de Decisión adicionales Diseño SGSI Preparación para su extensión al resto de sedes y de Grupo GMV. Diseño SGSI como ayuda en el trabajo Seguridad afecta a todas las áreas. Puede ser visto como intruso por algunas áreas. Implicación en aportación de inputs de toda la compañía para las decisiones anteriores

11 ÍNDICE Empresa objeto de implantación Grupo GMV Decisión de Implantación de SGSI Resultados: Certificaciones Resultados: Controles de Seguridad Mejora en Seguridad de Personal Mejora de Seguridad por Tecnología Mejora de Seguridad por Normativas Otros impactos en el Negocio Conclusiones

12 Certificación SGSI

13 ÍNDICE Empresa objeto de implantación Grupo GMV Decisión de Implantación de SGSI Resultados: Certificaciones Resultados: Controles de Seguridad Mejora en Seguridad de Personal Mejora de Seguridad por Tecnología Mejora de Seguridad por Normativas Otros impactos en el Negocio Conclusiones

14 Estado de un Control Estado Ideal Insuficiente Nivel Riesgo Deseado Innecesario Ausente Estricto

15 Ciclo de vida de controles Implantación Control A.Correctiva GMV en 1a Implantación buscó controles estrictos No Implantado Selección Primera Implantación A.Preventiva Seguimiento? Evaluación Control Innecesario Control Ideal Control Estricto Control Insuficiente Evaluación

16 Mejora a través de controles UNE no exige la implantación de TODOS los controles. Error de algunas organizaciones, han invirtiendo en implantación de controles más del riesgo. Puede implantarse y certificarse SGSI con parte de controles de ISO Aunque mejora continua habitualmente supone incrementar este indicador.

17 ÍNDICE Empresa objeto de implantación Grupo GMV Decisión de Implantación de SGSI Resultados: Certificaciones Resultados: Controles de Seguridad Mejora en Seguridad de Personal Mejora de Seguridad por Tecnología Mejora de Seguridad por Normativas Otros impactos en el Negocio Conclusiones

18 Mejoras en Personal (i) Security Awareness Factor humano es determinante: Puede ser el Mayor Riesgo Debe ser el Mejor Control Algunos resultados. Más de 50% de incidentes de seguridad son reportados por personal, sobre otras fuentes de detección.

19 Mejoras en Personal (ii) Programa de Formación Coordinado con security awareness Combinación de acciones formativas. Importancia del nuevo empleado Algunos Resultados Promedio: 10 acciones formativas / año Mejora cumplimiento en controles aplicados por users 95% 90% 88% 90% 85% 80% 78% 82% 75% 70% 65% 66% 76% 72% Máximo Cumplimiento Cumplimiento Medio Mïnimo Cumplimiento 60% 55% 50% 57% 62%

20 ÍNDICE Empresa objeto de implantación Grupo GMV Decisión de Implantación de SGSI Resultados: Certificaciones Resultados: Controles de Seguridad Mejora en Seguridad de Personal Mejora de Seguridad por Tecnología Mejora de Seguridad por Normativas Otros impactos en el Negocio Conclusiones

21 Mejoras en Tecnología (i) Menor Capacidad de Mejora de Seguridad en este campo Campo de actividad pre-sgsi, existen muchos controles ya implantados. Pero aún existe margen de mejora Algunos resultados 62% de los controles han sido mejorados durante aplicación del SGSI.

22 Mejoras en Tecnología (ii) Consistencia de Controles Ampliación de alcance en 2005 revela algunas diferencias en las aplicación de controles en distintas ubicaciones Algunos resultados Definición de arquitectura de SS.II. y controles de seguridad estándar. Mejoras en cada ubicación por solución bestof-breed de otra ubicación.

23 ÍNDICE Empresa objeto de implantación Grupo GMV Decisión de Implantación de SGSI Resultados: Certificaciones Resultados: Controles de Seguridad Mejora en Seguridad de Personal Mejora de Seguridad por Tecnología Mejora de Seguridad por Normativas Otros impactos en el Negocio Conclusiones

24 Mejoras en Normativa (i) Completitud de Normativa de Seguridad Normativa pre-sgsi desarrollada de forma no sistemática Consistencia Normativas vs Procedimientos Algunas Mejoras Rediseño de contenidos de Política de Seguridad, se dispone de 12 Normativas Desarrollo/mejora cerca de 30 Procedimientos Difusión de Normativa de Seguridad desarrollada

25 Mejoras en Normativa (ii) Adaptación de Normativa a Controles Seleccionados Algunos Controles se pueden implantar mediante Normativas / Procedimientos de Seguridad específicos. Consistencia Normativa vs. Controles. Algunas Mejoras Normativa de Seguridad soporta indicadores de efectividad de controles integrados en Cuadro de Mandos de Seguridad.

26 Mejoras en Normativa (iii) Auditoría de Seguridad Enfoque de actividad auditoría Periodicidad / comparabilidad de actividades auditoras. Algunas mejoras Ejecución anual de al menos 5 actividades de auditoría de Seguridad. 45 acciones de mejora derivadas de actividad auditora desde implantación SGSI en 2004.

27 ÍNDICE Empresa objeto de implantación Grupo GMV Decisión de Implantación de SGSI Resultados: Certificaciones Resultados: Controles de Seguridad Mejora en Seguridad de Personal Mejora de Seguridad por Tecnología Mejora de Seguridad por Normativas Otros impactos en el Negocio Conclusiones

28 Impactos en el Negocio Mejora en el Nivel de Riesgo Mejor capacidad de la compañía para cumplir los requisitos de protección de la información de sus clientes. Evolución de indicadores de riesgo desde implantación SGSI.

29 Identificación de Ataques Detección y Detención de Amenazas de Espionaje Industrial o por Terceros.

30 Impacto de Incidentes de Seguridad Detección más rápida de incidentes supone incidentes más leves Efecto positivo de awareness Efecto positivo de indicadores y herramientas de detección. Menor impacto / incidente de seguridad Permite recuperación del incidente más rápida y menos consumo de recursos / incidencia Balance global: Más incidencias, pero de menos gravedad. Mayor nivel de seguridad con igual consumo de recursos

31 Uso de I+D+i Propia GMV- SGI desarrolla soluciones propias Desarrollo de soluciones específicas por GMV-SGI para dar soporte a su SGSI. SGSI puede hacer uso temprano de algunas de las aplicaciones desarrolladas, como entorno de prueba final. Balance Global Soluciones GMV-SGI innovadoras en materia de SGSIs. Soluciones GMV-SGI más maduras/probadas.

32 ÍNDICE Empresa objeto de implantación Grupo GMV Decisión de Implantación de SGSI Resultados: Certificaciones Resultados: Controles de Seguridad Mejora en Seguridad de Personal Mejora de Seguridad por Tecnología Mejora de Seguridad por Normativas Otros impactos en el Negocio Conclusiones

33 Conclusiones SGSI como herramienta RENTABLE y ÚTIL, que aporta MEJORAS. Es crítico ser REALISTAS en los objetivos iniciales, AMPLIANDO su alcance posteriormente. SGSI necesita IMPLICACIÓN de la Dirección y APOYO de toda la Organización. Implantación requiere conocimiento de Seguridad experto, la AYUDA externa es en ocasiones imprescindible.

34 Mariano J. Benito Gómez Director de Seguridad / CISO GMV Soluciones Globales Internet S.A. GRACIAS