Implementación efectiva de un SGSI ISO

Transcripción

1 MÉXICO COSTA RICA PANAMÁ COLOMBIA ECUADOR PERÚ BRASIL URUGUAY CHILE ARGENTINA Implementación efectiva de un SGSI ISO Rodrigo Baldecchi Q. Gerente Corporativo de Calidad 04-SEP-14

2 ÍNDICE 1. Encuadre general. 2. La intención y el control. 3. Alcance. 4. Roadmap. 5. Implementación. 6. Política de SI. 7. Organización. 8. Riesgo. 9. Matriz SOA. 10. Incidentes de SI. 11. Plan de Continuidad del negocio. 12. Medición y mejora. 13. Cambio de versión de la norma. 14. Preguntas. 2 Presentación ISO en congreso CIGRAS 2

3 Encuadre general La información es un activo esencial y es decisiva para la viabilidad de una organización. Adopta diferentes formas, impresa, escrita en papel, digital, transmitida por correo, mostrada en videos o hablada en conversaciones. Debido a que está disponible en ambientes cada vez más interconectados, está expuesta a amenazas y vulnerabilidades. La seguridad de la información es la protección de la información contra una amplia gama de amenazas; para minimizar los daños, ampliar las oportunidades del negocio, maximizar el retorno de las inversiones y asegurar la continuidad del negocio. Se va logrando mediante la implementación de un conjunto adecuado de políticas, procesos, procedimientos, organización, controles, hardware y software y, lo más importante, mediante comportamientos éticos de las personas Presentación ISO en congreso CIGRAS

4 La intención y el control El aumento del control sobre las actividades de las personas. Es posible controlar las intenciones de las personas? Por lo tanto, se requiere ir más lejos Presentación ISO en congreso CIGRAS

5 Sistemas de gestión Para ISO (International Organization for Standardization) un sistema de gestión queda definido por un proceso de 4 etapas, creado por Walter Andrew Shewhart ( ) y popularizado por William Edwards Deming ( ), Planificar (Plan), Implementar (Do), Medir (Check) y Mejorar (Act). Planificar Implementar Medir Mejorar Presentación ISO en congreso CIGRAS

6 Conceptos generales de un SGSI ISO es un Sistema de Gestión de la Seguridad de la Información (SGSI). La seguridad de la información queda definida por tres atributos: a) Confidencialidad; b) Integridad; c) Disponibilidad. La seguridad de la información (SI) es la protección de la información contra una amplia gama de amenazas respecto a: i) Minimizar daños; ii) Oportunidades del negocio; iii) Retorno de la inversión; iv) Continuidad del negocio; v) Cultura ética. El SGSI garantiza la SI mediante una estructura de buenas prácticas, definidas por: a) Gestión de riesgos; b) Políticas; c) Procesos; d) Procedimientos; e) Controles; f) Revisiones; g) Mejoras Presentación ISO en congreso CIGRAS

7 Conceptos básicos de SI La Seguridad de la Información consiste en mantener: Confidencialidad: Información disponible exclusivamente a personas autorizadas. Integridad: Mantenimiento de la exactitud y validez de la información, protegiéndola de modificaciones o alteraciones no autorizadas. Contra la integridad la información puede parecer manipulada, corrupta o incompleta. Disponibilidad: Acceso y utilización de los servicios sólo y en el momento de ser solicitado por una persona autorizada. Seguridad de la información Confidencialidad Integridad Disponibilidad 7 Presentación ISO en congreso CIGRAS

8 Alcance Por ejemplo, el alcance del SGSI queda cubierto por los procesos de las siguientes áreas: Facility Espacio físico; energía eléctrica; aire acondicionado; protección contra incendios; accesos Administración Monitoreo; accesos lógicos; bases de datos; aplicativos Explotación/Respaldo Mallas de procesos; almacenamiento de información Comunicaciones SAP Redes de datos; seguridad lógica; monitoreo equipos de comunicaciones; enlaces Administración de sistemas SAP Presentación ISO en congreso CIGRAS

9 Roadmap ETAPA I ETAPA II ETAPA III ETAPA IV Documentación Implementación Análisis crítico Certificación Capacitación formal en el SGSI Difundir Auditorías Internas Precertificación Documentar requisitos normativos Capacitar Publicar documentación del SGSI Implementar Mejoras Certificación Marzo - Mayo Junio - Agosto Septiembre - Octubre Noviembre Presentación ISO en congreso CIGRAS

10 Calidad Calidad Calidad Calidad Calidad Calidad Calidad Calidad Calidad Calidad Implementación Calidad Servicios de Data Center & Cloud ISO Facility Administra ción Explotació n/respaldo Comunicac iones SAP Requisitos Política Organización Activos Gap Gap Gap Gap Gap RRHH Gap Gap Gap Gap Gap Cumplimiento (Gap) (Gap) (Gap) (Gap) (Gap) Oficial de Seguridad Responsable Responsable Responsable Responsable Responsable Presentación ISO en congreso CIGRAS

11 Matriz de responsabilidades Áreas Rol Nombre Responsabilidades Calidad Oficial de seguridad de SONDA Marcelo Aravena M. 1.- Hacer el gap análisis. Es decir, comparar, mediante entrevistas a los roles elegidos, lo que actualmente se hace en las áreas del alcance, respecto a lo que se debe hacer, según ISO Garantizar que los requisitos de la norma ISO 27001, en función del gap análisis, queden correctamente implementados en las áreas dentro del alcance. Se preocupa del qué se debe hacer? 3.- Elaborar la documentación del SGSI. 4.- Dedicación prioritaria a este proyecto. 5.- En régimen, es el responsables de auditar el SGSI, de las Revisiones Gerenciales, del CSI y de la relación con el organismo de certificación externo. G. Servicios de Data Center Gerente de área Sergio Rademacher L. 1.- Definir el alcance. Es decir, las áreas y los sistemas. 2.- Aprobar la documentación del SGSI. Seguridad Oficial de Seguridad Data Center Jacob Delgado S. 1.- Definir el Cómo? Se implementará los procedimientos del SGSI. 2.- En régimen, debe asegurar el cumplimiento del modelo. Es decir, cuida que se haga lo que está declarado en los procedimientos Presentación ISO en congreso CIGRAS

12 Matriz de responsabilidades Áreas Rol Nombre Responsabilidades Facility Jefe Data Center Quilicura Jefe Data Center Teatinos y Santa Isabel Miguel Soto José M. Arriagada Supervisor de Base de Datos Supervisor de administración Unix Freddy Espinoza Tomás Jiménez Entregan al OSI de Calidad la información y la evidencia de lo que actualmente se hace, de tal manera de determinar el gap análisis. Administración Supervisor de administración Microsoft Cristián Leiva Supervisor de sistemas de virtualización. Richard Cáceres Presentación ISO en congreso CIGRAS

13 Definición de política Presentación ISO en congreso CIGRAS

14 Política de seguridad de la información Política general de SI. Política de SI por dominio Presentación ISO en congreso CIGRAS

15 Organización Comité de seguridad de la Información (CSI) (A ó A 6.1.3) Se deben mantener los contactos apropiados con las autoridades pertinentes. Deben estar representadas todas las áreas de la empresa. G. General; G. Negocios; G. Logística; G. Personas; G. Contraloría; D. Legal; G. Calidad; OSI. Oficial de seguridad de la información. Área de calidad. Auditores internos en calidad y seguridad de la información. Revisiones Gerenciales Políticas Procesos y procedimientos Presentación ISO en congreso CIGRAS

16 Riesgo operacional Qué es el riesgo operacional? El Comité de Basilea II lo define como: el riesgo de pérdidas debido a la inadecuación o a fallas en los procesos, personal y sistemas internos o por causa de eventos externos Qué es la gestión de riesgo operacional? Más allá de la definición de riesgo operacional, lo importante es contar con un proceso de gestión de riesgos operativos o riesgos operacionales. Este proceso de riesgo operacional es el que debería garantizar la buena gestión de los riesgos según los estándares internacionales. Según el Comité de Basilea II, se entiende por gestión de riesgo operacional al proceso de identificación, evaluación, seguimiento y control del riesgo operacional. Conclusión: La gestión de riesgo" es un proceso esencial en la empresa Presentación ISO en congreso CIGRAS

17 IMPACTO Gestión de riesgo - Metodología Matriz de Riesgo Productos o servicios Procesos - Activos Amenazas Vulnerabilidades Probabilidad de ocurrencia Impacto Nivel de riesgo > 2 Tratamiento del riesgo Mitigar Aceptar Transferir Eliminar Proyecto Nuevo nivel de riesgo 2 Medición de la eficacia Muy Alto Alto Moderado Bajo Mínimo Extremada mente improbable Muy improbable Probable PROBABILIDAD Muy probable Extremada mente probable Presentación ISO en congreso CIGRAS

18 Gestión de riesgo - Evolución (#) riesgos aceptados 18 Presentación ISO en congreso CIGRAS

19 Matriz SOA Declaración de aplicabilidad (SOA: Statement of Applicability) Se construye una tabla con el dominio, control, justificación de la exclusión, documento Presentación ISO en congreso CIGRAS

20 Incidentes de Seguridad de la Información Definir cuáles serán tratados. Por ejemplo, los incidentes mayores. (Como se trata de un tema de cambio cultural, la recomendación es ir desde lo simple a lo complejo.) Procedimiento de incidentes de SI. Tratamiento Presentación ISO en congreso CIGRAS

21 Plan de continuidad del negocio Alcance. BIA. Gestión de riesgo. Estrategias de continuidad. Plan de Continuidad. Pruebas. Mejoras Presentación ISO en congreso CIGRAS

22 Auditorías internas Preparación de auditores. Calendario. Ejecución del calendario. Tratamiento de hallazgos. Mejoras. SGSI ISO Auditorías Internas AI Revisión Gerencial RG Realizada Auditoría de Pre-certificación AP Programada Auditoría de Vigilancia AV No realizada Auditoría de re-certificación AR Aprobado por Fecha Ger. Datacenter/Ger. Calidad 1-mar-14 Indicador general Requisitos Normativos Sistema de Gestión de Seguridad de la Información 4.1 Requisitos Generales AI9 RG RG AR AR AI RG AI RG 4.2 Establecer y manejar el SGSI AI9 RG RG AR AR AI RG AI RG Establecer el SGSI AI9 RG RG AR AR AI RG AI RG Implementar y operar el SGSI AI9 RG RG AR AR AI RG AI RG Monitorear y revisar el SGSI AI9 RG RG AR AR AI RG AI RG Mantener y mejorar el SGSI AI9 RG RG AR AR AI RG AI RG 4.3 Requisitos de documentación AI9 RG RG AR AR AI RG AI RG General AI9 RG RG AR AR AI RG AI RG Control de documentos AI9 RG RG AR AR AI RG AI RG Control de registros AI9 RG RG AR AR AI RG AI RG 5 Responsabilidad de la gerencia 5.1 Compromiso de la gerencia AI9 RG RG AR AR AI RG AI RG 5.2 Gestión de recursos AI9 RG RG AR AR AI RG AI RG Provisión de recursos AI9 RG RG AR AR AI RG AI RG Capacitación, conocimiento y capacidad AI9 RG RG AR AR AI RG AI RG 6 Auditorías Internas SGSI 7 Revisión Gerencial 8 Mejoramiento del SGSI PROGRAMA DE AUDITORÍAS AÑO 2014 FACILITIES Enero Febrero Marzo Abril Mayo Junio Julio Procedimiento de auditorías internas AI9 RG RG AR AR AI RG AI RG Plan de auditorías internas AI9 RG RG AR AR AI RG AI RG Tratamiento de no-conformidades AI9 RG RG AR AR AI RG AI RG 7.1 General AI9 RG RG AR AR AI RG AI RG 7.2 Insumo de la revisión AI9 RG RG AR AR AI RG AI RG 7.3 Resultado de la revisión AI9 RG RG AR AR AI RG AI RG Agosto Septiembre Octubre Noviembre Diciembre 9 Objetivos de control y controles 8.1 Mejoramiento continuo AI9 RG RG AR AR AI RG AI RG 8.2 Acción correctiva AI9 RG RG AR AR AI RG AI RG 8.3 Acción preventiva AI9 RG RG AR AR AI RG AI RG Anexo A de la norma AI9 RG RG AR AR AI RG AI RG Presentación ISO en congreso CIGRAS

23 Revisiones gerenciales La alta dirección debe revisar el SGSI, según la planificación definida, según conveniencia, suficiencia y efectividad. Estado de las acciones, en función de las RG anteriores. Los cambios internos y externos relevantes para el SGSI. Desempeño de: NC y acciones correctivas. Mediciones e indicadores. Resultado de auditorías internas y externas. Cumplimiento de los objetivos de la SI. Comentarios de partes interesadas. Resultado de la evaluación y tratamiento de riesgo. Oportunidades para la mejora continua. Acta que evidencie las acciones y los acuerdos de la RG Presentación ISO en congreso CIGRAS

24 El punto de partida de la seguridad de la información Un cierto número de controles puede ser considerado un buen punto de partida para implementar la seguridad de la información. Estos están basados en requisitos legales esenciales o que se consideren práctica habitual de la seguridad de la información. Protección de los datos y la privacidad de la información personal. Protección de los registros de la información. Derechos de la propiedad intelectual. Documentación de la política de seguridad de la información. Asignación de responsabilidades. Concienciación, formación y capacitación en seguridad de la información. Vulnerabilidad técnica. Gestión de incidentes de seguridad. Gestión de continuidad del negocio Presentación ISO en congreso CIGRAS

25 Recomendaciones Cómo implementar buenas prácticas? Diferencia entre el qué se debe hacer y el cómo se hace Establecer acuerdos. El rol de las personas Actitudes Aptitudes Los ámbitos Predisponen (para bien o para mal) Relacionan y mezclan niveles. Que sean armónicos y no disonantes Los procesos Procedimientos Las relaciones entre los procesos La implementación Presentación ISO en congreso CIGRAS

26 Cambio de versión de la norma ISO ISO 27001: puntos clásicos. ISO 27001:2013 Anexo SL Notas Garantizar la coherencia entre las futuras y actuales normas de sistemas de gestión. Favorecer la integración de sistemas de gestión. Facilitar a los usuarios la comprensión y entendimiento de las normas de gestión. 11 dominios 14 dominios 133 controles 113 controles Las principales modificaciones se ven reflejadas en la estructura y el contenido de los controles que conforman el Anexo A, todo como resultado de un proceso de fusión, exclusión e incorporación de nuevos controles de seguridad Presentación ISO en congreso CIGRAS

27 Estructura del nuevo estándar Presentación ISO en congreso CIGRAS

28 Dominios ISO ISO 27001:2005 (11 dominios; 133 controles) A.5 Política de seguridad. A.6 Organización de la seguridad de la información. A.7 Gestión de activos. A.8 Seguridad de los RRHH. A.9 Seguridad física y del ambiente. A.10 Gestión de comunicaciones y operaciones. A.11 Control de acceso. A.12 A.13 Adquisición, desarrollo y mantenimiento de sistemas de información. Gestión de incidentes de seguridad de la información. A.14 Gestión de la continuidad del negocio. A.15 Cumplimiento. ISO 27001:2013 (14 dominios; 113 controles) A.5 Política de seguridad. A.6 Organización de la seguridad de la información. A.7 Seguridad de los RRHH. A.8 Gestión de activos. A.9 Control de accesos. A.10 Criptografía. A.11 Seguridad física y ambiental. A.12 Seguridad en las operaciones. A.13 Transferencia de información. A.14 Adquisición de sistemas, desarrollo y mantenimiento. A.15 Relación con proveedores. A.16 Gestión de los incidentes de seguridad. A.17 Continuidad del negocio. A.18 Cumplimiento con requerimientos legales y contractuales Presentación ISO en congreso CIGRAS

29 Documentos del SGSI Requisito Alcance del SGSI Política y objetivos de seguridad Procedimientos y controles del SGSI Declaración de aplicabilidad: (SOA -Statement of Applicability) Metodología de evaluación de riesgos Informe de evaluación y plan de tratamiento de riesgos Plan de continuidad del negocio Procedimientos documentados Registros Descripción Ámbito de la organización que queda sometido al SGSI, incluyendo una identificación clara de las dependencias, relaciones y límites que existen entre el alcance y aquellas partes que no hayan sido consideradas. Documento de contenido genérico que establece el compromiso de la dirección y el enfoque de la organización en la gestión de la seguridad de la información. Aquellos procedimientos que regulan el propio funcionamiento del SGSI. Documento que contiene los objetivos de control y los controles contemplados por el SGSI, basado en los resultados de los procesos de evaluación y tratamiento de riesgos, justificando inclusiones y exclusiones. Descripción de la forma como se realizará la evaluación de las amenazas, vulnerabilidades, probabilidades de ocurrencia e impactos en relación a los activos de información dentro del alcance definido, y los criterios de aceptación de riesgo. Estudio resultante de aplicar la metodología de evaluación anteriormente mencionada a los activos de información de la organización. Plan de tratamiento de los riesgos. Documento que identifica los planes para enfrentar diferentes escenarios. Las pruebas, los análisis del resultado de las pruebas y las acciones de mejoras del plan. Todos los necesarios para asegurar la planificación, operación y control de los procesos de seguridad de la información, así como para la medida de la eficacia de los controles implantados. Evidencia objetiva del funcionamiento del SGSI Presentación ISO en congreso CIGRAS

30 Tel (56-2) Fax (56-2) Teatinos 500 / Santiago / CHILE Rodrigo Baldecchi rodrigo.baldecchi@sonda.com FIN Presentación ISO en congreso CIGRAS