Copyright © 2012 BSI. All rights reserved.

Normativas & Procesos

Gestión de la Seguridad en TIC

Gestión de la Seguridad en TICNoviembre 2013

Eugenio Torres GutiérrezBest Practices Advisor

Copyright © 2012 BSI. All rights reserved. 2Noviembre 2013 Gestión de la Seguridad en TIC

Controlando la Seguridad de la Información

¿El control será por software o hardware?

¿Qué tan robusto debe ser el control?

¿Cuáles son sus características mínimas?

¿Qué reglas serán definidas en el control?

¿Quién las define?

¿Quién y cómo las implementa?

¿Quién y cómo las prueba?

¿Con que periodicidad se probarán y ajustarán?

¿Cómo validar la efectividad diaria del control?

¿Quién es el responsable del control?

¿Cómo identificar una falla en el control?

¿Cuál será el crecimiento orgánico del control?

¿Qué nivel de soporte se debe contratar?

¿Qué actividades de gestión diarias se requieren?

Copyright © 2012 BSI. All rights reserved. 3Noviembre 2013 Gestión de la Seguridad en TIC

¿Qué es un Sistema de Gestión?

Conjunto de elementos mutuamenterelacionados o que interactúan paraestablecer la política y lograr losobjetivos

ISO 9000:2005Fundamentos y Vocabulario

Copyright © 2012 BSI. All rights reserved. 4Noviembre 2013 Gestión de la Seguridad en TIC

¿Cómo funciona un Sistema de Gestión?

El Sistema de Gestión permite demanera sistemática establecer eldestino, definir la ruta y controlar eltrayecto para lograr los tiempos ycumplir con los límites de velocidad.

Copyright © 2012 BSI. All rights reserved. 5

Encuesta 2012. International Organization for Standardization

Menos de 10

Entre 10 y 100

Entre 100 y 1,000

Entre 1,000 y 10,000

Más de 10,000

Noviembre 2013 Gestión de la Seguridad en TIC

Distribución Mundial de Certificados ISO/IEC 27001

75 organizaciones en México

Copyright © 2012 BSI. All rights reserved. 6Noviembre 2013 Gestión de la Seguridad en TIC

Evolución de las Certificaciones ISO/IEC 27001

9 13

31

4956

70 75

2006 2007 2008 2009 2010 2011 2012

Encuesta 2012. International Organization for Standardization

Organizacionesen México

Copyright © 2012 BSI. All rights reserved. 7Noviembre 2013 Gestión de la Seguridad en TIC

Resultados de la aplicación del estándar

Proporciona mayor control sobre la operación, incrementando la eficiencia y generando oportunidades de mejora.

Transforma los departamentos de TI de reaccionar a los requisitos del negocio a convertirse en una parte integral y proactiva del mismo.

Asegura que los servicios de TI se alineen y satisfagan las necesidades del negocio.

Mejora la confiabilidad y disponibilidad de los sistemas al realizar una mejor planeación de la demanda en la provisión del servicio.

Copyright © 2012 BSI. All rights reserved. 8

Si bien ISO define a los Servicios como un tipo de Producto, unacomprensión más simple de lo que es un servicio se puede explicar como laexperiencia generada por un conjunto de productos que un proveedor ofrece.

Gestión de la Seguridad en TICNoviembre 2013

La evaluación de los servicios

Para evaluar la experiencia de un comensal queasiste a un restaurante, algunos de los elementosque tomará en cuenta son:

el sabor de los alimentos, el ambiente del establecimiento, la amabilidad del personal, la limpieza del local y servicios, el tipo de clientela, y el precio

entre otros, estableciendo criterios y umbrales acumplir por cada elemento.

Copyright © 2012 BSI. All rights reserved. 9

Hoy en día, la tecnología a transformado la manera en la cual se operan ycontrolan las organizaciones, simplificando y acelerando el procesamiento deinformación y la compartición de la misma al interior y fuera de la organización.

Servicios de TI

Los servicios de TI dan soporte a las funciones de negocio de lasorganizaciones mediante la automatización de tareas y la simplificación de lasactividades de gestión. Ejemplos de servicios de TI son:

el correo electrónico y la mensajería en línea,

el control de inventarios y, la recompra de insumos y materias primas,

el análisis de información para la toma de decisiones,

entre otros.

la interrupción o degradación de estos servicios impactará directamente laoperación de la organización.

Gestión de la Seguridad en TICNoviembre 2013

Los Servicios y las Tecnologías de la Información (TI)

Copyright © 2012 BSI. All rights reserved. 10

La gestión de servicios pretende establecer una estructura que describa comodefinir los criterios, objetivos y márgenes de desempeño que deberán cumplirsepara garantizar que los servicios soporten a las funciones de negocio.

Gestión de la Seguridad en TICNoviembre 2013

La Gestión de Servicios

El negocio determina la funcionalidad y

desempeño que los servicios deben cumplir

El proveedor del servicio identifica los riesgos que pueden

provocar un incumplimiento

El proveedor del servicio establece la estructura de gestión

que prevenga o reaccione ante un riesgo o incidente

Copyright © 2012 BSI. All rights reserved. 11

Para identificar los elementos de gestión requeridos para el servicio, debemosresponder a la siguiente pregunta:

¿Cuáles son las posibles causas de un incumplimientoen la funcionalidad o desempeño del servicio?

Las posibles respuestas son:

Una modificación a la estructura operativa del servicio que afecte la funcionalidad.

Una falta de recursos que afecte el desempeño del servicio.

Una nueva funcionalidad que no cumple los requerimientos solicitados.

Una falta de recursos para sostener el costo de los servicios.

Un incumplimiento de los compromisos de un proveedor.

Una actualización mal planeada que afecta el desempeño del servicio.

Una falla en la infraestructura que interrumpe la funcionalidad del servicio.

Una falla funcional debido a una falta de mecanismos de respuesta a eventos.

Gestión de la Seguridad en TICNoviembre 2013

La Gestión de Servicios

Copyright © 2012 BSI. All rights reserved. 12

Causas de Incumplimiento

Una modificación a la estructura operativa del servicio que afecte la funcionalidad.

Una falta de recursos que afecte el desempeño del servicio.

Una nueva funcionalidad que no cumple los requerimientos solicitados.

Una falta de recursos para sostener el costo de los servicios.

Un incumplimiento de los compromisos de un proveedor.

Una actualización mal planeada que afecta el desempeño del servicio.

Una falla en la infraestructura que interrumpe la funcionalidad del servicio.

Una falla funcional debido a una falta de mecanismos de respuesta a eventos.

…

Acciones de Control

Gestión de Cambios

Gestión de la Capacidad

Gestión de Modificaciones a los Servicios

Gestión de Presupuestos

Gestión de Proveedores

Gestión de Liberaciones

Gestión de la Continuidad de Negocio

Gestión de Incidentes

…

Noviembre 2013 Gestión de la Seguridad en TIC

La Gestión de Servicios

Copyright © 2012 BSI. All rights reserved. 13Noviembre 2013 Gestión de la Seguridad en TIC

¿Cómo se relacionan los Sistemas de Gestión?

i1 i2 i3 i4 i5

A B C D E SalidaEntrada

ISO 9001

ISO 27001

ISO 20000-1

D

ISO22301

Los Sistemas de Gestión son la estructura operativa que una organizaciónestablece para controlar sus procesos de negocio con base a sus políticas ybuscando que dichos controles permitan alcanzar los objetivos establecidos.

Copyright © 2012 BSI. All rights reserved. 14Noviembre 2013 Gestión de la Seguridad en TIC

Gestión de la Seguridad de la Información

Amenaza

Evento

Daño

Recuperación

PrevenciónReducción

Detección

Represión

Recuperación

Evaluación

Gestión delIncidente

Continuidad

Los elementos básicos queconforman la Seguridad de laInformación son:

Las acciones necesarias para reducir el riesgo antes de un evento indeseado.

Las acciones que indiquen como responder durante el evento.

Las acciones que describan como recuperarse después de que el evento se ha presentado.

Copyright © 2012 BSI. All rights reserved. 15

Gestión de la Seguridad de la Información

Gestión de la Seguridad en TIC

Políticas de seguridad

Organización de la seguridad de la

información

Gestión de activos

Control de acceso

Seguridad de comunicaciones

Seguridad física y del medio ambiente

Seguridad de Operaciones

Criptografía

Relaciones con proveedores

Desarrollo, mantenimiento y

adquisición sistemas

Continuidaddel negocio

Getión de incidentes de seguridad de

información

Seguridad de Recursos Humanos

Cumplimiento

Ámbitos de Control de la

Seguridad de la Información

Noviembre 2013

Copyright © 2012 BSI. All rights reserved. 16Noviembre 2013 Gestión de la Seguridad en TIC

Gestión de Servicios

Diseño y transición de servicios nuevos y modificados

Responsabilidades de la Dirección

Gobierno de procesos operados por tercerosEstablecimiento y mejora del SGS

Gestión de documentos

Gestión de recursos

Sistema de Gestión de Servicio (SGS)

Procesos para la provisión del servicio

Gestión de Nivelesde Servicio

Reportes del servicio

Gestión de la continuidad ydisponibilidad del servicio

Presupuesto y gestiónpara los servicios

Gestión de la capacidad

Gestión de la seguridadde la información

Gestión de relacionesde negocio

Procesos de relacionamiento

Gestión de proveedores

Gestión de incidentes y solicitudesde servicio

Procesos de resolución

Gestión de problemas

Gestión de configuraciones

Procesos de control

Gestión de cambios

Gestión de liberaciones

Copyright © 2012 BSI. All rights reserved. 17Gestión de la Seguridad en TIC

Gestión de la Continuidad de Negocio

Respuesta al Incidente(Minutos a horas) Asistir a las víctimas Contener los daños Evaluar los daños Invocar el BCP

Continuidad de Negocio(Minutos a días) Contactar a los involucrados Recuperar los procesos críticos Recuperar el trabajo perdido

Recuperación(Semanas a Meses) Reparar los daños Reubicar a las instalaciones permanentes Recuperar los costos de las aseguradoras

Tiempo Cero

Incidente Retorno a la normalidadlo más rápido posible

Noviembre 2013

Copyright © 2012 BSI. All rights reserved. 18

La estructura de los estándares

4 Contexto de

la

organización

Entendimiento

de la

organización y

su contexto

Expectativas de

las partes

interesadas

Alcance de

SGSI

SGSI

5 Liderazgo

Liderazgo y

compromiso

Políticas

Organización

de roles,

responsabilidad

es y

autoridades

6 Planeación 7 Soporte

Recursos

Competencias

Conciencia

Comunicación

8 Operación

9 Evaluación

del

desempeño

Monitoreo,

medición,

análisis y

evaluación

Auditorías

internas

Revisión de la

Alta Dirección

10 Mejora

No-

conformidades

y acciones

correctivas

Mejora continua

PLANEAR HACER VERIFICAR ACTUAR

Información

Documentada

Las acciones

para abordar

los riesgos y

oportunidades

Objetivos y

planes IS

Planeación y

control

operacional

Evaluación de

riesgos de la

seguridad de la

información

Manejo de

reisgos de la

seguridad de la

información

Noviembre 2013 Gestión de la Seguridad en TIC

Copyright © 2012 BSI. All rights reserved. 19Noviembre 2013 Gestión de la Seguridad en TIC

Proceso de Certificación

Auditoría de Registro o

Certificación

Etapa 1. Auditoría de Intención o Documental

Se verifica que la intención y los objetivos del sistema de gestión estén considerados en la documentación.

Se verifica que la documentación cumpla con todos los criterios del estándar.

Etapa 2. Auditoría de Implementación y Eficacia

Se verifica que el sistema de gestión implementado cumpla con las especificaciones establecidas en la documentación.

Se verifica que el sistema de gestión logre los objetivos establecidos.

Copyright © 2012 BSI. All rights reserved. 20Noviembre 2013 Gestión de la Seguridad en TIC

Sesión de preguntas

Copyright © 2012 BSI. All rights reserved. 21

Contáctanos

BSI Group México

www.bsigroup.com.mxinformacion.msmexico@bsigroup.com

Tel. 01 800 044 0274+52 (55) 5241 1370

Noviembre 2013 Gestión de la Seguridad en TIC

Noviembre 2013 Gestión de la Seguridad en TIC