ISO 27001:2013 FastPath

Transcripción

1 Su Seguridad es Nuestro Éxito ISO 27001:2013 FastPath C. Santander, 101. Edif. A. 2º E Barcelona (Spain) Tel.: Fax: C. Arequipa, 1 E Madrid (Spain) Tel.: Fax: Calle 90 # 12-28, Cundinamarca - Bogotá (Colombia) Tel: +57 (1) info@isecauditors.com

2 Índice 1. Qué es FastPath 2. Historia ISO Conceptos Clave: Certificador y Esquema 4. Porqué ISO27001? 5. Estructura de la Norma 6. Preparación de la implantación 7. Justificación de la implantación 8. Grandes Preguntas 9. Cómo implantarla? 10. Recomendaciones FastPath 11. El Anexo A 12. Sólo IT? 13. Roadmap 14. La Certificación 15. CSF

3 Qué es FastPath? Análisis de la norma y sus controles Aplicación de mejores prácticas de implantación Experiencia como consultores implantadores y auditores Implantación rápida, económica y con garantías de éxito

4 Historia ISO27001 y Anexo SL Origen: Normas inglesas de Seguridad y continuidad de la información BS (British Standard) pasa a ISO con otros nombres (ISO/IEC 17799, con orígenes en la norma BS :2002 (España ISO71502)=>ISO/IEC * ) Publicación , revisión 2013 ISO Anexo SL Evitar desconocimiento, formar al personal, reforzando toda la cadena de seguridad, desde el Negocio hasta la persona Control de Proveedores (orientado a la nube) Contemplar la Continuidad del negocio propio como parte del negocio del cliente Asegurar la seguridad en las comunicaciones tanto telemáticas como físicas Enfoque de riesgo mediante metodología Gestionar los eventos de seguridad Orientado a la mejora del sistema (de forma continua) 114 controles (ISO27002) 10 Dominios * Nota: ISO= International Standards Organization, IEC=International Electric Comitee (ambos gestionan las normas técnicas), también aparece la ITU-T (International Telecommunication Union Telecommunication Standardization Sector)

5 Conceptos Clave, certificador y esquema Certificadores: Mundiales: BSI, TÜV, SGS Locales: AENOR, Applus Esquemas: ANAB, UKAS, AENOR Certificador (Auditor) Esquema Certificación Inglaterra Asia Commonwealth España EEUU

6 The Global Risk 2015 World Economic Forum Ponemon Institute Cost of Cybercrime 2015 ISO27001? No es sólo seguridad lógica => Hay que leerla bien No implica únicamente a IT La empresa que la cumple demuestra diligencia debida Entorno, es una acción identificada como mitigadora de riesgo

7 La Norma (10 dominios+1) 1,2,3 Objeto, Consulta y Definiciones 4. Contexto Alcance SGSI 5. Liderazgo Política Roles 6. Planificación Objetivos 7. Soporte Concienciación 8. Operación Riesgos 9. Evaluación del desempeño Seguimiento Auditoría Interna 10. Mejora No Conformidades Mejora Continua ANEXO A (ISO27002) Objetivo15 Proveedores 114 Controles (13 Capítulos)

8 Preparación Empezar por el final! Anexo A (ISO27002) Con el cumplimiento establecer madurez Análisis de riesgos (conocimiento) Con la madurez realizar roadmap Buscar el ok del cliente al roadmap CSF «No somos la NASA», «No me quiero certificar», «Esto para qué sirve», «Es muy caro», «No podré dedicar mi gente a esto que pides», «Ala!», «No es nuestra prioridad en este momento»

9 Para qué? Para: Estar Preparados en caso de ataque / contingencia Demostrar diligencia debida en caso de ataque Conseguir contratos (AAPP, Grandes...) Estrategia mitigadora de pérdidas!!! Perder menos en caso de perder No gastar Ganar Seriedad Ciclo de vida del trabajador,documento/activo Orden Roles de Seguridad Orden Conocernos a nosotros mismos (Riesgos) para actuar Orden, Seriedad, Diligencia (asimetría de la seguridad)

10 Las preguntas del millón Cómo implantarla? En qué orden? Por dónde empiezo? Qué es importante y qué no? Qué me pedirá el auditor? En cuánto tiempo? Cuánto me costará?

11 Cómo Implantarla? Como lo dice la Norma, así? 4.3 Alcance 7.3 Concienciación 8.2 Riesgos 4.4 SGSI 6.2 Objetivos 9.1 Seguimiento 10.2 Mejora Continua 5.2 Política 5.3 Roles 9.2 Auditoría Interna 10.1 No Conformi dades

12 Recomendación de Implantación 4.3 Alcance 6.2 Objetivos 8.2 Riesgos 5.2 Política Spónsor 5.3 Roles 4.4 SGSI 10.1 No Conformida des 9.1 Seguimiento Compromiso Directiva 7.3 Concienci ación 10.2 Mejora Continua 9,2 Auditoría Interna ANEXO A Empresa

13 Y el anexo A?

14 Sólo IT? Contacto con autoridades Trabajadores Partes Externas Proveedores Confidencialidad Control de Acceso Equipos Cambios Teletrabajo Información Código Malicioso Entorno seguro Backup Documentación Desarrollo Incidentes de Seguridad Continuidad Legislación Resto Medidas Seguridad Lógica Resto Medidas

15 Roadmap Mínimo 6 meses Sii (Alcance 1 site): Preauditoría hecha + Inversión HW aprobada Alcance Acotado (1-2 Servicios 1 site) Sponsor alineado y disponible (hits constantes) Equipo motivado (1consultor+1help dentro empresa) Ubicación en cliente o reuniones semanales de deploy Madurez mínima (1) Esquema en 3 rondas: 1ª Madurez 1-2 (6 meses) 2ª Madurez 2-3 (6 meses) 3ª Madurez 3 (y recertificación) PROYECTO DE CAMBIO CULTURAL

16 Certificación? Tras los primeros seis meses se plantea certificación con cierta garantía (60%-70% en función del esfuerzo del cliente) Coste de la certificación debe estar fuera del proyecto de consultoría Los certificadores suelen ser lentos, hay que acordar con ellos el calendario y las jornadas con tiempo suficiente ANTES DE CERTIFICAR repasar TODO el esquema TENER EVIDENCIAS o gestión del riesgo

17 CSF ISO Factores clave que deben estar en certificación (1ª Ronda): Política de Seguridad publicada Usuarios formados Incidentes de Seguridad Roles de Seguridad Plan de Continuidad SGSI 1 revisión (6Meses) lo ideal, hacerla y certificar Seguridad Física Docs internos (Alcance, Liderazgo, ) Análisis de Riesgos Objetivos de Seguridad Y PROPÓSITO DE REVISIÓN EVIDENCIAS!

18 A veces el problema no está en IT

19 MUCHAS GRACIAS PREGUNTAS Carlos Ortiz de Zevallos Torrents INTERNET SECURITY AUDITORS Consultor de Seguridad Miembro ITSMF BSI Lead Auditor ISO27001:2013 Consultor ISO20000 ITIL F/MCP/Scrum Manager

20 Su Seguridad es Nuestro Éxito Su Seguridad es Nuestro Éxito C. Santander, 101. Edif. A. 2º E Barcelona (Spain) Tel.: Fax: C. Arequipa, 1 E Madrid (Spain) Tel.: Fax: info@isecauditors.com Calle 90 # 12-28, Cundinamarca - Bogotá (Colombia) Tel: +57 (1) info@isecauditors.com