Asociación Latinoamericana de Profesionales en Seguridad Informática, A.C.

Transcripción

1 Tendencias en la Implementación de Sistemas de Gestión de Servicios y Seguridad de TI Septiembre, 2008 Maricarmen García CBCP maricarmen.garcia@secureit.com.mx

2 Contenido Introducción a ALAPSI Situación actual de Sistemas de Gestión Componentes comunes de los Sistemas de Gestión ISO ISO BS25999 ITIL Resumen de estándares y buenas prácticas Preguntas?

3 Introducción a ALAPSI TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS Dirección de estándares y normatividad idad de ALAPSI Inicia actividades en 2007 Coordinación Presidencia ALAPSI (Raúl Aguirre) Coordinadores (Efraín Baldenebro / Mario Ureña) Colaboradores (Miembros ALAPSI / Profesionales de Seguridad de la Información)

4 Introducción a ALAPSI- Funciones Identificar, evaluar, ar analizar, ar crear, documentar, mantener y difundir los mejores estándares, metodologías y prácticas relacionadas con la ejecución de las tareas y responsabilidades del profesional de seguridad de la información.

5 Introducción a ALAPSI- Metas TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS Brindar a los asociados información actualizadaali ada respecto a los estándares y prácticas existentes relativos a la Seguridad de la Información. Contar con un repositorio de estándares y prácticas de Seguridad de la Información. Generar y difundir estándares y prácticas de Seguridad de la Información.

6

7 Situación ió actual (Global) l) TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS Fuente: ITGI IT Governance Global Status Report 2008

8 Situación ió actual (Global) l) TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS Fuente: ITGI IT Governance Global Status Report 2008

9 Situación ió actual (México) TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS No Informáticos Informáticos Fuente: Joint Future Systems (JFS) / Secure Information Technologies - Estudio de percepción sobre seguridad d en informática 2008.

10 Situación ió actual (México) TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS No Informáticos Informáticos Fuente: Joint Future Systems (JFS) / Secure Information Technologies - Estudio de percepción sobre seguridad en informática 2008.

11

12 Componentes comunes de los Sistemas de Gestión Enfocados en Procesos Política Planeación Implementación y operación Revisión de Desempeño Mejora Continua Revisión de la Dirección

13 PDCA TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS Planear-Hacer-Revisar-Actuar / Plan-Do-Check-Act Actividades id d Controles Documentación Recursos Objetivos PLANEAR Mejora Continua HACER Entregar y cumplir con el Plan Proceso Analizar/revisar Decidir/cambiar Mejorar efectividad ACTUAR REVISAR Medir y monitorear conformidad y efectividad

14

15 Inicio i - Qué es información? ió ISO/IEC lo define como: TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS Un activo que, al igual que otros activos importantes de la empresa, es esencial para el negocio de una organización y consecuentemente necesita estar protegido adecuadamente.

16 Qué puede hacerse con la información? ió Crearla Almacenarla Procesarla Transmitirla Utilizarla Destruirla Perderla Corromperla

17 Existe información ió en diferentes formas: Escrita Hablada Almacenada Mostrada visualmente En tránsito etc.

18 Tipos de información ió cubierta por un SGSI: Interna Del Cliente Compartida

19 Propiedades d de seguridad d de la información ió Confidencialidad Asegurar que la información sea accesible sólo para quienes estén autorizados para ello.

20 Propiedades d de seguridad d de la información ió Integridad Asegurar que la información este completa y sea exacta, así como los métodos de procesamiento

21 Propiedades d de seguridad d de la información ió Disponibilidad Asegurar que los usuarios autorizados tengan acceso a la información a los activos relacionados cuando se requiera

22 Estándares del ISMS TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS ISO27001 Requerimientos ISO27002 Código de práctica

23 Objetivo de ISO27001 e ISO27002 TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS Salvaguardar la confidencialidad, integridad y disponibilidad de la información escrita, hablada y electrónica

24 Creador: British Standards Institution Mantenido por International Organization for Standardization Documento (s): ISO/IEC 27001: Information technology Security techniques Information security management systems - Requirements ISO/IEC 27002: Information technology Security techniques Information security management systems Code of practice for information security management ISO/IEC 27005: Information technology Security techniques Information security risk management ISO/IEC 27006: Information technology Security techniques Requirements for bodies providing audit and certification of information security management systems Descripción: Especifica los requerimientos para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un sistema de gestión/administración de seguridad de la información dentro del contexto de los riesgos de negocio de la organización. Especifica los requerimientos para la implementación de controles de seguridad adecuados a las necesidades individuales de organizaciones o partes de ella.

25 27001 Anexo: A.5 Security policy A.6 Organization of information security A.7 Asset management A.8 Human resources security A.9 Physical and environmental security Table A.1 - Control objectives and controls A.10 Communications and operations management A.11 Access control A.12 Information systems acquisition, development and maintenance A.13 Information security incident management A.14 Business continuity management A.15 Compliance

26 Empresas certificadas en México: Organización Standard Alestra ISO/IEC 27001:2005 Axalto de Mexico, S.A. de C.V. ISO/IEC 27001:2005 Comisión Nacional Bancaria y de Valores ISO/IEC 27001:2005 Communicaciones Nextel de Mexico ISO/IEC 27001:2005 Gobierno del Distrito Federal Delegacion Miguel Hidalgo ISO/IEC 27001:2005 GTECH Corporation ISO/IEC 27001:2005 Hispanic Teleservices Corporation, Monterrey, Nuevo Leon ISO/IEC 27001:2005 Impulse Telecom Querétaro ISO/IEC 27001:2005 Organo de Fiscalization Superior del Estado de Puebla, Puebla ISO/IEC 27001:2005 Pronósticos para la Asistencia Pública ISO/IEC 27001:2005 Fuente:

27

28 Creador: British Standards Institution Mantenido por International Organization for Standardization Documento (s): ISO/IEC : Information technology Service management Part 1: Specification ISO/IEC :20052: Information technology Service management Part 2: Code of practice Descripción: Define los requerimientos para la entrega de servicios administrados de un proveedor de servicios. Basado en BS Puede ser utilizado: Negocios que van a ofrecer sus servicios. Evaluar la gestión de servicios de TI. Como base para una evaluación independiente. Demostrar la habilidad para cumplir los requerimientos de clientes. Mejorar los servicios.

29 Objetivo: TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS Proveer un Sistema de Gestión, incluyendo políticas y un marco de referencia para habilitar la Gestión e Implementación efectiva de todos los servicios de TI Fuente: ISO/IEC :2005

30 Estructura t Alcance 2. Términos y definiciones 3. Requerimientos para un Sistema de Gestión 4. Planear e Implementar la Gestión de Servicios 5. Planear e Implementar Servicios Nuevos o Cambios 6. Proceso de Entrega de Servicios 7. Procesos de Relación 8. Procesos de Resolución 9. Procesos de Control 10. Procesos de Liberación

31 1. Alcance Procesos de entrega de servicios Administración de la capacidad Administración de la continuidad y disponibilidad del servicio Procesos de liberación (versiones) Administración de versiones Administración de niveles de servicio Reporte de servicio Procesos de control Administración de la configuración Administración de cambios Procesos de resolución Administración de incidentes Administración de problemas Administración de la seguridad de la información Presupuestación y contabilidad Procesos de relación Administración de relaciones del negocio Administración de proveedores Fuente: BS ISO/IEC :2005 Information technology Service management

32

33 BS Creador: British Standards Institution Documento o (s): BS :2006 Business continuity management Part 1: Code of practice BS :2007 Business continuity management Part 2: Specification Descripción: Especifica los requerimientos para establecer, implementar, operar, monitorear, revisar, ejercitar, mantener y mejorar un Sistema de Gestión/Administración de la Continuidad del Negocio (BCMS) dentro del contexto de administrar los riesgos de negocio de la organización. ió

34 Objetivo: BS Proceso de administración holístico que identifica las amenazas potenciales a la organización y el impacto a la operación del negocio de esas amenazas que, si se realizan, puedan causar y que provee un esquema para construir una resilencia organizacional con la capacidad de respuesta efectiva que salvaguarda los intereses de los accionistas, reputación, marca y actividades que generan valor. Fuente: BS :2007 2:2007, 2.4

35 Entender la Organización BS Ejercitar, mantener y revisar Administrar el programa de BCP Determinar la Estrategia de BCP Desarrollar e Implementar la respuesta de BCP Mejora Continua del Sistema de Administración De Continuidad de Negocio Fuente: BS :2007 Business Continuity Management Partes Interesadas Requerimiento s y expectativas de Continuidad de Negocio Actu ar Mantener y Mejorar Planea r Establecer Revis ar Monitoreo y revisión Hac er Implementar y Operar Partes Interesadas Continuidad de Negocio Administrada

36 Creador: Office of Government Commerce in the United Kingdom Documento (s): ITIL IT Infrastructure Library V3 Service Strategy Service Design Service Transition Service Operation Continual Service Improvement Descripción: Documenta las mejores prácticas para la Administración de Servicios de TI (ITSM). Consiste en una serie de libros que proporcionan guía en la provisión de servicios de TI con calidad.

37

38 El modelo Frankenstein TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS CMMI BSC Val IT COSO COBIT BS DRII ISO 9001 ITIL

39 Motivadores Desempeño Metas del negocio Cumplimiento SOX, BASILEAII, PCI, ETC. Gobierno corporativo BSC Val IT COSO Gobierno de TI Estándares y mejores prácticas CMMI SSE - CMM COBIT ISO 9001 ISO ISO ISO BS PRINCE2 PMBOK / Procesos y procedimientos Procedimientos de desarrollo y mantenimiento Procedimientos de calidad ITIL Principios de Seguridad (OECD) DRII

40 Motivadores Desempeño Metas del negocio Cumplimiento SOX, BASILEAII, PCI, ETC. Gobierno corporativo BSC Val IT COSO Gobierno de TI Estándares y mejores prácticas CMMI SSE - CMM COBIT ISO 9001 ISO ISO ISO BS PRINCE2 PMBOK / Procesos y procedimientos Procedimientos de desarrollo y mantenimiento Procedimientos de calidad ITIL Principios de Seguridad (OECD) DRII

41 Prehistoria ANSI Mapa de estándares TickIT Australian Government BCI Singapore Standards BSI SEI DRII PMI PCI FEMA OSI FFIEC IEEE OGC ISACA OECD ISC2 NIST ISECOM NFPA ISF ITU ISM3 itsmf ISSA

42 PREGUNTAS? Maricarmen García CBCP Director de Consultoría