Certificación del Sistema de Gestión British Standards Institution América Latina Marzo, 2007 Evento en Bogotá Colombia Aspectos Estratégicos de las Normas ISO27001; ISO 20000 y ISO25999
1 2 3 4 5 El Grupo BSI BSI Management System ISO 27001 ISO 20000 BS 25999
1 El Grupo BSI Misión Historia Unidades de Negocio BSI en Números
Misión En BSI agregamos valor a través del uso de nuestro conocimiento, experiencia y tecnología en mercados que son claves para la economía global. Nosotros aportamos este conocimiento por medio de la entrega de servicios y soluciones para la industria y los negocios, con el objetivo de mejorar la calidad de vida.
Historia 1901 Creación del Comité de Ingenieros para Normalización. 1918 31,000 normas vendidas, 300 comités de normalización establecidos, cambio de nombre a British Engineering Standards Association (BESA). 1922 Registro de la Marca de Certificación de Productos 1929 Recibimiento de Royal Charter 1931 Cambio de nombre a British Standards Institution 1946 Apoyo a la creación de ISO 1953 Establecimiento de Certificación de Productos 1979 Certificación de Sistemas de Calidad a través de la norma BS 5750.
Historia 1987 Publicación de la Norma BS 5750 / ISO serie 9000 1992 Publicación de la primera Norma para Sistemas de Administración del Medio Ambiente (BS 7750) 1993 Creación de la Norma BS 7799 1996 ISO adopta la BS 7750 como ISO 14001 2000 ISO adopta la BS 7799-1 como ISO 17799 2005 ISO adopta la BS 7799-2 como ISO 27001 2005 Mas de 750 localidades certificadas en América Latina a través de las normas ISO 9001, ISO 14001, ISO TS 16949, OHSAS 18001, BS 7799 - ISO27001, AS 9100, ISO 13485, TL 9000
Unidades de Negocio El Grupo está dividido en tres Unidades de Negocios: BSI British Standards: Organismo de Normalización del Reino Unido, desarrolla normas para atender a las necesidades del negocio, de la sociedad y de la comunidad ISO. BSI Management Systems: opera en todo el mundo para proporcionar servicios de certificación de sistemas y ofrecer una amplia gama de servicios de capacitación. BSI Product Services: también conocido como Kitemark, existe para ayudar a la industria a desarrollar nuevos y mejores productos, para garantizar el cumplimiento de leyes y reglamentos actuales y futuros.
BSI en Latin America Panamá Colômbia Manaus Chile Bolívia Argentina Brasília Salvador Belo Horizonte Rio de Janeiro São Paulo Curitiba Porto Alegre Caxias do Sul Futura Oficina Oficina Casa Matriz
BSI en el Mundo
2 BSI Management System Portafolio de Servicios Metodología de Certificación Ventajas de BSI
Portafolio de Servicios Desempeño del Negocio Sustentabilidad del Negocio Continuidad del Negocio Creación de ventajas a través de la mejora del desempeño + GHG, SA 8000 + HACCP, ISO 22001 Demostración de Responsabilidad Minimización de la Interrupción del Negocio a través de la efectiva Administración del Riesgo
Portafolio de Servicios ISO 27001:2005 Sistema de Gestión de Seguridad en Información b El actual sistema de certificación para la Seguridad de Información fue desarrollado por BSI. b La norma BSI BS 7799-2:2002 es la única norma certificable con sistema de acreditación reconocido actualmente. b En finales de 2005, ISO lanzó la norma ISO 27001 teniendo como base los requerimientos de la norma BSI. Posicionamiento BSI: bbsi tiene una participación de 45% de todo el mercado mundial de certificación en Seguridad de Información. http:// www.iso27001certificates.com
Portafolio de Servicios ISO 20000:2006 Sistema de Gestión de Servicios de TI b Debido a mayor necesidad actual y futura de la infraestructura informática y informaciones que las organizaciones proveen; b El éxito de las organizaciones depende, cada vez mas, de servicios de TI con mas calidad y menor costo; bfuerte interacción con otros aspectos de sistemas de gestión b Posicionamiento BSI: - BSI tiene una participación de 42% de todo el mercado mundial de certificación en ISO20000. http://www.isoiec20000certification.com/
Metodología de Certificación Cuestionario Perfil Oferta Contrato Pre Auditoria Auditoria Cert. * Certificado Opcional Cada 3 años Auditorias de Seguimiento * Auditoria de Recertificación * Certificado Cada 6 ó 12 meses * Procesos de acción correctiva son requeridos para no conformidades identificadas
Capacitación Entrenamientos BSI para desenvolvimiento y implementación del Sistema de Gestión de la Seguridad de la Información (SGSI ) ISO 27001:2005 y ISO 17799 Entendimiento y Interpretación de los Requisitos ISO 17779:2005 - Implementación del Sistema de Gestión de la Seguridad de la Información Formación de Auditores Internos del Sistema de Seguridad de la Información Charla ISO 27001:2005 Informaciones y inscripciones: www.bsibrasil.com.br/treinamento y www.etek.com.co/
Formación de Auditores Líderes de la Seguridad de la Información ISO 27001:2005 - IRCA El entrenamiento del BSI presenta los principios y las prácticas en Sistemas de Gestión de Seguridad de la Información y los procesos relacionados a la auditoria en conformidad con las normas ISO 27001:2005 e ISO 19011:2002. El curso tiene acreditación Internacional del IRCA (International Register of Certified Auditors). Forma de evaluación: Examen escrito para la Formación de Auditores Líderes ISO 27001:2005- IRCA. y evaluación continua (evaluación diaria del desempeño de los alumnos). Requisitos requeridos : Conocimiento previo de las normas ISO/IEC 17799:2005 y BS 7799-2:2002. Experiencia en auditoria interna y seguridad de la información. Carga horaria total: 40 horas /clase
Normas Internacionales de Tecnología de Información ISO 27001 / ISO 20000 BS 25999
3 ISO 27001 Historia Qué es Qué NO es Porqué certificar Implementando ISO 27001
ISO/IEC 27001 Information Security
ISO/IEC 27001 Evolución BS BS 7799:1995 7799:1995 BS BS ISO/IEC ISO/IEC 17799:2000 17799:2000 BS7799-1 ISO/IEC ISO/IEC 17799:2005 17799:2005 ISO/IEC 27002:2005 BS BS 7799-1:1999 7799-1:1999 Revisado en UK 1999: UK Decisión de comité de despachar a ISO Fast track Ciclo normal de revisión en ISO Decisión del Comité Internación de cambiar numeración 1995 2000 2005 2007 BS BS 7799-2:1999 7799-2:1999 Desarrollado developed to para support apoyar certification la certificación BS 7799-2 2004: decisión de UK De despachar a ISO Fast - track Decisión del Comité Internacional de cambiar la numeración ISO/IEC 27001:2005
Qué es ISO/IEC 27001? ISO/IEC 27001:2005 es una inversión en el futuro de la compañía Un sistema de gestión basado en el riesgo, para ayudar a la organización planificar e implementar un Sistema de Gestión de Seguridad de la Información (ISMS), Apoya a las organizaciones al proveer una aproximación estructurada y proactiva hacia la seguridad de la información mediante Garantizando que las personas, procedimientos, procesos y tecnología apropiados, están en su lugar para proteger informaciones bienes activos Ayuda a minimizar posibles daños a organizaciones que pueden ser causadas por acciones deliberadas o accidentales.
Qué es ISO/IEC 27001? Standard Auditable Certificación de 3ra parte Marco para administrar un Programa de Seguridad de la Información Permite considerar aspectos legales, reglamentarios y requisitos contractuales Mejora Continua (Ciclo PDCA)
PDCA Requerimientos Requerimientos del del Negocio Negocio Requerimientos Requerimientos Del Cliente Del Cliente Solicitudes Solicitudes de de Cambios de Cambios de Servicios Servicios Otros Otros procesos procesos e.j e.j negocios, clientes negocios, clientes proveedores, proveedores, Mesa Mesa de de Ayuda Ayuda Otros Otros equipos equipos e.j. e.j. Seguridad, Seguridad, Operaciones Operaciones TI TI Gestión de Servicios Responsabilidades Responsabilidades de de la la Alta Alta Dirección Dirección DO Implementar la Gestión De Servicios PLAN Planificar la Gestión de Servicios CHECK Monitorear, Medir y Verificar ACT Mejora Continua Resultados del Resultados del Negocio Negocio Satisfacción n del Satisfacción del Cliente Cliente Nuevo/cambiado Nuevo/cambiado servicio servicio Otros Otros procesos procesos e.j. e.j. negocios, clientes negocios, clientes proveedores, proveedores, Satisfacción n del Satisfacción del Equipo y Equipo personas y personas
Qué NO ES ISO/IEC 27001 ISO/IEC 27001 no es un estándar exclusivo de TI. No hay requerimientos tecnológicos en ISO/IEC 27001, tales como firewall o siquiera la necesidad de un computador. Sin embargo, existen controles relacionados con TI. El correcto posicionamiento de ISO/IEC 27001 es clave para la implementación exitosa de un Sistema de Gestión de Seguridad de la Información
Porqué algunas Compañías podrían NO Certificarse? Mientras las organizaciones ven beneficios inmediatos en la implementación de un ISMS, no es asi en los beneficios de registro o certificación. Seguridad de la Información es vista por muchas organizaciones como un costo adicional o deuda versus ganancia. Muchas organizaciones están abrumadas por requerimientos legales y regulatorios y son reacias a implementar requerimientos voluntariamente. Seguridad de la información usualmente se visualiza como un tema tecnológico o técnico. Las organizaciones usualmente toman una aproximación reactiva hacia la seguridad, mas que proactiva; si no hay problema, no lo resuelva, o más específicamente, no gaste tiempo, dinero y recursos en algo que no es un problema aún. ISO/IEC 27001 es una aproximación relativamente amplia hacia la implementación de seguridad. El lenguaje utilizado en este estándar es una mezcla de conceptos de gestión y técnicos, especialmente en los objetivos de los controles y los controles.
Porqué las compañías deberían considerar la certificación? Es un marco que considerará todos los requerimientos legales y reglamentarios. Entrega la habilidad de demostrar e independientemente garantizar, los controles internos de la compañía (Gobierno Corporativo) Prueba el compromiso de la Alta Dirección con la seguridad de la información de la empresa y sus clientes. Ayuda a proveer de un margen de competitividad para la compañía. Reduce la cantidad de tiempo y esfuerzo cuando se realizan auditorias internas o externas. Es más fácil obtener financiamiento y recursos para el equipo de seguridad de la información y objetivos de la seguridad. Provee una meta, la que ayudará a facilitar la implementación de un ISMS y controles de seguridad. Formaliza e independientemente verifica, procesos, procedimientos y documentación de Seguridad de la información. Verifica independientemente que los riesgos de la compañía están apropiadamente identificados y gestionados. Ayuda a identificar y reunir requerimientos contractuales y reglamentarios Demuestra a los clientes que la seguridad de SU información es tomada en serio.
Alcance y Límites El estándar internacional ahora requiere que la organización defina el alcance y los limites de su ISMS [4.2.1 a], que ahora debe incluir detalles, y justificaciones para, cualquier exclusión del alcance.
Evaluando el Riesgo Ahora las organizaciones deberán definir (y documentar) como evaluarán el riesgo [4.2.1 c]. Seleccionando y documentando una metodología de evaluación de riesgo que permita que la evaluación de riesgo produzca resultados comparables y reproducibles [4.2.1 c y 4.3.1 d]. Las Evaluaciones de riesgo deben ser revisadas a intervalos planificados [4.2.3 d], y Que la Dirección revise las actualizaciones de las evaluaciones de riesgo y el plan de tratamiento de estos [7.3 b]. Debe ser completado a lo menos una vez al año como parte de la revisión de la Dirección, del sistema de gestión de la seguridad de la información (ISMS) [7.1]. Debe existir trazabilidad y relación desde el control seleccionado hacia el resultado de la evaluación de riesgo y el proceso de tratamiento de este, y subsecuentemente hasta la política del ISMS y sus objetivos [4.3.1]. Aunque implícito en el estándar actual, esto ahora se ha clarificado en el estándar internacional.
Obligaciones Contractuales Adicionalmente a requerimientos legales y reglamentarios, el estándar internacional ahora pone fuerte énfasis en las obligaciones contractuales en todas las etapas del ISMS, incluyendo: Evaluación de riesgo, Tratamiento de riesgo, Selección de controles, Control de registros, Recursos, Monitorear y evaluar el ISMS, y Requerimientos documentales.
Qué deben hacer las organizaciones certificadas? Las organizaciones actualmente certificadas bajo BS 7799-2:2002 deben considerar los cambios de la versión 2005 y actualizar su sistema de gestión de seguridad de la información. Las organizaciones certificadas bajo BS 7799-2:2002 serán transferidas a ISO/IEC 27001. El período de transición depende de las declaraciones de transición que realicen los cuerpos de Acreditación Nacional. En la práctica, se espera que las diferencias sean consideradas durante la próxima visita de seguimiento por un asesor y, si corresponde, se emita una recomendación para otorgar al cliente un certificado con la numeración ISO/IEC 27001:2005. Durante el período de transición, se espera que donde el cliente no ha realizado los cambios hacia el nuevo estándar, pero aun en el período de transición, el asesor registrará esta diferencia como un comentario/observación. Una vez terminado el período de transición, estas se convertirán en no-conformidades y el registro estará en riesgo.
Estableciendo el ISMS (Plan) Alcance y Límites Define the scope and boundaries Identificar of the el Riesgo metodología de Information Del ISMS Security Management System (ISMS) Definir una política Identificar y evaluar Las alternativas de Tratamiento del riesgo Definir la Evaluación de Riesgo Analizar y Evaluar el Riesgo Seleccionar Objetivos de controles y controles Aprobación por la Dirección de los riesgos residuales propuestos Autorización de la Dirección para implementar y operar un ISMS Declaración de Aplicabilidad
Implementando y Operando el ISMS (Do) Acciones de Administración Recursos Prioridades Plan de Tratamiento de Riesgo Para la Gestión de los Riesgos de la Seguridad de la Información Responsabilidades
Implementando y Operando el ISMS (Do) O Definición de cómo medir la Define como efectividad de medir la Objetivo: Asegurar que la información recibe un apropiado grupos de nivel de protección efectividad controles de controles 7.2 Clasificación de la Información 7.2.1 Pauta de Clasificación Control La información debe ser clasificada según su valor, requerimiento legal, sensibilidad y nivel de criticidad para la organización 7.2.2 Etiquetado y Manipulación de la Información Define como Control medir la Un conjunto de procedimientos efectividad apropiados para la identificación y manipulación de la información debe de ser controles desarrollado e implementado de acuerdo con el esquema de clasificación adoptado por la organización
Implementando y Operando el ISMS (Do) Implementando programas de capacitación y sensibilización Empleados (end users) Administradores Alta Dirección Recursos Humanos Departamento Legal Comercializadores independientes, Outsourcers, etc. Auditorias, Administradores de Cumplimiento, etc. IT Administradores de sistemas Operadores de redes Help Desk
Implementando y Operando el ISMS (Do) Gestionar operaciones y recursos del ISMS. Implementar procedimientos y otros controles para la detección de y respuesta a incidentes de seguridad.
4 ISO 20000 Definiciones Historia Objetivos Beneficios Certificación
Definiciones Gestión de Servicios TI La gestión de Servicios TI para soportar una o más áreas de negocios ISO/IEC 20000 El primer estándar global que apunta específicamente a gestión de servicios IT
ISO/IEC 20000 Parte 1 Especificación para la Gestión de Servicios. ISO/IEC 20000-1: 2005 Parte 2 Código de práctica para la Gestión de Servicios ISO/IEC 20000-2:2005
Historia Gobierno de UK lanza IT Infrastructure Library (ITIL) en 1989 ITIL define mejores prácticas de procesos y procedimientos ITSMF se forma en 1991 para desarrollar más las mejores prácticas ITSMF se acerca a BSI para desarrollar un estándar BS 15000 publicado por primera en 2000 como una especificación (Revisado en 2002) BS 15000 revisado y se transforma en ISO/IEC 20000 en Diciembre 2005
Direccionadores del Estándar Cambiar de invertir en herramientas de desarrollo de software, a administrar la calidad de los servicios una vez vivos. La necesidad de entregar servicios de entrega de servicios de costo efectivos Falta de orientación y estándares aceptados Subir el perfil del departamentos de IT o la organización Enfocado en el Gobierno de UK, ITIL y itsmf
Calce de Productos ISO/IEC 20000 ISO/IEC 17799 ISO 9001:2000 ISO 9001/2/3:1994
Objetivos de ISO/IEC 20000 Promover la adopción de una visión integrada de procesos para efectivamente entregar servicios gestionados que cumplan los requerimientos del negocio y clientes ISO/IEC 20000-1:2005 Permitir la comprensión de las mejores prácticas, beneficios objetivos y posibles problemas de la gestión de servicios. Ayudar a las organización a generar retornos o ser mas costo efectivos vía la gestión de servicios profesionales.
Beneficios del Producto La implementación provee control, mayor eficiencia y oportunidades de mejora Transformar departamentos enfocados en tecnologías en unos enfocados en servicios. Asegurar que los servicios IT están alineados con y satisfacen los requerimientos de la empresa. Mejorar la credibilidad y disponibilidad del sistema. Proveer las bases para acordar niveles de servicio y la habilidad de medir la calidad de los servicios IT.
Certificación ISO/IEC 20000 se cada vez mas visto como el estándar de calidad para la Gestión de Servicios IT Muchas compañías se esfuerzan por adoptar debido a: Los beneficios para si mismos, y Para ayudar a calificar y elegir proveedores y organizaciones asociadas Solamente el esquema de certificación formal provee de verificación de cumplimiento en forma independiente Sube el perfil interno de una organización IT
5 BS 25999 Definiciones Sinopsis
BS 25999 Sistema de Gestión de Continuidad de Negocios
Definiciones BS 25999-1 Códigos de Prácticas para Gestión de Continuidad del Negocio ( Parte que substituirá el actual PAS 56). BS 25999-2 Especificación para Gestión de Continuidad de Negocio. ( No está siendo certificada por el momento)
Sinopsis de la BS 25999-1 BS 25999-1 Códigos de Prácticas para Gestión de Continuidad de Negocio ( Parte que substituirá al actual PAS 56). Gerenciamiento de Programa de Continuidad de Negocios papeles y Responsabilidad Entendiendo su negocio y organización en el contexto de BCM Evaluación de riesgo Identificando factores críticos. Determinando las opciones de su BCM Monitoreando para minimizar impactos con incidentes Evaluando sus opciones de estrategia de producto/servicio y opciones de continuidad para diferentes elementos. Desarrollando e Implementando el BCP Plan de gestión de incidentes Plan de continuidad de negocio Realizando ejercicios de BC, mantenimiento, y auditoria. Introduciendo el BCM en la cultura organizacional.
Thank You BSi Management Systems Alan Santos Cori BSI