AENOR. Seguridad en la Gestión de las TICs con normas ISO (Modelo de Gobierno y Gestión de las TICs) Octubre 2013 Dirección de Desarrollo AENOR

Transcripción

1 Seguridad en la Gestión de las TICs con normas ISO (Modelo de Gobierno y Gestión de las TICs) Carlos Manuel FERNÁNDEZ Ing. en Informática. CISA, CISM. MBA Gerente de TICs () Vocal del Colegio Profesional de Ingenieros en Informática de Madrid (CPIICM) Profesor Máster (UNIR/UPSAM) Octubre 2013 Dirección de Desarrollo

2 AGENDA 1. QUIÉN ES 2. MODELO DE GOBIERNO Y GESTION DE 3. POR QUÉ Y ASPECTOS CLAVES DE SGSI - ENS 4. PROCESO DE CERTIFICACION SGSI 5. BIBLIOGRAFIA 6. ALGUNOS DATOS 7. CONCLUSIONES

3 Asociación privada de Normalización y Certificación es el representante de ISO en España y algunos países de Latinoamérica. Sin ánimo de lucro Constitución: 1986 Real decreto 2200/95 Corporación INTERNACIONAL (12 filiales) México ( +10 años en México DF y Delegaciones) Multisectorial Normalización Certificación productos, servicios, sistemas de gestión y personal Servicios de Formación es miembro de IQNET

4 ASOCIACIÓN ESPAÑOLA DE NORMALIZACIÓN Y CERTIFICACIÓN Entidad privada, independiente, sin ánimo de lucro ACTIVIDADES -Elaborar normas técnicas nacionales (UNE) y participar en la elaboración de normas internacionales -Certificar productos, servicios y empresas (sistemas de gestión) Entidad designada por el Ministerio de Industria y Energía (R.D. 1614/1985), como entidad para desarrollar las actividades de N+C. Reconocida como Organismo de Normalización y para actuar como Entidad de Certificación (R.D. 2200/1995)

5 Datos relevantes Calidad y Seguridad Certificados ISO Certificados OHSAS Certificados IS Certificados ISO Certificados SPICE nivel 2 3 Certificados SPICE nivel 3 Producto Más de Certificados Internacional Más de 45 Acuerdos internacionales para certificación de sistemas Más de 40 Países donde concedido certificados Medioambiente Certificados ISO Certificados EMAS Normalización Más de Normas (UNE y Ratificadas) Recursos Humanos 500 Auditores/25 auditores TICs Cambio Climático Más de 200 proyectos MDL, AC y Voluntarios

6 Centro de Proceso de Datos o Tecnologías de Información y Comunicaciones Qué es un CPD?: Es un Conjunto de: - Personas (Humanware) - Sistemas o Tecnologías (Base de Datos, software, aplicaciones, Hardware, Telecomunicaciones y sala de servers e infraestructura). - Procesos - Infraestructura

7 LAS TICs COMO APOYO A LA GESTION E INNOVACION EN LAS EMPRESAS New Business and Tools for Business To CEOs & CIOs B2C B2B BigData WEB 1.0 WEB 2.0 WEB 3.0? Portal Corporativo Redes Sociales Wikis BYOD e-branding ing e-learning MOBILITY Pdas Smartphone Blakberry / Iphone / HTC GIS RFID CRM ERP SCM CLOUD COMPUTING SaaS (Software As A Service) IaaS (Infraestructure As A Service) PaaS (Platform As A Service) BUSINESS PLAN = PLAN DE TICS (Integración y Alineamiento) 7 FACTORIA DE TICs (Nuevos Servicios y Operaciones de TICs)

8 Cómo perciben los ejecutivos los Sistemas de Información 71% de los ejecutivos están de acuerdo que es una palanca las TI para transformar el negocio 62% creen que las TICs deben focalizarse en la innovación de los procesos de negocio 66% están de acuerdo que las TICs han implicado una gestión de riesgos más compleja en las corporaciones.» Fuente: Ernst&Young study What next for the CIO? (Enero 2011). Una solución al gobierno y la gestión de las TICs es el modelo de de ISO en las TICs donde se realiza el gobierno y la gestión de las TICs alineadas con los objetivos de negocio.

9 Modelo ISO para las TICs y otros entornos La empresa y su continuidad según procesos críticos SGCN ISO Sistema de Gestión Continuidad del Negocio. Creación de Software Objetivo: Gobierno y Gestión de las TICs con estándares ISO. Desarrollo de Software Gobierno de TI ISO / IEC IT Governance Procesos / Servicios Funciones del director de TI Calidad y seguridad en servicios de TI (el día a día) Nivel de Madurez. Ciclo de Vida de SW SPICE ISO Modelo de Evaluación, Mejora y Madurez de Software ISO Ciclo de Vida de Desarrollo de Software Adicionalmente: BPCE Buenas Práctica Comercio Electrónico SGAS - SAM ISO Sistema de Gestión Activos Software (Licencias de Software) ISO Calidad del Producto Software SGSTI ISO Sistema de Gestión Servicios TI ISO Guía de Buenas Prácticas SGSI ISO Sistema de Gestión Seguridad de la Información ISO Guía de Controles Datacenter Green. Sostenibilidad Energética en CPDs- SE CPD- Copyright. Diciembre 2006 Nota: tiene PDCA / Control interno Tecnologías de Información

10 Factores que influyen en la Seguridad de los SI Actualmente: Nueva York y en los 80 s : Mainframe Ciudad de Ávila. Magerit Amplio uso de la Tecnología. Interconectividad de los sistemas. Sistemas abiertos y distribuidos. Cambios muy rápidos en las TICs. Ataques a Organizaciones. Tema atractivo?. Factores externos: Legislación.etc... (Information Security Governance IT Governance Institute). 10

11 Informe de Riesgos en las TICs Uno de cada 5 empleados deja a su familia y amigos usar sus portátiles corporativos para acceder a Internet. (21%). Uno de cada diez confiesa que baja algún tipo de contenido que no debiera mientras está en el trabajo. Dos tercios admiten tener conocimientos muy limitados en materia de seguridad. Un 5% dice que tienen acceso a areas de la red corporativa que no deberían tener. Fuente: McAffee. 11

12 Descripción genérica de un proceso Relaciones con otros procesos Entradas PROCESO -Tareas / Actividades - Procedimientos -Instrucciones Técnicas - Registros (evidencias) Salidas Nota: es conveniente la utilización de workflows en el proceso Indicadores / métricas Un proceso es un conjunto estructurado de actividades diseñado para cumplir un objetivo concreto. Un proceso tiene entradas y salidas. Las organizaciones que persiguen la eficacia en su funcionamiento tienen que identificar y gestionar numerosos procesos que están relacionados entre sí, ya que es frecuente que la salida de un proceso pase directamente a ser la entrada del siguiente proceso.

13 SGSI - UNE ISO MODELO PDCA Definir política de seguridad Establecer alcance del al SGSI Realizar análisis de riesgos Seleccionar los controles P Implantar plan de gestión de riesgos Implantar el SGSI Implantar los controles ISO IEC / Anexo A. ISO IEC A Adoptar las acciones correctivas Adoptar las acciones preventivas A.5 Política de Seguridad de Información A.6 Estructura organizativa de la SI A.7 Clasificación y control de activos A.8 Seguridad ligada al personal A.9 Seguridad física y del entorno C A.10 Gestión de comunicaciones y operaciones A.11 Control de accesos A.12 Desarrollo y mantenimiento de sistemas A.13 Gestión de Incidentes de Seguridad A.14 Gestión Continuidad de Negocio A15 Conformidad y Cumplimiento legislación D Revisar internamente el SGSI Realizar auditorias internas del SGSI Indicadores y Métricas Revisión por Dirección

14 ISO 27001: SG de la Seguridad de la Información Solución a los Riesgos Empresariales, Decisión estratégica de la organización Modelo para la definición, implementación, operación, revisión, mantenimiento y mejora del SG de la SI. Reordenar la Seguridad de los SI. Sigue pautas de ISO 9001 e ISO Para todo tipo de organizaciones. En el marco de los riesgos empresariales generales. Fin, seleccionar controles de seguridad, adecuados y proporcionados. Enfoque por procesos, y para la mejora contínua.

15 Propiedades principales asociadas a la Información DISPONIBILIDAD CONFIDENCIALIDAD Asegurar que los usuarios autorizados tienen acceso cuando lo requieran a la información y sus activos asociados. INTEGRIDAD Garantizar la exactitud y completitud de la información y los métodos de su proceso Asegurar que la información es accesible solo para aquellos autorizados a tener acceso. La gestión eficaz de la Seguridad de la Información permite a la organización preservarlas. Cumplimiento normativo-legal en Europa (Esquema Nacional de Seguridad, LOPD, LPI, LSSI, etc.)

16 Seguridad de la Información Para conducir y operar exitosamente una organización se requiere, que se: salvaguarden los activos, mantenga la integridad de los datos e infraestructura, suministre información relevante y fiable, trabaje de forma eficiente, tengan dispuestos controles internos que aporten garantía razonable de que los objetivos de negocio se alcanzan. PDCA - CITI

17 Riesgos en los sistemas de información Riesgo es una función de: La probabilidad de que una amenaza explote una vulnerabilidad El impacto es el resultante de dicho evento en la organización Riesgos y Amenazas:

18 Análisis y Gestión de riesgos Implantación de controles Procesos de Negocio / Servicios de TI Activos de SI Sistemas de información (Base de Datos) Software (Aplicativos) Hardware Telecomunicaciones Personas Análisis y Gestión de riesgos R=F(X 1,X 2,X 3,X n ) Integridad (X 1 ) Confidencialidad (X 2 ) Disponibilidad (X 3 ) Amenazas (X 4 ) Vulnerabilidades (X 5 ) Impacto Económico (X 6 ) X N Riesgo Residual Activo R 1 Activo R 2 Aplicando ISO/IEC (Selección de Controles)

19 Esquema Nacional de Seguridad. Aspectos clave 1. ISO PDCA. Implícito 2. Categorización de los sistemas. 3 categorías (Alta, media, baja) en cada una de las dimensiones de seguridad (DAICT- Disponibilidad, Autenticidad, Integridad, Confidencialidad, Trazabilidad). En función de la gravedad del impacto que tendría un incidente que afectará a la seguridad de la información o a los servicios 3. Metodología MAGERIT-ENISA. (Análisis de riesgos) 4. CCN-CERT prestará servicios a AAPP (CCN-Centro Criptográfico Nacional-Computer Emergency Reaction Team) Soporte y coordinación para resolver incidentes Formación en el campo de la seguridad de las TICs Información sobre vulnerabilidades, alertas y avisos de nuevas amenazas, etc.

20 Esquema Nacional de Seguridad. Aspectos clave La disposición transitoria del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, publicado en el BOE el 29 de enero de 2010, articula el siguiente mecanismo escalonado para la adecuación a lo previsto en el Esquema Nacional de Seguridad: «los sistemas de las administraciones deberán estar adecuados a este Esquema en el plazo de doce meses, aunque si hubiese circunstancias que impidan la plena aplicación, se dispondrá de un plan de adecuación que marque los plazos de ejecución, en ningún caso superiores a 48 meses desde la entrada en vigor». Ya se ha cumplido el primer plazo de 12 meses y el segundo plazo de 48 meses se cumplirá el próximo 29 de enero de 2014.

21 SGSI - ISO/IEC 27002: Objetivos y Controles

22 La documentación del SGSI Nivel 1 Manual de seguridad Política(s), alcance evaluación de riesgo, declaración de aplicabilidad Nivel 2 Describe procesos - quién, qué, cuándo, dónde ( ) Procedimientos Nivel 3 Describe las tareas y las actividades específicas y cómo se realizan Instrucciones de trabajo, listas de comprobación, formularios, etc. Nivel 4 Proporciona las pruebas objetivas del cumplimiento con las exigencias del SGSI (cláusula ) Registros

23 Ventajas de certificar la Seguridad de la Información Para los Sistemas de Información: Sistematizar las actividades de SI Ahorro de recursos en las actividades de SI, mejorando la motivación e implicación de los empleados Analizar riesgos: identificar amenazas, vulnerabilidades e impactos en la actividad empresarial Establecer objetivos y metas que permitan aumentar el nivel de confianza en la seguridad Planificar, organizar y estructurar los recursos asignados a seguridad de la información Identificar y clasificar los activos de información

24 Ventajas de certificar la Seguridad de la Información Seleccionar controles y dispositivos físicos y lógicos adecuados a la estructura de la organización Asegurar el nivel necesario de disponibilidad, integridad, y confidencialidad de la información Establecer planes para adecuada gestión de la continuidad del negocio Establecer procesos y actividades de revisión, mejora continua y auditoría de la gestión y tratamiento de la información

25 Ventajas de certificar la Seguridad de la Información Para el Negocio: Integrar la gestión de la seguridad de la información con otras modalidades de gestión empresarial Mejorar la imagen, confianza y competitividad empresarial. Certificación y reconocimiento por terceros. Comprobar su compromiso con el cumplimiento de la legislación: protección de datos de carácter personal, servicios sociedad de información, comercio electrónico, propiedad intelectual, etc... Dar satisfacción a accionistas y demostrar el valor añadido de las actividades de seguridad de la información en la empresa. APORTA CONFIANZA A LOS SISTEMAS DE INFORMACIÓN

26 Proceso de Certificación según ISO Auditorías de mantenimiento de la certificación FASE 1: PLANIFICACIÓN DE LA AUDITORÍA Y ESTUDIO DE DOCUMENTACIÓN (presencial) Informe fase 1 CUESTIONARIO PRELIMINAR Y SOLICITUD AUDITORÍAS DE RENOVACIÓN (AL TERCER AÑO) AUDITORÍAS DE SEGUIMIENTO (AL SEGUNDO AÑO) AUDITORÍAS DE SEGUIMIENTO (AL PRIMER AÑO) Auditoría de Certificación (ISO 17021) REGISTRAR LOS RESULTADOS FASE 2: REALIZACIÓN DE LA AUDITORÍA (presencial) Informe final Hoja de datos Alcance : de acuerdo al XXX vigente ELABORACIÓN DEL PLAN DE ACCIONES CORRECTIVAS - PAC Informe de Evaluación y Decisión CONCESIÓN DEL CERTIFICADO

27 Proceso de Certificación en ISO SGSI Evaluación y Decisión Manteniendo una estructura que permita independencia e imparcialidad, en la toma de decisiones para la concesión o no de una certificación se establecen tres niveles: Gerente TICs - Comité Decisión (Concesión / no concesión) TRE (Técnico Responsable Expediente) Revisión de Propuesta (Concesión / no concesión) Auditor Jefe Propuesta (Concesión / no concesión)

28 Acreditación de - SGSI

29 Miembros IQNET

30 e ISO en la actualidad Con más de 400 certificaciones emitidas en SGSI-ISO 27001, destacar: Desde AAPP, Colegios Profesionales, Organizaciones / empresas privadas, bufetes de abogados, etc.

31 Salidas profesionales desde el modelo de FORMACION Titulaciones Propias Ver otras slides ISO SGSI ISO SGSTI ISO SGCN SPICE ISO Madurez en ciclo de vida de software Responsable Consultor Auditor interno Auditor externo Ídem Ídem Ídem Otros Sistemas en Desarrollo con su titulación ISO Gobierno de TI SAM ISO SGAS EA 0044:2013 SE CPD

32 Bibliografía específica Seguridad de la Información Guía de aplicación de la Norma. UNE ISO / IEC para PYMES.. Ediciones MAGERIT: Metodología de análisis y gestión de riesgos de los sistemas de información de las Administraciones Públicas. Seguridad de las Tecnologías de la Información Varios Autores: Eduardo Fdez. Medina, Roberto Moya, Mario Piattini, etc.. Seguridad Informática para empresas y particulares Mc Graw Hill y Panda. Gonzalo Alvárez Marañón y Pedro Pablo Pérez. Revisión: Pedro Bustamante. NIST Special Publication SP : An Introduction to Computer Security.The NIST Handbook. National Institute of Standards and Technology. Information Security Governance: Guidance for Boards of Directors and Executive Management. IT Governance Institute. Control Objectives for Information and Related Technology (Cobit). Implementation guide ISO 27001/ISO Van Haren

33 Futura ISO 27001:2013

34 Bibliografía ISO / ISO 27001

35 Bibliografía

36 Futuro y conclusiones en Sistemas de Gestión en las TICs. Aspectos a considerar: El control interno de Tecnologías de Información no es una moda. El Sistema de Gestión en las TICs ayuda a gestionar el control interno de Tecnologías de la Información alineado e integrado con los objetivos del negocio y el cumplimiento normativo legal y sectorial. ISO incorpora PDCA-motor y el conocimiento-control interno de TICs, cumpliendo objetivos de negocio.

37 Sistemas de Gestión en las TICs. Una historia reciente La simplicidad es la mayor de las sofisticaciones Leonardo Da Vinci

38 Un nuevo reto en las TICs PDCA Ciclo de mejora Continua (Deming) Sistema de Gestión Integrado y alineado con los Objetivos del Negocio. En conclusión: Dormirá tranquilo el/la CIO? Muchas Gracias por su atención! Carlos Manuel FERNÁNDEZ Ing. en Informática. CISA, CISM. MBA Gerente de TICs () Vocal del Colegio Profesional de Ingenieros en Informática de Madrid (CPIICM) Profesor Máster (UNIR/UPSAM) Octubre 2013