Manuel Ballester, CISA, CISM

Conferencia Latin America CACS 2007 #333 Lecciones aprendidas sobre la certificación en el estándar ISO 27001 y su relación con Cobit. Preparada por Manuel Ballester, CISA, CISM

Reflexión Inicial Cuanto más se dividen los obstáculos, son más fáciles de vencer Concepción Arenal; (1820-1893) Escritora

INDICE 1. Normas OCDE - ISO 27001 COBIT 2. Sistemas de Gestión / Gobernanza de Seguridad 3. Implantación 4. Despliegue de Políticas y Procedimientos 5. Métricas e Indicadores 6. Auditoría del Control Interno de Seguridad 7. Conclusiones

1. Normas OCDE - ISO 27001 COBIT Directrices para la Seguridad de los Sistemas de Información y las Redes Pretenden ayudar a los países y a las empresas a construir un marco de trabajo para la seguridad de sus sistemas de información; y, en última instancia, constituir un punto de referencia para ayudarles a medir su progreso en este ámbito. Definen nueve (9) principios: concienciación, responsabilidad, respuesta, ética, democracia, evaluación de riesgos, diseño e implantación de la seguridad, gestión de la seguridad y reevaluación. El marco cubre leyes, códigos de conducta, medidas técnicas, prácticas tanto para el nivel directivo, como para los usuarios, y actividades de concienciación/formación general.

Conformidad Legal SOX BaselII LOPD LSSICE LPI Ley Firma Electrónica Ley Factura Electrónica Ley Receta electrónica. 1. Normas OCDE - ISO 27001 COBIT

1. Normas OCDE - ISO 27001 COBIT ISO/IEC 17799:2005, Code of Practice for Information Security Management Año: 2005 (primera edición, 2000) Editor: International Organization for Standardization (ISO) URL: http://www.iso.ch Pretende ser el punto único de referencia para identificar el rango de controles necesarios en la mayoría de las situaciones en las que se emplean sistemas de información, tanto en la industria, como en el comercio. Basa el concepto de seguridad de la información en los principios de confidencialidad, integridad y disponiblidad.

1. Normas OCDE - ISO 27001 COBIT ISO/IEC 17799:2005, Code of Practice for Information Security Management Año: 2005 (primera edición, 2000) Editor: URL: International Organization for Standardization (ISO) http://www.iso.ch 11 Áreas de Control Política de Seguridad Organización de la Seguridad de la Información Gestión de Activos Seguridad en los Recursos Humanos Seguridad física y del entorno Gestión de comunicaciones y operaciones Control de accesos Adquisición, desarrollo y mantenimiento de sistemas de información Gestión de incidentes de seguridad Gestión de continuidad del negocio Conformidad

1. Normas OCDE - ISO 27001 COBIT La evolución de CobiT Gobernanza de TI Gestión de TI Auditoría de Sistemas de Información Control Interno de TI 1996 Abr. 1998 Jul. 2000 Nov. 2005 / Mar.2007 CobiT CobiT 2 CobiT 3 CobiT 4 / 4.1

1. Normas OCDE - ISO 27001 COBIT Estructura de CobiT ME1 ME2 ME3 ME4 Monitorizar y Evaluar el desempeño de TI. Monitorizar y Evaluar el control interno. Garantizar el cumplimiento regulatorio. Proveer Gobernanza de TI. DS1 Definir y administrar niveles de servicio. DS2 Administrar servicios de terceros. DS3 Administrar desempeño y capacidad. DS4 Asegurar continuidad de servicio. DS5 Garantizar la seguridad de los sistemas. DS6 Identificar y asignar costos. DS7 Educar y capacitar usuarios. DS8 Administrar servicios de apoyo e incidentes. DS9 Administrar la configuración. DS10 Administrar problemas. DS11 Administrar datos. DS12 Administrar el ambiente físico. DS13 Administrar operaciones. OBJETIVOS DE LA ENTIDAD OBJETIVOS DE GOBIERNO CORPORATIVO MARCO DE REFERENCIA C O B I T MONITORIZAR Y EVALUAR Eficacia Eficiencia Conformidad ENTREGAR Y SOPORTAR Fiabilidad INFORMACION RECURSOS DE TI Personas Aplicaciones Infraestructura Información Integridad Disponibilidad Confidencialidad ADQUIRIR E IMPLANTAR PLANIFICAR Y ORGANIZAR PO1 Definir un plan estratégico de TI. PO2 Definir la arquitectura de información. PO3 Determinar la dirección tecnológica. PO4 Definir los procesos de TI, la organización y sus relaciones. PO5 Administrar las inversiones en TI. PO6 Comunicar las directrices y objetivos de la Dirección. PO7 Administrar los recursos humanos de TI. PO8 Administrar calidad. PO9 Evaluar y gestionar los riesgos de TI. PO10 Administrar proyectos. AI1 Identificar soluciones de automatización. AI2 Adquirir y mantener software de aplicación. AI3 Adquirir y mantener la infraestructura tecnológica. AI4 Permitir la operación y uso. AI5 Obtener recursos de TI. AI6 Administrar cambios. AI7 Instalar y acreditar soluciones y cambios.

CobiT Mapping. ISO/IEC 17799:2005 1. Normas OCDE - ISO 27001 COBIT

Dónde encaja CobiT? 1. Normas OCDE - ISO 27001 COBIT Directrices DESEMPEÑO: Metas del negocio CONFORMIDAD Basilea II, Sarbanes- Oxley Act, etc Gobierno Corporativo Balanced Scorecard COSO Gobierno de TI COBIT Estándares de mejores prácticas ISO 9001:2000 ISO 270001 ISO 20000 Procesos y Procedimientos Procedimientos de QA Principios de Seguridad ITIL

2. Sistemas de Gestión / Gobernanza de Seguridad ISO/IEC 27001: 2005 -> PNE-ISO/IEC 27001 - Tecnología de la información. Técnicas de seguridad. - Especificaciones para Sistemas de Gestión de la Seguridad de la Información (SGSI) - Referencia para los procesos de certificación El sistema de gestión de la seguridad de la información (SGSI) es la parte del sistema de gestión de la empresa, basado en un enfoque de riesgos del negocio, para: establecer, implementar, operar, monitorear, mantener y mejorar la seguridad de la información. Incluye. Estructura, políticas, actividades, responsabilidades, prácticas, procedimientos, procesos y recursos.

2. Sistemas de Gestión / Gobernanza de Seguridad Febrero 2001: ISG y los principios de la Seguridad de la Información En febrero de 2001 se publica Information Security Governance: What Directors Need to Know. Se identifican los diez (10) Principios de la Seguridad de la Información: - Rendición de cuentas - Concienciación -Ética - Inclusión - Asignación de recursos - Transversalidad (horizontalidad) - Eficacia - Evaluación progresiva (continua) - Conformidad - Compartición de información La expresión Information Security Governance queda acuñada.

2. Sistemas de Gestión / Gobernanza de Seguridad Niveles de gobernanza Gobernanza de SI Gobernanza de TI Gobernanza Corporativa Gobernanza corporativa La provisión de la estructura que permita determinar los objetivos de la Organización y supervisar el rendimiento, a fin de asegurar que los objetivos son cumplidos. OCDE (2004) Gobernanza de la Información y Tecnologías afines La especificación del marco de derechos a la toma de decisiones y la alta responsabilidad para favorecer un comportamiento deseable en el uso de las TI. MIT/Sloan School of Management (2004) No obstante, la Gobernanza no tiene que ver con qué decisiones son tomadas - eso es Gestión -; sino que tiene que ver con quién toma las decisiones y con cómo se toman. Gobernanza de la Seguridad de la Información y Tecnologías afines El establecimiento y mantenimiento de un marco que provea garantía de que las estrategias de seguridad de la información están alineadas con los objetivos del negocio y son conformes a las leyes y regulaciones aplicables ISACA/CISM BoK (2002)

3. Implantación El SGSI adopta el modelo PDCA (Plan, Do, Check, Act) Establecer Sistema Implementar y operar Plan Do SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN Act Check Mantener y mejorar Monitorear y revisar

3. Implantación Macroactividades en cada etapa: P D C A PLAN Alcance Política Análisis Riesgos Selección de controles SOA (Statement Of Applicability) DO Plan de tratamiento Implementación controles Evidencia Indicadores CHECK Auditorías Revisiones ACT Listo para auditoría de certificación Acciones correctivas y preventivas 0 1 2 3 4 5 6 7 8 9 10 11 12 Tiempo en meses (únicamente como referencia*)

3. Implantación Lecciones aprendidas en la etapa del Plan PLAN Alcance SGSI Política SGSI Análisis de riesgos SOA

3. Implantación Consideraciones para elegir el Alcance del SGSI Proceso crítico para el negocio Proceso bajo control del área que lidera el proyecto Tamaño de la infraestructura tecnológica Número de usuarios BCP/DRP probado Políticas de seguridad implementadas Programa de concientización Clasificación de la información

3. Implantación Lecciones aprendidas en la etapa del Do DO Plan de tratamiento Implementación de controles Recolección de evidencia

3. Implantación Lecciones aprendidas en la etapa del Check CHECK Revisiones gerenciales Auditorías internas Revisiones técnicas Revisiones independientes

3. Implantación Lecciones aprendidas en la etapa del Act ACT Acciones correctivas Acciones preventivas)

Más lecciones aprendidas 3. Implantación

Más lecciones aprendidas 3. Implantación

Mapa de ruta (Implementación de IT Governance : Usando CobiT) 3. Implantación IDENTIFICAR NECESIDADES Fomentar la conciencia y obtener compromiso Analizar metas del negocio & TI Seleccionar procesos y controles Analizar riesgos Definir el Alcance PREVER LA SOLUCIÓN Definir el desempeño actual Definir objetivos de mejora Analizar inconsistencias e identificar mejoras PLANEAR LA SOLUCIÓN Definir proyectos Desarrollar un plan de mejora IMPLEMENTAR LA SOLUCIÓN Implementar las mejoras Integrar medidas en el ITBSC Revisión Post implementación CONSTRUIR SOSTENIBILIDAD Desarrollar Estructura & Procesos del Gobierno de TI

4. Despliegue de Políticas y Procedimientos SENSIBLIZACIÓN FORMACIÓN CONCIENCIACIÓN ATRIBUTO «QUÉ» «CÓMO» «POR QUÉ» NIVEL INFORMACIÓN CONOCIMIENTO ENTENDIMIENTO OBJETIVO IDENTIFICAR Y RECONOCER EL OBJETIVO DE LA SEGURIDAD DESARROLLAR LAS HABILIDADES PARA RESOLVER LOS PROBLEMAS DE SEGURIDAD ENTENDER POR QUÉ ES IMPORTANTE LA SEGURIDAD MÉTODO DE APRENDIZAJE MEDIOS -BOLETÍN -VIDEOS -PÓSTERS -DOCUMENTO IMPRESO -CURSOS -SEMINARIOS INSTRUCCIONES PRÁCTICAS -DOCUMENTO IMPRESO -CASOS EJEMPLO Y CASOS PRÁCTICOS -CONSEJOS Y RECOMENDACIONES INSTRUCCIONES TEÓRICAS -DEBATES -SEMINARIOS -DOCUMENTOS ESCRITOS SOBRE EL TEMA -CURSOS VERIFICACIONES -COMPRENSIÓN -ENTREVISTAS -ESTUDIO DE CASOS -RESOLUCIÓN DE PROBLEMAS (APLICAR CUANDO YA SE HAYA APRENDIDO) -ACTIVIDADES DE REFUERZO EXAMEN ESCRITO, ENSAYO, TRABAJO ESCRITO (INTERPRETACIÓN DE LO QUE SE HA APRENDIDO) TIEMPO REQUERIDO A CORTO PLAZO A MEDIO PLAZO A LARGO PLAZO

5. Métricas e Indicadores Objetivos e indicadores Objetivo Mantener la reputación y el liderazgo empresarial Lo alcanzaremos? KPI (Key Performance Indicator / Indicador Clave de Rendimiento): Hacer el trabajo Actuar KPI Número de accesos no autorizados en el último mes Indican cómo se está desarrollando el proceso, cuál está siendo su comportamiento. Predicen la probabilidad es éxito o fracaso en el futuro. Son indicadores guía. Ayudarán a mejorar el proceso de Seguridad de la Información cuando sean medidos y se actúe sobre ellos. KGI Número de incidentes que han afectado a la imagen pública Lo hemos alcanzamos? KGI (Key Goal Indicator / Indicador Clave de Meta u Objetivo): Indican, después del hecho, si un determinado objetivo se ha alcanzado.

5. Métricas e Indicadores Cuadro de Mando Integral Financiera Qué objetivos financieros se deben alcanzar El Cuadro de Mando Integral (BSC, Balanced ScoreCard) presenta el rendimiento desde cuatro perspectivas. Cliente Qué necesidades del cliente deben ser servidas Interna En qué procesos internos debe distinguirse la Organización Los KGI hacen referencia a las vertientes financiera y del cliente, dentro del BSC. Aprendizaje Cómo debe aprender e innovar la Organización Los KPI se enfocan hacia el proceso y la dimensión del aprendizaje.

Cuadro de Mando Integral. Un ejemplo 5. Métricas e Indicadores KGI Reducir el tiempo y esfuerzo requeridos para hacer cambios. Perspectiva Financiera KPI Perspectiva del cliente Objetivos de negocio / Preocupaciones de TI KGI Objetivo de TI Mayor dirección al neg. Implantar la nueva infraestructura de red Perspectiva Interna KGI KPI KGI KPI Reducir el número de interrupciones causadas por errores de gestión de cambios. Reducir el número de soluciones de emergencia. Reducir el trabajo adicional causado por especificaciones de cambio inadecuadas. KGI Aprender e innovar KPI Formación completada en cuatro (4) meses.

6. Auditoría del Control Interno de Seguridad Objetivos de auditoria SGSI Para obtener la certificación. Revisar conformidad con la norma (ISO/IEC 27001) Revisar grado de puesta en práctica del sistema Revisar la eficacia y adecuación en el cumplimiento de: Política de seguridad Objetivos de seguridad Identificar los fallos y debilidades en la seguridad Proporcionar una oportunidad para mejorar el SGSI Cumplir requisitos contractuales. Cumplir requisitos regulatorios.

6. Auditoría del Control Interno de Seguridad Directrices de Auditoría de CobiT El proceso de auditoría Orientan en la preparación de programas de auditoría, a través de una estructura comúnmente aceptada del PROCESO de AUDITORÍA ADQUIRIR EVALUAR VALORAR JUSTIFICAR basada en: [ADQUIRIR] conocimiento, a través de: - entrevistando - obteniendo [EVALUAR] la conveniencia de los controles establecidos: - considerando [VALORAR] la suficiencia: - probando que [JUSTIFICAR] el riesgo de que los objetivos de control no se alcancen: - ejecutando - identificando

7. Conclusiones CONCLUSIONES: - Generales - De Definición de Sistema - Sobre Gestión de Riesgos - Sobre Implantación del Sistema - Aseguramiento de Sistema - Mejora

7. Conclusiones Generales - Preparación en CONOCIMIENTO de participantes en el Proyecto (CISM) - Obtener apoyo y PARTICIPACIÓN de la Dirección - Obtener estructura organizativa y recursos APROPIADOS (AUTORIDAD) - DIVULGAR y CONVENCER a TODA la Organización del Sistema de Gestión

7. Conclusiones De Definición del Sistema - COMENZAR CON ALCANCE CONOCIDO CONTROLADO y bien delimitado - COMENZAR SELECCIONANDO CONTROLES CUMPLIMIENTO LEGAL - Usar los PROCESOS de CobiT - Usar MAPPING ISO27001 CobiT - CREAR REPOSITORIO UNICO DE CONTROLES - Usar MODELOS DE MADUREZ CobiT - Usar METRICAS E INDICADORES CobiT

7. Conclusiones Sobre Gestión de Riesgos - Análisis de Riesgos por PROCESOS - Seleccionar y Agrupar ACTIVOS POR PROCESOS - Seleccionar Amenazas, Vulnerabilidades por GRUPOS - Seleccionar Mejoras por ORDEN DE RIESGO Y VALORACIÓN - Plan de proyectos usar GAP ANALISIS - Definir INDICADORES Y METRICAS por procesos

7. Conclusiones Implantación Sistema - Desarrollar MENTENER POLITICAS Y PROCEDIMIENTOS - Definir y MANTENER el Plan de Continuidad de Negocio - Desarrollar MANTENER y Desplegar PLAN DE FORMACIÓN y Divulgación

7. Conclusiones Aseguramiento del Sistema - Desarrollar y Mantener Planes de AUDITORIA SOBRE LOS CONTROLES - Desarrollar y Mantener Plan de Auditoria de FORMACIÓN Y DIVULGACIÓN - Desarrollar y Mantener Planes de Auditoria del CONTROL INTERNO

7. Conclusiones Mejora - AMPLIAR ALCANCE cuando esté ESTABLE el sistema - AMPLIAR PROFUNDIDAD en uso de CobiT y GOBIERNO de Seguridad

Reflexión Final El que ha comenzado bien, está a la mitad de la obra Horacio, Quintus Horatius Flaccus (65- a.c.) poeta

Conferencia Latin America CACS 2007 Gracias Preguntas? Manuel Ballester, CISA, CISM mballester@temanova.com