contenido - ogacomités técnicos iso algunos… •tc-176 – sistemas de gestión de calidad –...

Bienvenidos Lic. M.A. Elder Guerra Villagrán

Vice-Presidente INLAC Guatemala

Registered expert en ISO/IEC

JTC 1/SC27, ISO TC/176

Kaplan&Norton BSC Certified

Graduate

Contenido La seguridad de la información. Familia de normas ISO 27000. Comités Técnicos de ISO. Panorama actual y futuro en

estándares de seguridad de la información.

Instituto Latinoamericano de la Calidad capítulo Guatemala INLAC-GT.

La Seguridad de la Información

Mejora

de la

Seguridad

t

Controles Propios

TCP/IP

-Seguridad de la Información- Evolución histórica

Estrategia, Riegos..

Elder Guerra - VP INLAC-GT,

Guatemala, Sep-2012

70s 80s 90s 0s

Cultura, Identidad,

Redes Sociales, Web Móvil.. Mainframes

Redes, Cliente-

Servidor

Internet

Cloud, SaaS,

PaaS, IaaS

BS

7799

ISO

27K

Gestión de Seguridad de la información hoy.. • Impacto estratégico. Oportunidad de ventaja

competitiva. • Planificación, fijación de objetivos, coordinación,

formación, adaptación de toda la organización. • Afecta a la sociedad en general: directivos,

trabajadores, clientes. • “Una filosofía, una cultura, una estrategia, un

estilo de gerencia de la empresa”. • Familia ISO 27000

Evolución histórica


Guatemala, Sep-2012

o Impresa o escrita en papel. o Almacenada electrónicamente. o Enviada por correo o algún otro medio

electrónico. o Mostrada en los videos corporativos, intranets. o Verbal – expresada en conversaciones. o ….cualquier forma o medio de información con

el cual se comparta o almacene, siempre debe protegerse correctamente.

Almacenamiento y Comunicación de la Información


Guatemala, Sep-2012

Que es la Seguridad de la Información?

ISO 27000 define la seguridad de la información como la conservación de..

•Confidencialidad “Propiedad de que la información no esté disponible ni se revele a personas, entidades ni procesos no autorizados”

•Integridad “Propiedad de salvaguardar la exactitud, no puede ser modificada ni alterada por alguien sin los accesos necesarios”

•Disponibilidad “Propiedad de que una entidad autorizada tenga acceso y la use según la demanda”


Guatemala, Sep-2012

Seguridad de la Información

• Entonces como podemos proteger la Confidencialidad, Integridad y Disponibilidad de la información…


Guatemala, Sep-2012



Guatemala, Sep-2012

Controles

•Password, boot, disco.

•Encriptación.

•Políticas y Procedimientos.

•Legal (Acuerdo).

•Capacitación y Sensibilización.

•Seguro.

Ejemplo KISS….vendedor…



Guatemala, Sep-2012

Que podemos concluir…

•Los controles no necesariamente estan relacionados solo a tecnología.

•Es bueno incluir otras personas de la organización como RRHH, Procedimientos, Seguridad Física, Seguridad Legal.

•Terceros como aseguradoras y proveedores.

•La seguridad de la información, no puede basarse en un único control, consiste en una combinación de controles con los cuales se llega a cierto nivel de aceptación del nivel de riesgo al que está expuesta la información.



Guatemala, Sep-2012

• Que hacemos entonces con una empresa que tiene cientos de laptops, servidores, redes..

• Con mucha infomación en la intranet, pcs, laptops, incluso en videos, contratos físicos y digitalizados, información en la mente de nuestros colaboradores…

• Si proteger nuestra laptop en el carro fue un poco facil, proteger toda la empresa contra esto se vuelve un reto……



Guatemala, Sep-2012

…por esto necesitamos un Sistema de Gestión de la seguridad de la información, un SGSI.

•No es un tema de software

•No es un tema de proyectos

•Es Sistema de Gestión que debe incorporarse como parte de la cultura de la organización...

•Es un tema estratégico y debe ser incluido en el modelo de gobernabilidad, de incentivos, de control de gestión en general.


Guatemala, Sep-2012

Que es la Seguridad de la Información?

ISO 27000 define la seguridad de la información como la conservación de..

•Confidencialidad “Propiedad de que la información no esté disponible ni se revele a personas, entidades ni procesos no autorizados”

•Integridad “Propiedad de salvaguardar la exactitud, no puede ser modificada ni alterada por alguien sin los accesos necesarios”

•Disponibilidad “Propiedad de que una entidad autorizada tenga acceso y la use según la demanda”


Guatemala, Sep-2012

Gestión de la Seguridad de la Información “Aspecto de la función de gestión que determina y aplica la política, los objetivos y las responsabilidades que lo realizan con medios tales como la planificación, el control y la garantía de la mejora de la seguridad de la información”.

La gestión de la seguridad de la información es responsabilidad de todos los niveles ejecutivos, pero debe estar guiada por la alta dirección. Su realización involucra a todos los miembros de la organización.

Terminología…


Guatemala, Sep-2012

Sistema de gestión de seguridad de la información

“Conjunto de la estructura de la organización, de responsabilidades, políticas, procedimientos, procesos y recursos que se establecen para llevar a término la gestión de la seguridad de la información”.

Terminología…


Guatemala, Sep-2012

Familia de Normas ISO 27000

ISO 27000


Guatemala, Sep-2012

Algunas creencias…

ISO 27000


Guatemala, Sep-2012

• Es solo un montón de documentos…

• Requiere una gran inversion en tecnología…

• Se puede implementar en 60 dias….

• Se lo asignaremos a nuestro gerente de IT para que lo haga mas rápido…

…..mentiras..

• Por estos y otros mitos, muchas empresas deciden no implementarlo y se pierden de ser mas competitivas y a lo mejor disminuir costos o incrementar sus ventas.

ISO 27000

• Es una metodología para la gestión de la protección de la información crítica de la empresa.

• Podemos aplicar las buenas practicas aunque no sea con fines de certificación.

• Si para la empresa es un factor competitivo la certificación, entonces se justifica invertir ello.


Guatemala, Sep-2012


Guatemala, Sep-2012

27000 Vocabulario

27001

Norma Principal, contiene los requisitos de un Sistema de Gestión de Seguridad de la Información. ANEXO A: 39 Objetivos de Control y 133 Controles, agrupados en 11 Dominios.

27002 Guia de buenas practicas que describe los objetivos de controles recomendables en cuanto a la seguridad de la información.

27003 Guia de Implementación del SGSI 27004 Desarrollo y utilización de Métricas

27005 Directrices para la gestión de riesgos en la seguridad de la información.

27006 Requisitos para acreditación de entidades de auditoría y certificación

27007 Guia de auditoria para un SGSI 27008 Guia de auditoria de los controles del SGSI

27011 Guia de Implementación de SGSI en sectores de telecomunicaciones

Familia ISO 27000


Guatemala, Sep-2012


Guatemala, Sep-2012

Familia ISO 27000 DES 27013 Guia de Implementación de ISO 20K en conjunto con ISO 27k.

DES 27014 Guia de Gobierno Corporativo en la Seguridad de la Información.

DES 27015 Guia de SGSI para organizaciones del sector financiero y seguros.

DES 27016 Guia de Valoración de los aspectos financieros de la seguridad de la información.

DES 27017 Guia de Seguridad para Cloud Computing.

27031 Continuidad del Negocio (BS 25999).

DES 27032 Guia relativa a la ciberseguridad.

DES 27033 Seguridad en Redes, consiste en 7 partes.

DES 27034 Seguridad en Aplicaciones Informáticas, consiste en 5 partes.

27035 Gestión de Incidentes de Seguridad de la Información.

DES 27036 Guia de seguridad en las relaciones con los proveedores, consiste en 4 partes.

DES 27037 Guia de identificación, recopilación y custodia de evidencias digitales.

DES 27038 Guia de especificación para seguridad en la redacción digital.

DES 27039 Guia para la selección, desplliegue y operación de sistemas de detección y prevensión de intrusión (IDS/IPS).

DES 27040 Guia para la seguridad en medios de almacenamiento.

Comités Técnicos de la ISO

Comités Técnicos ISO

Estructura General

•P-Members – Países – Voz y Voto.

•O-Members – Países – Voz.

•Liaison – Organismos Internacionales - Voz.


Guatemala, Sep-2012


Algunos…

•TC-176 – Sistemas de Gestión de Calidad – ISO 9K

•TC-207 – Sistemas de Gestión Ambientales – ISO 14K

•JTC 1 – Relacionado a Tecnologías de la información – ISO 20k, ISO 27k

•..entre otros..


Guatemala, Sep-2012


Participación de Centro América


Guatemala, Sep-2012



Guatemala, Sep-2012



Guatemala, Sep-2012



Guatemala, Sep-2012

Panamá

– 1 Comité

Guatemala

• 0 comités, Correspondent Member

Honduras

• 0 comités, Suscriber Member

Nicaragua

• nada



Guatemala, Sep-2012

-Correspondent members-

•Usualmente un país que no tiene todavía mucho desarrollo a nivel nacional en temas de estandarización y normas. •No toman parte activa ni técnica en la elaboración de los estándares, tiene derecho a estar informados en los temas que les interese.

-Suscriber members-

•Usualmente países con economías muy pequeñas. •Tienen derecho a contacto con la ISO.

fuente www.iso.org

Comités Técnicos de la ISO

-ISO/IEC JTC 1/SC27-

ISO/IEC JTC 1/SC27

• ISO International Standardization Organization

• IEC International Electrotechnical Comission

• JTC 1 Joint Thecnnical Committee 1 – Information Technology

• SC 27 Sub Committee 27 – IT Security Techniques

• WG 1 Working Group 1 – Information Security Management Systems


Guatemala, Sep-2012


Guatemala, Sep-2012

ISO/IEC JTC 1/SC27


Guatemala, Sep-2012

fuente SC27 Platinum Book

ISO/IEC JTC 1/SC27


Guatemala, Sep-2012

fuente SC27 Platinum Book

ISO/IEC JTC 1/SC27


Guatemala, Sep-2012

Participación de América Latina

en ISO/IEC JTC 1/SC27

• 47 P Members

• 18 O Members

America Latina…

– 3 P members (Mexico, Uruguay, Brasil)

– 3 O member (Argentina, Costa Rica, El Salvador)

– La participación en los comités técnicos ha disminuido.

fuente www.iso.org

ISO/IEC JTC 1/SC27


Guatemala, Sep-2012

ISO/IEC JTC 1/SC27


Guatemala, Sep-2012

• Países como el nuestro no invierten en ser miembros de comités técnicos.

• Ni en el comité de Calidad -ISO 9000-

• Ni comités de tecnología como donde se hace la ISO 27000.

….esto no quiere decir que al sector privado inclusive al sector gobierno no le interese..

ISO/IEC JTC 1/SC27


Guatemala, Sep-2012

• INLAC esta permitiendo que éstos países tengan presencia y voz.

• Desde Guatemala estamos coordinando los los expertos técnicos INLAC-JTC1 de América Latina.

ISO/IEC JTC 1/SC27


Guatemala, Sep-2012

INLAC solicitó ser organismo enlace para América Latina, Oct-2010 en Berlín, Alemania.

ISO/IEC JTC 1/SC27


Guatemala, Sep-2012

INLAC solicitó ser organismo enlace para América Latina, Oct-2010 en Berlín, Alemania.

ISO/IEC JTC 1/SC27


Guatemala, Sep-2012

Expusimos la necesidad de mejorar la divulgación de los estándares de tecnología en América Latina y nuestro deseo de colaborar con ello.

ISO/IEC JTC 1/SC27


Guatemala, Sep-2012

INLAC participa en Abril-2011 en la reunión en Singapur, ya como organismo enlace.

ISO/IEC JTC 1/SC27


Guatemala, Sep-2012


Edward Humphreys - UK

Coordinador WG1

Padre de la ISO 27K

Satoru Yamasaki

Representa Japón

Líder 27017 –Cloud-

ISO/IEC JTC 1/SC27


Guatemala, Sep-2012


Dale Johnstone - AU

WG1 Vice Convenor Angelika Plate

Lider Mundial

ISO/IEC JTC 1/SC27


Guatemala, Sep-2012

Próxima Reunión Mayo en Estocolmo, Suecia

ISO/IEC JTC 1/SC27


Guatemala, Sep-2012

Temas próxima Reunión,

Mayo en Estocolmo, Suecia WG1 Experts,

Please find attached the 1st Draft of the WG1 Agenda for the upcoming meetings in Stockholm, Sweden.

Also please find attached the logistics and registration document for this meeting.

Herewith is a summary of the WG1 documents currently under consideration:

WG1 SD1 - Roadmap - Revised CD text published for Comment [N10572]

27000 - Revised CD text published for Voting & Comment [N10574] + [N10575] (Special)

27001 - Revised CD text published for Voting & Comment [N10641] +[N10642] (Special)

27002 - Revised CD text published for Voting & Comment [N10656]

27004 - Pre-Review Contributions Sort [N10685]

27010 - ITTF FDIS [N10681]

27013 - ITTF DIS [N10623]

27014 - ITTF DIS [N10621]

27015 - Revised PDTR text published for Voting & Comment [N10590]

27016 - Revised WD text published for Voting & Comment [N10592]

27017 - Due to the delayed release of 27002 - the revised WD text is expected to be available before end of January 2012 [N10594]

Study Period - Using Capability Maturity Models in Information Security Management [N10618]

Study Period - Cloud Computing Security and Privacy [N10615]

Study Period - Privacy / Personal Information Management Systems (PIMS) [N10679]

Call for contributions for potential new standardization activities in area of Smart Grid [N10504]

Kind regards,

Edward & Dale


Guatemala, Sep-2012

Ya nos esperan y cuentan con nuestros comentarios..

INLAC

Instituto Latinoamericano de la Calidad

INLAC BOARD

•Membership control

•Coordination ISO TC’s

•Review of ISO/TC’s documents

Vision

Mission

Objetives

Agreement

Procedures

Programs

ETHICAL CODE Policy

Organizational Structure

INLAC

BRASIL

INLAC

COLOMBIA

INLAC

GUATEMALA

INLAC

MÉXICO

INLAC

USA

INLAC

VENEZUELA

INLAC that are formalized

Delegations authorized by Board

INLAC

CUBA

INLAC

ARGENTINA INLAC

CHILE

In process to formalized

INLAC

ECUADOR

INLAC

EL SALVADOR

INLAC

PERÚ Elder Guerra - VP INLAC-GT,

Guatemala, Sep-2012


Guatemala, Sep-2012

http://www.sitographics.com/enciclog/banderas/america/source/7.html






Asociación no Lucrativa.

Creada en 1,993 en México.

Misión: Promover en Latinoamérica una cultura de calidad en la industria, en los servicios y en las nuevas generaciones.

El capítulo Guatemala se lanzó en Agosto-2010.

Actualmente 2 expertos técnicos INLAC-GT participando en comités técnicos de la ISO.


Guatemala, Sep-2012

Socios fundadores capítulo Guatemala.. Super Intendencia de Bancos Seguros Universales, S.A. Fianzas Universales, S.A. Banco Agrícola Mercantil S.O.S. Asistencia y Ajustes, S.A. Servicios Integrados de Calidad (Si-Calidad) Promociones en Exportación ProExport –Grupo Tecún- Envasadora de Alimentos y Conservas, S.A. (ACSA) Industrias Ana Belly Grupo Multi-Vistas Dirección del Sistema Nacional de la Calidad, Ministerio de Economía


Guatemala, Sep-2012

Necesitamos tu apoyo dando opiniones sobre documentos técnicos, normas en revisión.

Hazte Socio, tenemos distintos tipos de

membresias. Puedes postularte para partcipar en un comité

técnico de la ISO.

Para 2do. Semestre-2012, lanzaremos la red de opinión de Expertos Técnicos. (estar pendientes)


Guatemala, Sep-2012

Gracias

Lic. M.A. Elder Guerra Villagrán

Vice-Presidente INLAC Guatemala

[email protected]

www.inlac.org.gt www.inlac.org

Registered expert en ISO/IEC

JTC 1/SC27, ISO TC/176

Kaplan&Norton BSC Certified

mailto:[email protected]

http://www.inlac.org.gt

http://www.inlac.org

contenido - ogacomités técnicos iso algunos… •tc-176 – sistemas de gestión de calidad –...

Documents