la importancia de los procesos de seguridad en la información, por maximiliano canosa
Post on 12-Jun-2015
402 Views
Preview:
DESCRIPTION
TRANSCRIPT
Información segura. Negocios seguros.
• Maximiliano M. Canosa
• Partner BSI Argentina – Director Ejecutivo I-Prot
Título: La importancia de los procesos de
seguridad de la información
2
2
2Agenda
• Introducción a BSI
• Porque Implementar un Sistema de Gestión
• Introducción a los Sistemas de gestión relacionadas a IT
Normas Internacionales
Ventajas e integración de las mismas
• Gestión de Seguridad de la Información - ISO 27001
• Gestión de Servicios de Tecnología de Información – ISO 20000
• Gestión de la Continuidad del Negocio – BS 25999
• Proceso de Certificación
3
3
Introducción a
BSI MANAGEMENT SYSTEMS
4
4
4Quien es BSI?
• Fundado en 1901
• Líder global en servicios de negocios
• Clientes en mas de 100 países
• Proveedor de:
Auditorias independientes, certificación y capacitación en sistemas de gestión;
Servicios de certificación, inspección y pruebas de productos;
Desarrollo, venta y distribución de normas privadas, nacionales e internacionales;
Desarrollo de soluciones en sistemas de información;
Contents slide
5
5
Una Historia de Innovación
Pionero en el desarrollo de:
1979 BS 5750 ISO 9001 (Calidad)
1992 BS 7750 ISO 14001 (Medioambiente)
1995 BS 7799 ISO 27001 (Seguridad de la Información)
1996 BS 8800 OHSAS 18001 (Salud Ocupacional y Seguridad)
2000 BS 8600 ISO 10002 (Satisfacción de Clientes)
2002 BS 15000 ISO/IEC 20000 (Servicios de TI)
5Contents slide
Las ultimas normas incluyen:
• BS 25999 – Continuidad del Negocio
• PAS 99 – Gestión Integrada
• BS 8900 – Sustentabilidad
6
6
6Acreditaciones Nacionales
& de Sector
SCC (Canada)
ANAB (USA) JAB (Japan)
EMA (Mexico) ENAC (Spain)
SAC (Singapore)INMETRO (Brazil)
RvA* (Netherlands)
UKAS* (UK)
KAB (Korea)
TAF (Taiwan)
CNAB (China)
NABCB (India)
HKCAS (Hong Kong)
TGA / VDA (Germany)Automotive
SAISocial Accountability
JIPDEC (Japan)Information Security
itSMFIT Service Management
IATF – Automotive
Miembro del Independent International Organization for Certification (IIOC)
JAS-ANZ (Australia)
7
7
7
Portafolio de Normas
Desempeño
• Calidad ISO 9001
• Automotriz ISO/TS 16949
• Aeroespacial AS 9100
• Telecomunicaciones TL 9000
• Servicios de TI ISO/IEC 20000
• Petróleo & Gas ISO TS 29001
• Satisfacción de Clientes ISO
10002
• Gestión Integrada PAS 99
• BSI BenchMark
Sustentabilidad
• Medioambiente ISO 14001,
EMAS, RC 14001
• Validación & Verificación de
Gases Invernaderos
• Mecanismo de Desarrollo Limpio
CDM
• Responsabilidad Social SA 8000
• Responsabilidad Social
Corporativa
• Verificación de Reportes
Corporativos
• Desarrollo Sostenible BS 8900
• Esquemas de Auditorias de Segunda Parte
Riesgo
• Salud Ocupacional & Seguridad
Industrial OHSAS 18001
• Seguridad de Informacion
ISO/IEC 27001
• Seguridad Alimentaría
- ISO 22000
- Código HACCP (Holanda)
- BRC Norma Global
- BRC Empaque
- Codex HACCP
• Productos de Consumo
- BRC Productos de Consumo
• Continuidad del Negocio BS
25999
• Dispositivos Médicos ISO 13485
Contents slide
8
8
8
Habilitar Organizaciones a
…
Contents slide
Crear valor a través de practicas de
negocio sostenibles
Minimizar la interrupción a través del
efectivo manejo de riesgos
Crear ventajas competitivas a través
de la mejora del desempeño
9
9
Sistemas de Gestión
10
10
PROCESO
INPUTdados deentrada
OUTPUTdados de
saída
Pro
ove
do
rin
tern
o/e
xte
rno
Cli
en
tein
tern
o/e
xte
rno
Para tenermos sucesso con la utilización de la vision de procesos, en la area Comercial, tenemos que descobrir:
• las necesidades explícitas de la empresa;• las necesidades implícitas de la empresa;• las expectativas del cliente.
Visión de Proceso:
11
11
Visión de Proceso:
“Un resultado deseado es alcansado mas eficientemente cuando las
actividades y recursos relacionados son gerenciados como uno
proceso."
Incremiento em las ventas
incremiento de la satisfación
otimización de recursos
lucratividade
12
12
QUE ÉS MEJORIA CONTÍNUA ?
“És una acción hecha que tiene como resultado exceder aquilo que fue previamente planeado”
Las Normas Internacionales prescreve la utilización del concepto de PDCA para la busca da mejoria continuada.
13
13
Provee a las lideranzas un meio concreto para el gerenciamento da
Empresa: los INDICADORES DE DESEMPEÑO.
Permite visualizar y acompanãr:
Eficacia de los procesos en atingir sus objectivos;
Níveles de otimizacion de la utilización de los recursos;
Los dados de mercado: quales las soluciones adecuada al
cliente?
Decisiones tomadas con base en factos y dados...
Percepción del grado de satisfacción del cliente
Reconocimiento del mercado
Benefícios de los Procesos
14
14
Organiza las Interfaces entre los diferentes departamientos de la
Empresa;
Registro de la Memória Tecnológica em una base simples, objectiva y
por procesos;
Simplifica / facilita la gestion de las mejorias;
Consolida la postura del participante del processo y no del responsável
por actividade;
Desdobra / direcciona los requisitos de los clientes por procesos,
facilitando el gerenciamento;
Direcciona al atendimiento de objectivos (metas mensurábles al longo
del tiempo y com alineamiento bajo la Eficiência Global).
Benefícios de los Procesos
15
15
Conocer nuestros puntos fracos y planear las mejorias
Entender puntos fuertes y bien aprovechar el lo dia-a-dia
Buscar identificacion de las oportunidades y planear actuación
focalizada
Mapear las ameaças y perceber las alternativas (atuación preventiva
en relacion al negócio)
Conocimiento del ciclo de vida del producto y estágio en que cada
uno se encuentra
Benefícios de los Procesos
16
16
Normas Internacionales
SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
ISO 27001:2005
17
17
17
Introducción a ISMSPorque ISO 27001?
• Única norma efectivamente reconocida como
internacional (respaldo de la ISO = International
Organization for Standardization)
• Única norma para Sistemas Gestión de Seguridad de
Información con estructura de certificación independiente
e internacionalmente reconocida;
• Mecanismo de certificación reglamentado;
• Aplicado por miles de Organizaciones.
Contents slide
18
18
ISO 27001:2005 – Sistema de Gestión de Seguridad en Información
El actual sistema de certificación para la Seguridad de Información fue desarrollado por BSI.
La norma BSI BS 7799-2:2002 es la única norma certificable con sistema de acreditación reconocido actualmente.
En finales de 2005, ISO lanzó la norma ISO 27001 teniendo como base los requerimientos de la norma BSI.
Posicionamiento BSI:
BSI tiene una participación de 45% de todo el mercado mundial de certificación en Seguridad de Información.
19
19
19
Ventajas
Los beneficios de la implementación de un sistema de gestión
de seguridad de la información son amplios y fueron
presentados anteriormente.
En adición a estos beneficios, la obtención de la certificación
provee:
• Credibilidad
• Seguridad al mercado
• Transparencia
• Maximiza competitividad
Contents slide
Porque certificarse?
Porque es una inversión segura y de retorno garantido.
20
20
20
• Evita el riesgo de implementación inadecuada, falta de
actualización y mantenimiento débil, consecuentemente:
Promover aplicación de tecnología
Dirección a inversiones efectivas
Maximiza recursos
Promover mejora continua
Promover innovación
• Promover comprometimiento y cambio cultural
• Maximiza el potencial de crecimiento y de acceso a
mercados
Contents slide
Ventajas
Porque certificarse?
Porque es una inversión segura y de retorno garantido.
21
21
21
• Cumplimiento a requisitos contractuales y reglamentarios
• Un mecanismo reglamentado de evaluación continua, identifica
vulnerabilidades, no conformidades, debilidades, fragilidades,
oportunidades de mejora y fortalezas antes que la empresa sufra con
las consecuencias en la practica
• Evidencia objetiva de la gestión adecuada de los riesgos
relacionados a la seguridad de informacion, tanto para los ejecutivos,
como inversionistas, clientes, etc
Contents slide
Ventajas
Porque certificarse?
Porque es una inversión segura y de retorno garantido.
22
22
22Proceso de Certificación
Contents slide
Cuestionário
“Perfil”Propuesta Acepte Auditoria
Pré-
Auditoria
Auditorias de
Mantenimiento
Auditoria de
Recertificación
Semestrales /
Anuales
Opcional
Certificado
36º. mês
Certificado
Ok
?
NO
SI
23
23
23Aplicabilidad y Sectores Claves
• Los siguientes sectores son los que actualmente se
encuentran con mayor grado de atracción e interés en
lograr una certificación:
Contents slide
Bajo
Agricultura y Pesca
Químicos y Fibras
Construcción
Servicios de Ingeniería
Equipamientos y maquinas
Empresas de Impresión
Reciclaje
Construcción Naval
Médium
Educación
Provisión de Energía
Alimentos, bebidas y fumo
Provisión de Gas
Hoteles y Restaurantes
Empresas de Publicación
Transporte, Almacenamiento
y comunicación Transporte,
Provisión de Agua
Comercio mayoreo y
menudeo
Alto
Aerospacial
Finanzas
Trabajos de Salud y Sociales
Tecnología de Informacion
Man. y Transferencia de datos
Combustible Nuclear
Farmacéuticos
Gobierno
Administración Publica
Defensa
24
24
¿A qué estamos expuestos?
25
25
SISTEMA DE GESTIÓN DE
SEGURIDAD DE LA INFORMACIÓN
ISO 27001:2005
26
26
26
Introducción a ISMSEvolución de la ISO 27001
Contents slide
BS 7799-1
BS 7799-2
1995 2005
BS 7799:1995
BS 7799-1:1999
BS ISO/IEC
17799:2000
ISO/IEC
17799:2005
2007
BS 7799-2:1999
developed to support
certification
ISO/IEC
27001:2005
1999: UK
committee
decision to
submit to
ISO Fast-
track
Normal revision cycle
in ISO
2004: UK decision
made to submit to
ISO Fast-track
International
committee
decision to
change number
ISO/IEC
27002:2007
2000
Revised in UK
International
committee decision
to change number
27
27
Introducción a ISMSNormas de la Serie ISO 27000
BS ISO/IEC 27000 – Definiciones y Vocabulario DIS publicado. Consulta concluida.
BS ISO/IEC 27001 – Sistema de Gestión de Seguridad de Informacion – Requerimientos
Publicada en Octubre del 2005, basada en la norma BS 7799-2
BS ISO/IEC 27002 – Código de Practica para Gestión de la Seguridad de Informacion
Publicada en 2007, pero idéntica a ISO 17799:2005
BS ISO/IEC 27003 – Guía de Implementación 2008/2009. Status no disponible.
BS ISO/IEC 27004 – Métricas y Mediciones CD publicado. Consulta interna en realización.
BS ISO/IEC 27005 – Gestión de Riesgos de Seguridad de Informacion
DIS publicado. Consulta concluida. Actualmente disponible: BS 7799-3, publicada en Marzo 2006.
BS ISO/IEC 27006 – Requisitos para Organismos que proveen auditoria y certificación en Sistemas de Gestión de Seguridad de la Informacion
Publicada en Marzo 2007.
27007…...27011 Reservado para futuros desarrollos
27
Contents slide
28
28
28
La Norma ISO 27001Lo que es?
La norma ISO 27001 fue preparada para proveer un
modelo para:
• establecer,
• implementar,
• operar,
• monitorear,
• analizar,
• mantener y
• mejorar un
Sistema de Gestión de Seguridad de Información.
Contents slide
29
29
29
La Norma ISO 27001Definiciones Claves
Contents slide
Confidencialidad
Integridad
Disponibilidad
30
30
PDCA - IT Service Management
Responsabilidades de la Alta Dirección
Gestión de ServiciosRequerimientos del Negocio
Requerimientos Del Cliente
Solicitudes deCambios de Servicios
Otros procesos e.j negocios, clientesproveedores,
Mesa de Ayuda
Otros equipos e.j.Seguridad, Operaciones TI
Resultados del Negocio
Satisfacción delCliente
Nuevo/cambiadoservicio
Otros procesos e.j. negocios, clientesproveedores,
Satisfacción del Equipo y personas
CHECKMonitorear,
Medir y Verificar
DOImplementar
la GestiónDe Servicios
ACTMejora
Continua
PLANPlanificar la Gestión
de Servicios
31
31
Controles y Objetivos
Cláusulas del sistema de gestión de seguridad de la información (SGSI) – En este se define el proceso de administración, cumplimiento y seguimiento del sistema
de gestión de seguridad de la información (SGSI).
El mismo se conforma de 5 Issues con 92 cláusulas.
Objetivos de control – En este se analiza el nivel de cumplimiento que se tiene sobre los controles recomendados por la Norma ISO 27001.
La norma presenta 11 objetivos de control, 39 objetivos de control y 133 controles.
32
32
32
La Norma ISO 27001Estructura – Detalle del “Plan”
Contents slide
Definición del Alcance y Limites del Sistema de
Gestión de Seguridad de la Informacion Decla
ració
n d
e
Ap
lica
bilid
ad
Definición de la
Política de ISMS
Definición del Modelo
de Evaluación de
Riesgo
Identificación de
Riesgos
Analice y Evaluación de Riesgos
Identificación y
evaluación de las
opciones de tratamiento
de riesgos
Selección de
Controles y
Objetivos
Gestión de la
aprobación de los
riesgos residuales
propuestos
Autorización de la Administración para la
implementación y operación del ISMS
Alcance y Limites
33
33
33
La Norma ISO 27001Estructura – Cláusulas
Contents slide
Sección 4: Sistema de Gestión de Seguridad de Información
Sección 5: Responsabilidad de la Administración
Sección 6: Auditoria Interna
Sección 7: Revisión Gerencial
Sección 8: Mejora del Sistema
34
34
34
La Norma ISO 27001 Contents slide
Access Control
Asset Management
Security policy
Organizing
Information
Security
Human Resources
Security
Physical &
Environmental
Security
Communications
& Operations
Management
Systems Acquisition,
Development &
Maintenance
Business Continuity
Management
Compliance
Información
Integridad Confidencialidad
Disponibilidad
Dominios de la ISO27001:2005
Information Security
Incident Management
35
35
35
La Norma ISO 27001Evaluación de Riesgos
Contents slide
Gestión del
Riesgo:
Actividades
coordinadas
para
direccionar y
controlar una
Organización
con relación
al riesgo.
36
36
Sistema de Gestión de Seguridad de la Información (SGSI)
Un Sistema de Gestión de la Seguridad de la Información basado
en ISO 27001 está formado por una serie de documentos que
pueden clasificarse en una pirámide de cuatro niveles.
La documentación debe incluir los registros de las decisiones de
la dirección, asegurar que se puedan seguir los indicios de las
decisiones de la dirección y las políticas, así como permitir que
los resultados registrados sean reproducibles.
La documentación de un SGSI deberá incluir:
• Alcance del SGSI
• Política y objetivos deseguridad
• Metodología de evaluaciónde riesgos
• Plan de tratamiento delriesgo:
• Declaración deaplicabilidad (SOA)
• Procedimientos relativos alnivel 1
Documentos de Nivel 1
• Documentos que aseguranque se realicen de formaeficaz la planificación,operación y control de losprocesos de seguridad dela información y describencómo medir la efectividadde los controles.
Documentos de Nivel 2
• Instrucciones, checklists yformularios: documentosque describen cómo serealizan las tareas y lasactividades específicasrelacionadas con laseguridad de lainformación.
Documentos de Nivel 3
• Documentos queproporcionan una evidenciaobjetiva del cumplimientode los requisitos del SGSI;están asociados adocumentos de los otrostres niveles como outputque demuestra que se hacumplido lo indicado en losmismos.
Documentos de Nivel 4
Control de la documentación
37
37
Integración
NTP – ISO/IEC 17799:2004
ISO 20000 / ITILSOX
BS 25999
HIPPACERTCOBIT
SAS 70 PCI
38
38
OTRAS NORMAS RELACIONADAS
39
39
39
SISTEMA DE GESTIÓN DE SERVICIOS DE TI
ISO 20000:2006
40
40
Definiciones
Gestión de Servicios TI
La gestión de Servicios TI para soportar una o más áreas de negocios
ISO/IEC 20000
El primer estándar global que apunta específicamente a gestión de servicios IT
41
41
The Service Management
Process
Capacity Management
Service Continuity and Availability Management
Service Level Management
Service Reporting
Information Security Management
Budgeting and Accounting for IT Services
Configuration Management
Change Management
Release Management Incident Management
Problem Management
Business Relationship Management
Supplier Management
Service Delivery
Control
Release Resolution Relationship
42
42
Beneficios de la Norma
• La implementación provee control, mayor eficiencia y
oportunidades de mejora
• Transformar departamentos enfocados en tecnologías en
unos enfocados en servicios.
• Asegurar que los servicios IT están alineados y satisfacen los
requerimientos de la empresa.
• Mejorar la credibilidad y disponibilidad del sistema.
• Proveer las bases para acordar niveles de servicio y la
habilidad de medir la calidad de los servicios IT.
43
43
ISO 20000:2006 – Sistema de Gestión de Servicios de TI
Debido a mayor necesidad actual y futura de la infraestructura informática y informaciones que las organizaciones proveen;
O suceso de las organizaciones depende, cada vez mas, de servicios de TI con mas calidad y menos costo;
Fuerte interacción con otros aspectos de sistemas de gestión
Posicionamiento BSI:
- BSI tiene una participación de 42% de todo el mercado mundial de certificación en ISO20000.
44
44
44
GESTIÓN EN LA CONTINUIDAD DEL NEGOCIO
ISO 25999:2007
45
45
Continuidad del Negocio
Definición
“La gestión de la continuidad del negocio es un proceso
de gestión holístico que identifica amenazas potenciales
a la organización y sus impactos a la operación.
Provee una estructura para mantener la continuidad
(resistencia a ser amenazas) organizacional con la
capacidad para la efectiva respuesta salvaguardando los
intereses de las principales partes interesadas,
reputación, marca y activos de valor”
45
Fuente: BS 25999-1
46
46
• BS 25999-1
Códigos de Prácticas para la Gestión de Continuidad del Negocio ( Parte que substituirá el actual PAS 56).
• BS 25999-2
Especificación para Gestión de Continuidad de Negocio.
( No está siendo certificada por el momento)
Definiciones
47
47
• Publicación de la PAS 56 en 2003
• Demostró que la Gestión de la Continuidad del Negocio es una disciplina;
• Nuevo comité técnico establecido en 2005 para dar respuesta a la consulta y desarrollar la BS 25999
• La publicación del borrador de la BS 25999-1 en Agosto del 2006 para comentarios
• Publicación de la BS 25999-1 “Código de Practica” en Noviembre del 2006 con amplio acuerdo en lo que serían las mejores prácticas;
• Retiro de la PAS 56 con la publicación de la BS 25999;
Historia
48
48
BCMProgramme Management
Understanding the
organization
Determining BCM
Options
Developing and
implementing a BCMresponse
Exercising, maintaining
and reviewing
Ciclo de Vida de la Continuidad
del Negocio : P-D-C-A
49
49
49
Source: BS 25999-1
Gestión de la Continuidad del Negocio
Qué es?
Mejora en recuperaciónMejorar de forma pro-activa la capacidad de recuperación de la organización contra la interrupción de sus actividades queImposibilitarían alcanzar sus objetivos claves.
Gestión de la Interrupción del Negocio
Recuperar la habilidadde entregar productos
y servicios
Definir un método sistemático para recuperar lahabilidad de proveer productos y servicios críticosa un nivel acordado dentro de un tiempo definidodespués de la interrupción.
Probar la capacidad para administrar la interrupcióndel negocio y proteger la reputación y marca de la Organización.
50
50
BS 25999-1:2006 -
Contenido
50
1. Alcance y Aplicación
3. Gestión de Continuidad del Negocio – Visión General
2. Términos y Definiciones
4. Política de Gestión de Continuidad del Negocio
5. Gestión del Programa de Continuidad del Negocio
51
51
51
6. Entendiendo la Organización
8. Desarrollo e Implementación de Respuestas a BCM
7. Determinando Estrategias de Continuidad del Negocio
9. Ejercitando, Manteniendo y Analizando el plan de BCM
10. Fijando el BCM en la Cultura de la Organización
BS 25999-1:2006 -
Contenido
52
52
BS 25999 Códigos de Prácticas para Gestión de Continuidad de Negocio.
Gerenciamiento de Programa de Continuidad de Negocios
papeles y Responsabilidad
Entendiendo su negocio y organización en el contexto de BCM
Evaluación de riesgo
Identificando factores críticos.
Determinando las opciones de su BCM
Monitoreando para minimizar impactos con incidentes
Evaluando sus opciones de estrategia de producto/servicio y opciones de continuidad para diferentes elementos.
Sinopsis
53
53
BS 25999 Códigos de Prácticas para Gestión de Continuidad de Negocio.
Desarrollando e Implementando el BCP
Plan de gestión de incidentes
Plan de continuidad de negocio
Realizando ejercicios de BC, mantenimiento, y auditoria.
Introduciendo el BCM en la cultura organizacional.
Epilogo
54
54
Muchas Gracias!!!
Nombre: Maximiliano M. Canosa
Posición: Lead Auditor ISO 27001 by BSI
Teléfono: (54 911) 6045-9337
Email: Maximiliano.Canosa@bsibrasil.com.br
Web:
http://www.bsibrasil.com.br
http://www.i-prot.com
54
Contents slide
top related