Seguridad en la Gestión de las TICs con normas ISO (Modelo de Gobierno y Gestión de las TICs) Carlos Manuel FERNÁNDEZ Ing. en Informática. CISA, CISM. MBA Gerente de TICs () Vocal del Colegio Profesional de Ingenieros en Informática de Madrid (CPIICM) Profesor Máster (UNIR/UPSAM) Octubre 2013 Dirección de Desarrollo
AGENDA 1. QUIÉN ES 2. MODELO DE GOBIERNO Y GESTION DE 3. POR QUÉ Y ASPECTOS CLAVES DE SGSI - ENS 4. PROCESO DE CERTIFICACION SGSI 5. BIBLIOGRAFIA 6. ALGUNOS DATOS 7. CONCLUSIONES
Asociación privada de Normalización y Certificación es el representante de ISO en España y algunos países de Latinoamérica. Sin ánimo de lucro Constitución: 1986 Real decreto 2200/95 Corporación INTERNACIONAL (12 filiales) México ( +10 años en México DF y Delegaciones) Multisectorial Normalización Certificación productos, servicios, sistemas de gestión y personal Servicios de Formación es miembro de IQNET
ASOCIACIÓN ESPAÑOLA DE NORMALIZACIÓN Y CERTIFICACIÓN Entidad privada, independiente, sin ánimo de lucro ACTIVIDADES -Elaborar normas técnicas nacionales (UNE) y participar en la elaboración de normas internacionales -Certificar productos, servicios y empresas (sistemas de gestión) Entidad designada por el Ministerio de Industria y Energía (R.D. 1614/1985), como entidad para desarrollar las actividades de N+C. Reconocida como Organismo de Normalización y para actuar como Entidad de Certificación (R.D. 2200/1995)
Datos relevantes Calidad y Seguridad 25.300 Certificados ISO 9000 1.200 Certificados OHSAS 18001 + 400 Certificados IS0 27001 + 120 Certificados ISO 20000-1 41 Certificados SPICE nivel 2 3 Certificados SPICE nivel 3 Producto Más de 89.570 Certificados Internacional Más de 45 Acuerdos internacionales para certificación de sistemas Más de 40 Países donde concedido certificados Medioambiente 6.220 Certificados ISO 14000 558 Certificados EMAS Normalización Más de25.000 Normas (UNE y Ratificadas) Recursos Humanos 500 Auditores/25 auditores TICs Cambio Climático Más de 200 proyectos MDL, AC y Voluntarios
Centro de Proceso de Datos o Tecnologías de Información y Comunicaciones Qué es un CPD?: Es un Conjunto de: - Personas (Humanware) - Sistemas o Tecnologías (Base de Datos, software, aplicaciones, Hardware, Telecomunicaciones y sala de servers e infraestructura). - Procesos - Infraestructura
LAS TICs COMO APOYO A LA GESTION E INNOVACION EN LAS EMPRESAS New Business and Tools for Business To CEOs & CIOs B2C B2B BigData WEB 1.0 WEB 2.0 WEB 3.0? Portal Corporativo Redes Sociales Wikis BYOD e-branding e-mailing e-learning MOBILITY Pdas Smartphone Blakberry / Iphone / HTC GIS RFID CRM ERP SCM CLOUD COMPUTING SaaS (Software As A Service) IaaS (Infraestructure As A Service) PaaS (Platform As A Service) BUSINESS PLAN = PLAN DE TICS (Integración y Alineamiento) 7 FACTORIA DE TICs (Nuevos Servicios y Operaciones de TICs)
Cómo perciben los ejecutivos los Sistemas de Información 71% de los ejecutivos están de acuerdo que es una palanca las TI para transformar el negocio 62% creen que las TICs deben focalizarse en la innovación de los procesos de negocio 66% están de acuerdo que las TICs han implicado una gestión de riesgos más compleja en las corporaciones.» Fuente: Ernst&Young study What next for the CIO? (Enero 2011). Una solución al gobierno y la gestión de las TICs es el modelo de de ISO en las TICs donde se realiza el gobierno y la gestión de las TICs alineadas con los objetivos de negocio.
Modelo ISO para las TICs y otros entornos La empresa y su continuidad según procesos críticos SGCN ISO 22301 Sistema de Gestión Continuidad del Negocio. Creación de Software Objetivo: Gobierno y Gestión de las TICs con estándares ISO. Desarrollo de Software Gobierno de TI ISO / IEC 38500 IT Governance Procesos / Servicios Funciones del director de TI Calidad y seguridad en servicios de TI (el día a día) Nivel de Madurez. Ciclo de Vida de SW SPICE ISO 15504 Modelo de Evaluación, Mejora y Madurez de Software ISO 12207 Ciclo de Vida de Desarrollo de Software Adicionalmente: BPCE Buenas Práctica Comercio Electrónico SGAS - SAM ISO 19770-1 Sistema de Gestión Activos Software (Licencias de Software) ISO 25000 Calidad del Producto Software SGSTI ISO 20000-1 Sistema de Gestión Servicios TI ISO 20000-2 Guía de Buenas Prácticas SGSI ISO 27001 Sistema de Gestión Seguridad de la Información ISO 27002 Guía de Controles Datacenter Green. Sostenibilidad Energética en CPDs- SE CPD- Copyright. Diciembre 2006 Nota: tiene PDCA / Control interno Tecnologías de Información
Factores que influyen en la Seguridad de los SI Actualmente: Nueva York y en los 80 s : Mainframe Ciudad de Ávila. Magerit Amplio uso de la Tecnología. Interconectividad de los sistemas. Sistemas abiertos y distribuidos. Cambios muy rápidos en las TICs. Ataques a Organizaciones. Tema atractivo?. Factores externos: Legislación.etc... (Information Security Governance. 2001. IT Governance Institute). 10
Informe de Riesgos en las TICs Uno de cada 5 empleados deja a su familia y amigos usar sus portátiles corporativos para acceder a Internet. (21%). Uno de cada diez confiesa que baja algún tipo de contenido que no debiera mientras está en el trabajo. Dos tercios admiten tener conocimientos muy limitados en materia de seguridad. Un 5% dice que tienen acceso a areas de la red corporativa que no deberían tener. Fuente: McAffee. 11
Descripción genérica de un proceso Relaciones con otros procesos Entradas PROCESO -Tareas / Actividades - Procedimientos -Instrucciones Técnicas - Registros (evidencias) Salidas Nota: es conveniente la utilización de workflows en el proceso Indicadores / métricas Un proceso es un conjunto estructurado de actividades diseñado para cumplir un objetivo concreto. Un proceso tiene entradas y salidas. Las organizaciones que persiguen la eficacia en su funcionamiento tienen que identificar y gestionar numerosos procesos que están relacionados entre sí, ya que es frecuente que la salida de un proceso pase directamente a ser la entrada del siguiente proceso.
SGSI - UNE ISO 27001. MODELO PDCA Definir política de seguridad Establecer alcance del al SGSI Realizar análisis de riesgos Seleccionar los controles P Implantar plan de gestión de riesgos Implantar el SGSI Implantar los controles ISO IEC 27002 / Anexo A. ISO IEC 27001 A Adoptar las acciones correctivas Adoptar las acciones preventivas A.5 Política de Seguridad de Información A.6 Estructura organizativa de la SI A.7 Clasificación y control de activos A.8 Seguridad ligada al personal A.9 Seguridad física y del entorno C A.10 Gestión de comunicaciones y operaciones A.11 Control de accesos A.12 Desarrollo y mantenimiento de sistemas A.13 Gestión de Incidentes de Seguridad A.14 Gestión Continuidad de Negocio A15 Conformidad y Cumplimiento legislación D Revisar internamente el SGSI Realizar auditorias internas del SGSI Indicadores y Métricas Revisión por Dirección
ISO 27001: SG de la Seguridad de la Información Solución a los Riesgos Empresariales, Decisión estratégica de la organización Modelo para la definición, implementación, operación, revisión, mantenimiento y mejora del SG de la SI. Reordenar la Seguridad de los SI. Sigue pautas de ISO 9001 e ISO 14001. Para todo tipo de organizaciones. En el marco de los riesgos empresariales generales. Fin, seleccionar controles de seguridad, adecuados y proporcionados. Enfoque por procesos, y para la mejora contínua.
Propiedades principales asociadas a la Información DISPONIBILIDAD CONFIDENCIALIDAD Asegurar que los usuarios autorizados tienen acceso cuando lo requieran a la información y sus activos asociados. INTEGRIDAD Garantizar la exactitud y completitud de la información y los métodos de su proceso Asegurar que la información es accesible solo para aquellos autorizados a tener acceso. La gestión eficaz de la Seguridad de la Información permite a la organización preservarlas. Cumplimiento normativo-legal en Europa (Esquema Nacional de Seguridad, LOPD, LPI, LSSI, etc.)
Seguridad de la Información Para conducir y operar exitosamente una organización se requiere, que se: salvaguarden los activos, mantenga la integridad de los datos e infraestructura, suministre información relevante y fiable, trabaje de forma eficiente, tengan dispuestos controles internos que aporten garantía razonable de que los objetivos de negocio se alcanzan. PDCA - CITI
Riesgos en los sistemas de información Riesgo es una función de: La probabilidad de que una amenaza explote una vulnerabilidad El impacto es el resultante de dicho evento en la organización Riesgos y Amenazas:
Análisis y Gestión de riesgos Implantación de controles Procesos de Negocio / Servicios de TI Activos de SI Sistemas de información (Base de Datos) Software (Aplicativos) Hardware Telecomunicaciones Personas Análisis y Gestión de riesgos R=F(X 1,X 2,X 3,X n ) Integridad (X 1 ) Confidencialidad (X 2 ) Disponibilidad (X 3 ) Amenazas (X 4 ) Vulnerabilidades (X 5 ) Impacto Económico (X 6 ) X N Riesgo Residual Activo 1 -------R 1 Activo 2 -------R 2 Aplicando ISO/IEC 27002 (Selección de Controles)
Esquema Nacional de Seguridad. Aspectos clave 1. ISO 27001 PDCA. Implícito 2. Categorización de los sistemas. 3 categorías (Alta, media, baja) en cada una de las dimensiones de seguridad (DAICT- Disponibilidad, Autenticidad, Integridad, Confidencialidad, Trazabilidad). En función de la gravedad del impacto que tendría un incidente que afectará a la seguridad de la información o a los servicios 3. Metodología MAGERIT-ENISA. (Análisis de riesgos) 4. CCN-CERT prestará servicios a AAPP (CCN-Centro Criptográfico Nacional-Computer Emergency Reaction Team) Soporte y coordinación para resolver incidentes Formación en el campo de la seguridad de las TICs Información sobre vulnerabilidades, alertas y avisos de nuevas amenazas, etc.
Esquema Nacional de Seguridad. Aspectos clave La disposición transitoria del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, publicado en el BOE el 29 de enero de 2010, articula el siguiente mecanismo escalonado para la adecuación a lo previsto en el Esquema Nacional de Seguridad: «los sistemas de las administraciones deberán estar adecuados a este Esquema en el plazo de doce meses, aunque si hubiese circunstancias que impidan la plena aplicación, se dispondrá de un plan de adecuación que marque los plazos de ejecución, en ningún caso superiores a 48 meses desde la entrada en vigor». Ya se ha cumplido el primer plazo de 12 meses y el segundo plazo de 48 meses se cumplirá el próximo 29 de enero de 2014.
SGSI - ISO/IEC 27002: Objetivos y Controles
La documentación del SGSI Nivel 1 Manual de seguridad Política(s), alcance evaluación de riesgo, declaración de aplicabilidad Nivel 2 Describe procesos - quién, qué, cuándo, dónde (4.1-4.10) Procedimientos Nivel 3 Describe las tareas y las actividades específicas y cómo se realizan Instrucciones de trabajo, listas de comprobación, formularios, etc. Nivel 4 Proporciona las pruebas objetivas del cumplimiento con las exigencias del SGSI (cláusula 4.3.2-4.3.3) Registros
Ventajas de certificar la Seguridad de la Información Para los Sistemas de Información: Sistematizar las actividades de SI Ahorro de recursos en las actividades de SI, mejorando la motivación e implicación de los empleados Analizar riesgos: identificar amenazas, vulnerabilidades e impactos en la actividad empresarial Establecer objetivos y metas que permitan aumentar el nivel de confianza en la seguridad Planificar, organizar y estructurar los recursos asignados a seguridad de la información Identificar y clasificar los activos de información
Ventajas de certificar la Seguridad de la Información Seleccionar controles y dispositivos físicos y lógicos adecuados a la estructura de la organización Asegurar el nivel necesario de disponibilidad, integridad, y confidencialidad de la información Establecer planes para adecuada gestión de la continuidad del negocio Establecer procesos y actividades de revisión, mejora continua y auditoría de la gestión y tratamiento de la información
Ventajas de certificar la Seguridad de la Información Para el Negocio: Integrar la gestión de la seguridad de la información con otras modalidades de gestión empresarial Mejorar la imagen, confianza y competitividad empresarial. Certificación y reconocimiento por terceros. Comprobar su compromiso con el cumplimiento de la legislación: protección de datos de carácter personal, servicios sociedad de información, comercio electrónico, propiedad intelectual, etc... Dar satisfacción a accionistas y demostrar el valor añadido de las actividades de seguridad de la información en la empresa. APORTA CONFIANZA A LOS SISTEMAS DE INFORMACIÓN
Proceso de Certificación según ISO 17021 Auditorías de mantenimiento de la certificación FASE 1: PLANIFICACIÓN DE LA AUDITORÍA Y ESTUDIO DE DOCUMENTACIÓN (presencial) Informe fase 1 CUESTIONARIO PRELIMINAR Y SOLICITUD AUDITORÍAS DE RENOVACIÓN (AL TERCER AÑO) AUDITORÍAS DE SEGUIMIENTO (AL SEGUNDO AÑO) AUDITORÍAS DE SEGUIMIENTO (AL PRIMER AÑO) Auditoría de Certificación (ISO 17021) REGISTRAR LOS RESULTADOS FASE 2: REALIZACIÓN DE LA AUDITORÍA (presencial) Informe final Hoja de datos Alcance : de acuerdo al XXX vigente ELABORACIÓN DEL PLAN DE ACCIONES CORRECTIVAS - PAC Informe de Evaluación y Decisión CONCESIÓN DEL CERTIFICADO
Proceso de Certificación en ISO 27001 - SGSI Evaluación y Decisión Manteniendo una estructura que permita independencia e imparcialidad, en la toma de decisiones para la concesión o no de una certificación se establecen tres niveles: Gerente TICs - Comité Decisión (Concesión / no concesión) TRE (Técnico Responsable Expediente) Revisión de Propuesta (Concesión / no concesión) Auditor Jefe Propuesta (Concesión / no concesión)
Acreditación de - SGSI
Miembros IQNET
e ISO 27001 en la actualidad Con más de 400 certificaciones emitidas en SGSI-ISO 27001, destacar: Desde AAPP, Colegios Profesionales, Organizaciones / empresas privadas, bufetes de abogados, etc.
Salidas profesionales desde el modelo de FORMACION Titulaciones Propias Ver otras slides ISO 27001 SGSI ISO 20000 SGSTI ISO 22301 SGCN SPICE ISO 15504 Madurez en ciclo de vida de software Responsable Consultor Auditor interno Auditor externo Ídem Ídem Ídem Otros Sistemas en Desarrollo con su titulación ISO 38500 Gobierno de TI SAM ISO 19770 SGAS EA 0044:2013 SE CPD
Bibliografía específica Seguridad de la Información Guía de aplicación de la Norma. UNE ISO / IEC 27001 para PYMES.. Ediciones. 2012. MAGERIT: Metodología de análisis y gestión de riesgos de los sistemas de información de las Administraciones Públicas. www.csi.map.es/csi/pg5m20.htm Seguridad de las Tecnologías de la Información.. 2003. Varios Autores: Eduardo Fdez. Medina, Roberto Moya, Mario Piattini, etc.. www.aenor.es Seguridad Informática para empresas y particulares. 2004. Mc Graw Hill y Panda. Gonzalo Alvárez Marañón y Pedro Pablo Pérez. Revisión: Pedro Bustamante. NIST Special Publication SP 800-12: An Introduction to Computer Security.The NIST Handbook. National Institute of Standards and Technology. http://csrc.nist.gov/publications/nistpubs/800-12/ Information Security Governance: Guidance for Boards of Directors and Executive Management. IT Governance Institute. Control Objectives for Information and Related Technology (Cobit). www.isaca.org/cobit.htm Implementation guide ISO 27001/ISO 17799. Van Haren
Futura ISO 27001:2013
Bibliografía ISO 20000-1 / ISO 27001
Bibliografía
Futuro y conclusiones en Sistemas de Gestión en las TICs. Aspectos a considerar: El control interno de Tecnologías de Información no es una moda. El Sistema de Gestión en las TICs ayuda a gestionar el control interno de Tecnologías de la Información alineado e integrado con los objetivos del negocio y el cumplimiento normativo legal y sectorial. ISO incorpora PDCA-motor y el conocimiento-control interno de TICs, cumpliendo objetivos de negocio.
Sistemas de Gestión en las TICs. Una historia reciente La simplicidad es la mayor de las sofisticaciones Leonardo Da Vinci
Un nuevo reto en las TICs PDCA Ciclo de mejora Continua (Deming) Sistema de Gestión Integrado y alineado con los Objetivos del Negocio. En conclusión: Dormirá tranquilo el/la CIO? Muchas Gracias por su atención! Carlos Manuel FERNÁNDEZ Ing. en Informática. CISA, CISM. MBA Gerente de TICs () Vocal del Colegio Profesional de Ingenieros en Informática de Madrid (CPIICM) Profesor Máster (UNIR/UPSAM) Octubre 2013