seguridad de la información - iv congreso nacional de sistemas de gestión y mejora continua
DESCRIPTION
Certificación de la ISO 27001, ahora y en el futuro Abstract: -Entrega del certificado de la 20000 de la UTN -Proceso de certificación de la ISO 27001 -Mitos y verdades de la certificación de la ISO 27001 -Experiencias de un cliente -La nueva versión de la ISO 27001 y su certificación -Normas asociados: ISO 20000 y ISO 22301 Disertante: Dr. Harro Osthoff Doctorado en teoría de información de la Universidad Lund en Suecia. Auditor Líder en las normas ISO 9001, ISO 20000, ISO 27001 e ISO 28000 y Responsable para normas informáticas en Sistemas de Gestion en TÜV Rheinland S.A. desde 2007. Resonable para Software de Seguridad en celulares de Ericsson trabajando en Alemania y Suecia. www.congresodecalidad.com.arTRANSCRIPT
10/10/121 Presentation TÜV Rheinland
Acompañamos su compromiso con la calidad, la seguridad y el medio ambiente
Mitos y Verdadesde la Certificación ISO 27001
Congreso de Calidad19/09/2013 UTN
19/09/20132 Presentación TÜV Rheinland
Quienes Somos
19/09/20133 Presentación TÜV Rheinland
• TÜV
• Empresa internacional para la control técnica
• 140 años
• TÜV Rheinland Argentina
• 19 años en Argentina
• Más de 1000 clientes en certificación
• Más de 100 auditores, 4 en ISO 27001
Mitos:
19/09/20134 Presentación TÜV Rheinland
• Hay pocos certificados en le mercado
• La norma es demasiado complicado
• Certificar es costoso
• No necesitamos una certificación, no ganamos
¿Pocos Certificados?
• 20
19/09/20135 Presentación TÜV Rheinland
País # Certificados conacreditación
Argentina 25
México 25
Brasil 24
Colombia 14
Perú 7
Chile 5
Republica Dominicana 4
Ecuador 2
20 del TÜV
• Banco:• Banco Patagonia, Interbanking, Worldsys, Inworx, NOP
• Comunicación:• Telecom, Telpin, Planexware, Level3, Service Bureau Intetel
• IT:• ETEK, Lightech, Quintec, Solint
• Alimentos:• Peñaflor, ARCOR
• Juego:• Boldt, Techno Acción
• Documentos:• ADEA Argentina, ADEA México
• Seguros:• ALEA
• Gobierno:• ONP
• Medioambiente:• Estudio Jurídico Villanueva
• Marketing:• Agencia Siete & Media
ISO 27001 Certificados de TUV
19/09/20136 Presentación TÜV Rheinland
porque certifican las empresas
19/09/20137 Presentación TÜV Rheinland
Razon EmpresaClientes Agencia Siete & Media, NOPCompañía madre Siemens, BactssaConfianza PeñaflorMejor gestión en IT Telpin, Estudio Jurídico VillanuevaMercado Boldt, Techno AcciónEvitar auditorías Interbanking, Worldsys, Inworx
Los tres pilares básicos de un SGSI
• Confidencialidad
• Previene el acceso no autorizado a la información, de forma intencional o no.
• Integridad
• Evita modificaciones de la información por parte de personal no autorizado.
• Disponibilidad
• Proporciona acceso seguro a la información en el momento en que se precisa.
19/09/20138 Presentación TÜV Rheinland
Información
• La información es un recurso que,
como el resto de los importantes activos comerciales,
tiene valor para la organización y
por consiguiente debe ser debidamente protegida.
• Información como activo de la empresa
• Para todos tipos de información y empresas
• Gestión y certificación de procesos
• Base son los procesos de negocio
• Exige análisis de riesgos y continuidad de negocio
19/09/20139 Presentación TÜV Rheinland
La Norma ISO 27001:2005
• Sistema de Gestión:
• Capítulo 4 – 8
• Extensión de su sistema de gestión
• SGSI, Responsabilidades de la dirección, auditorías internas,
revisión por la dirección, mejora del SGSI
• Apéndice A: técnico
• A.5 - A.15 con 133 controles seleccionable
19/09/201310 Presentación TÜV Rheinland
Areas del SGSI en las organizaciones (ISO 27001-2005)
Dirección -Política de la seguridad de la información [A.5]
-Seguridad de la organización [A.6]
-Clasificación y control de los activos [A.7]
- Gestión de los incidentes de la seguridad de la información [A.13]
-Cumplimiento (con los requerimientos legales y de la organización) [A.15]
Recursos HumanosSeguridad personal de los recursos humanos [A.8]
Procesos del Negocio -Gestión de riesgos [4.3.1]
-Gestión de la continuidad del negocio [A.14]
Control de AccesoControl de acceso [A.11]
Edificio/Medio AmbienteSeguridad física y ambiental [A.9]
Trabajo Diario
Gestión de la operación y de la comunicación [A.10]
Planificación/ Proyectos
Desarollo y mantenimiento de sistemas [A.12]
19/09/201311 Presentación TÜV Rheinland
¿Norma Complicado?
• Esto que tienen en la empresa necesitan gestionar
• El responsable del sistema de gestión provee los datos para la gestión
• Gestión vía procesos documentadas
• Decisiones trazables
• La norma extiende sus sistema de gestión
19/09/201312 Presentación TÜV Rheinland
¿Certificar es costoso?
• Auditoría – consultoriá
• Auditoría
19/09/201313 Presentación TÜV Rheinland
Personas en Proceso Tiempo *(days)
6 - 10 1.5
26 - 45 3.0
86 - 125 5.5
*Sin costo de acreditación, complejidad bajo
¿Certificar es costoso?
• Implementación: Costo en tiempo
• Otra norma (ISO 9001, SOC, ISO/IEC 20000, ITIL, Cobit etc.)
• Consultores
• Recursos internos
19/09/201314 Presentación TÜV Rheinland
Subvenciones
• PACCS
• Phonesoft
• Ciudad
19/09/201315 Presentación TÜV Rheinland
¿No ganamos con la certificación?
• Interno
• Concientización de los empleados
• IT gestionado (Adobe Flash Player 11.6.602, Reader 11.0.02)
• ISMS como seguro contra cyber crime
• Control independiente: menos auditorías de clientes
• Mejora continuo: auditor trae experiencias de otras empresas
• Externos
• Confianza
• Disminución de cuotas de aseguradoras
• Mejor competitividad
19/09/201316 Presentación TÜV Rheinland
Servicios del TÜV
• Normas
• ISO/IEC 27001
• ISO 9001
• ISO/IEC 20000
• Capacitación
• Introducción: 1 día
• Auditor interno: 3 días
• IRCA Auditor Líder: 5 días
19/09/201317 Presentación TÜV Rheinland
Verdades
• Hay pocos certificados en le mercado?
La ISO 27001 es bien desarrollado en el mercado argentino.
• La norma es demasiado complicado?
Gestiona que tienen en su empresa.
• Certificar es costoso?
La inversión en tiempo y recursos que supone la implantación de
un SGSI se ve ampliamente superada por las ventajas que
resultan de su implementación
• No necesitamos una certificación, no ganamos?
Eficiencia, Seguridad, Imagen, Confianza,
19/09/201318 Presentación TÜV Rheinland
Procedimiento de certificación ISO/IEC 27001:2005
Auditoría Certificación
Conformidad y cumplimiento del SGSI
Certificación
Emisión del certificado
Seguimiento
Mejora continua
anualanual
Fase 2 Fase 2 Procesos y Control
Auditoría CertificaciónRevisión documental en sitio
Conformidad y cumplimiento del SGSI
Fase 1Fase 1
19/09/201319 Presentación TÜV Rheinland
Plazos para llevar adelante una auditoría de certificación
Fase 1
Max 3 meses Ca. 1 mes
tiempo
Fase 1 Evaluación del alcance del SGSI / Chequeo de documentos
Implementación de las acciones correctivas por parte del cliente
Fase 2 Chequeo de documentos / Fase2 Auditoría de certificación con revisión técnica para asegurar la eficacia
Implementación de las acciones correctivas por parte del clienteCertificación
Fase 1
Fase 2
Obs/NCCertificate
Max 3 meses
ObservaciónFase 2
No conformidad
19/09/201320 Presentación TÜV Rheinland
Paso a paso para alcanzar la eficienciaTÜV Rheinland ayuda a sus clientes
Harro OsthoffAuditor ISO 9001,
ISO/IEC 20000, ISO/IEC 27001,ISO 28000
TÜV Rheinland Argentina S.A.
Gracias por su atención.
19/09/201321 Presentación TÜV Rheinland