Su Seguridad es Nuestro Éxito ISO 27001:2013 FastPath C. Santander, 101. Edif. A. 2º E-08030 Barcelona (Spain) Tel.: +34 93 305 13 18 Fax: +34 93 278 22 48 C. Arequipa, 1 E-28043 Madrid (Spain) Tel.: +34 91 763 40 47 Fax: +34 91 382 03 96 Calle 90 # 12-28, Cundinamarca - Bogotá (Colombia) Tel: +57 (1) 638 68 88 info@isecauditors.com www.isecauditors.com
Índice 1. Qué es FastPath 2. Historia ISO27001 3. Conceptos Clave: Certificador y Esquema 4. Porqué ISO27001? 5. Estructura de la Norma 6. Preparación de la implantación 7. Justificación de la implantación 8. Grandes Preguntas 9. Cómo implantarla? 10. Recomendaciones FastPath 11. El Anexo A 12. Sólo IT? 13. Roadmap 14. La Certificación 15. CSF
Qué es FastPath? Análisis de la norma y sus controles Aplicación de mejores prácticas de implantación Experiencia como consultores implantadores y auditores Implantación rápida, económica y con garantías de éxito
Historia ISO27001 y Anexo SL Origen: Normas inglesas de Seguridad y continuidad de la información BS (British Standard) pasa a ISO con otros nombres (ISO/IEC 17799, con orígenes en la norma BS 7799-2:2002 (España ISO71502)=>ISO/IEC * 27.001) Publicación 2004-2005, revisión 2013 ISO 27.001.2013 Anexo SL Evitar desconocimiento, formar al personal, reforzando toda la cadena de seguridad, desde el Negocio hasta la persona Control de Proveedores (orientado a la nube) Contemplar la Continuidad del negocio propio como parte del negocio del cliente Asegurar la seguridad en las comunicaciones tanto telemáticas como físicas Enfoque de riesgo mediante metodología Gestionar los eventos de seguridad Orientado a la mejora del sistema (de forma continua) 114 controles (ISO27002) 10 Dominios * Nota: ISO= International Standards Organization, IEC=International Electric Comitee (ambos gestionan las normas técnicas), también aparece la ITU-T (International Telecommunication Union Telecommunication Standardization Sector)
Conceptos Clave, certificador y esquema Certificadores: Mundiales: BSI, TÜV, SGS Locales: AENOR, Applus Esquemas: ANAB, UKAS, AENOR Certificador (Auditor) Esquema Certificación Inglaterra Asia Commonwealth España EEUU
The Global Risk 2015 World Economic Forum Ponemon Institute Cost of Cybercrime 2015 ISO27001? No es sólo seguridad lógica => Hay que leerla bien No implica únicamente a IT La empresa que la cumple demuestra diligencia debida Entorno, es una acción identificada como mitigadora de riesgo
La Norma (10 dominios+1) 1,2,3 Objeto, Consulta y Definiciones 4. Contexto Alcance SGSI 5. Liderazgo Política Roles 6. Planificación Objetivos 7. Soporte Concienciación 8. Operación Riesgos 9. Evaluación del desempeño Seguimiento Auditoría Interna 10. Mejora No Conformidades Mejora Continua ANEXO A (ISO27002) Objetivo15 Proveedores 114 Controles (13 Capítulos)
Preparación Empezar por el final! Anexo A (ISO27002) Con el cumplimiento establecer madurez Análisis de riesgos (conocimiento) Con la madurez realizar roadmap Buscar el ok del cliente al roadmap CSF «No somos la NASA», «No me quiero certificar», «Esto para qué sirve», «Es muy caro», «No podré dedicar mi gente a esto que pides», «Ala!», «No es nuestra prioridad en este momento»
Para qué? Para: Estar Preparados en caso de ataque / contingencia Demostrar diligencia debida en caso de ataque Conseguir contratos (AAPP, Grandes...) Estrategia mitigadora de pérdidas!!! Perder menos en caso de perder No gastar Ganar Seriedad Ciclo de vida del trabajador,documento/activo Orden Roles de Seguridad Orden Conocernos a nosotros mismos (Riesgos) para actuar Orden, Seriedad, Diligencia (asimetría de la seguridad)
Las preguntas del millón Cómo implantarla? En qué orden? Por dónde empiezo? Qué es importante y qué no? Qué me pedirá el auditor? En cuánto tiempo? Cuánto me costará?
Cómo Implantarla? Como lo dice la Norma, así? 4.3 Alcance 7.3 Concienciación 8.2 Riesgos 4.4 SGSI 6.2 Objetivos 9.1 Seguimiento 10.2 Mejora Continua 5.2 Política 5.3 Roles 9.2 Auditoría Interna 10.1 No Conformi dades
Recomendación de Implantación 4.3 Alcance 6.2 Objetivos 8.2 Riesgos 5.2 Política Spónsor 5.3 Roles 4.4 SGSI 10.1 No Conformida des 9.1 Seguimiento Compromiso Directiva 7.3 Concienci ación 10.2 Mejora Continua 9,2 Auditoría Interna ANEXO A Empresa
Y el anexo A?
Sólo IT? Contacto con autoridades Trabajadores Partes Externas Proveedores Confidencialidad Control de Acceso Equipos Cambios Teletrabajo Información Código Malicioso Entorno seguro Backup Documentación Desarrollo Incidentes de Seguridad Continuidad Legislación Resto Medidas Seguridad Lógica Resto Medidas
Roadmap Mínimo 6 meses Sii (Alcance 1 site): Preauditoría hecha + Inversión HW aprobada Alcance Acotado (1-2 Servicios 1 site) Sponsor alineado y disponible (hits constantes) Equipo motivado (1consultor+1help dentro empresa) Ubicación en cliente o reuniones semanales de deploy Madurez mínima (1) Esquema en 3 rondas: 1ª Madurez 1-2 (6 meses) 2ª Madurez 2-3 (6 meses) 3ª Madurez 3 (y recertificación) PROYECTO DE CAMBIO CULTURAL
Certificación? Tras los primeros seis meses se plantea certificación con cierta garantía (60%-70% en función del esfuerzo del cliente) Coste de la certificación debe estar fuera del proyecto de consultoría Los certificadores suelen ser lentos, hay que acordar con ellos el calendario y las jornadas con tiempo suficiente ANTES DE CERTIFICAR repasar TODO el esquema TENER EVIDENCIAS o gestión del riesgo
CSF ISO 27001 Factores clave que deben estar en certificación (1ª Ronda): Política de Seguridad publicada Usuarios formados Incidentes de Seguridad Roles de Seguridad Plan de Continuidad SGSI 1 revisión (6Meses) lo ideal, hacerla y certificar Seguridad Física Docs internos (Alcance, Liderazgo, ) Análisis de Riesgos Objetivos de Seguridad Y PROPÓSITO DE REVISIÓN EVIDENCIAS!
A veces el problema no está en IT
MUCHAS GRACIAS PREGUNTAS Carlos Ortiz de Zevallos Torrents INTERNET SECURITY AUDITORS Consultor de Seguridad Miembro ITSMF BSI Lead Auditor ISO27001:2013 Consultor ISO20000 ITIL F/MCP/Scrum Manager cortiz@isecauditors.com https://www.linkedin.com/in/carlosortizdezevallos
Su Seguridad es Nuestro Éxito Su Seguridad es Nuestro Éxito C. Santander, 101. Edif. A. 2º E-08030 Barcelona (Spain) Tel.: +34 93 305 13 18 Fax: +34 93 278 22 48 C. Arequipa, 1 E-28043 Madrid (Spain) Tel.: +34 91 763 40 47 Fax: +34 91 382 03 96 info@isecauditors.com Calle 90 # 12-28, www.isecauditors.com Cundinamarca - Bogotá (Colombia) Tel: +57 (1) 638 68 88 info@isecauditors.com www.isecauditors.com