Seguridad en la Gestión de las TICs con normas ISO (Modelo de Gobierno y Gestión de las TICs)
Carlos Manuel FERNÁNDEZ Ing. en Informática. CISA, CISM. MBA Gerente de TICs (AENOR) Vocal del Colegio Profesional de Ingenieros en Informática de Madrid (CPIICM) Profesor Máster (UNIR/UPSAM)
Octubre 2013 Dirección de Desarrollo AENOR
AENOR
AGENDA 1.
QUIÉN ES AENOR
2.
MODELO DE GOBIERNO Y GESTION DE AENOR
3.
POR QUÉ Y ASPECTOS CLAVES DE SGSI - ENS
4.
PROCESO DE CERTIFICACION SGSI
5.
BIBLIOGRAFIA
6.
ALGUNOS DATOS
7.
CONCLUSIONES
AENOR
AENOR Asociación privada de Normalización y Certificación AENOR es el representante de ISO en España y algunos países de Latinoamérica. Sin ánimo de lucro Constitución: 1986 Real decreto 2200/95 AENOR Corporación AENOR INTERNACIONAL (12 filiales) AENOR México ( +10 años en México DF y Delegaciones) Multisectorial Normalización Certificación productos, servicios, sistemas de gestión y personal Servicios de Formación AENOR es miembro de IQNET
AENOR
AENOR ASOCIACIÓN ESPAÑOLA DE NORMALIZACIÓN Y CERTIFICACIÓN Entidad privada, independiente, sin ánimo de lucro
ACTIVIDADES -Elaborar normas técnicas nacionales (UNE) y participar en la elaboración de normas internacionales -Certificar productos, servicios y empresas (sistemas de gestión) Entidad designada por el Ministerio de Industria y Energía (R.D. 1614/1985), como entidad para desarrollar las actividades de N+C. Reconocida como Organismo de Normalización y para actuar como Entidad de Certificación (R.D. 2200/1995)
AENOR
AENOR Datos relevantes Calidad y Seguridad 25.300 1.200 + 400 + 120 41 3
Certificados ISO 9000 Certificados OHSAS 18001 Certificados IS0 27001 Certificados ISO 20000-1 Certificados SPICE nivel 2 Certificados SPICE nivel 3
Producto Más de 89.570 Certificados
Internacional
Medioambiente 6.220 Certificados ISO 14000 558 Certificados EMAS
Normalización Más de25.000 Normas (UNE y Ratificadas)
Recursos Humanos 500 Auditores/25 auditores TICs
Más de 45 Acuerdos internacionales para certificación de sistemas Más de 40 Países donde AENOR concedido certificados
Cambio Climático Más de 200 proyectos MDL, AC y Voluntarios
AENOR
Centro de Proceso de Datos o Tecnologías de Información y Comunicaciones
¿Qué es un CPD?: Es un Conjunto de: - Personas (Humanware) - Sistemas o Tecnologías (Base de Datos, software, aplicaciones, Hardware, Telecomunicaciones y sala de servers e infraestructura). - Procesos - Infraestructura
AENOR
LAS TICs COMO APOYO A LA GESTION E INNOVACION EN LAS EMPRESAS “New Business and Tools for Business” To CEOs & CIOs B2C B2B BigData
WEB 1.0 WEB 2.0 WEB 3.0?
MOBILITY Pdas Smartphone Blakberry / Iphone / HTC
Portal Corporativo Redes Sociales Wikis BYOD GIS RFID
CRM ERP SCM
e-Branding e-Mailing e-Learning
CLOUD COMPUTING SaaS (Software As A Service) IaaS (Infraestructure As A Service) PaaS (Platform As A Service)
BUSINESS PLAN = PLAN DE TICS (Integración y Alineamiento)
7
FACTORIA DE TICs (Nuevos Servicios y Operaciones de TICs)
AENOR
Cómo perciben los ejecutivos los Sistemas de Información • 71% de los ejecutivos están de acuerdo que es una palanca las TI para transformar el negocio • 62% creen que las TICs deben focalizarse en la innovación de los procesos de negocio
• 66% están de acuerdo que las TICs han implicado una gestión de riesgos más compleja en las corporaciones. » Fuente: Ernst&Young study” What’ next for the CIO? (Enero 2011).
Una solución al gobierno y la gestión de las TICs es el modelo de AENOR de ISO en las TICs donde se realiza el gobierno y la gestión de las TICs alineadas con los objetivos de negocio.
AENOR
Modelo ISO para las TICs y otros entornos La empresa y su continuidad según procesos críticos
Objetivo: Gobierno y Gestión de las TICs con estándares ISO.
SGCN ISO 22301
Gobierno de TI ISO / IEC 38500
Sistema de Gestión Continuidad del Negocio.
IT Governance
Nivel de Madurez. Ciclo de Vida de SW
SPICE ISO 15504 Modelo de Evaluación, Mejora y Madurez de Software
ISO 12207 Ciclo de Vida de Desarrollo de Software
SGAS - SAM ISO 19770-1
SGSTI ISO 20000-1
Sistema de Gestión Activos Software (Licencias de Software)
Sistema de Gestión Servicios TI ISO 20000-2 Guía de Buenas Prácticas
ISO 25000 Calidad del Producto Software
SGSI ISO 27001 Sistema de Gestión Seguridad de la Información
Adicionalmente: •
Calidad y seguridad en servicios de TI (el día a día)
Procesos / Servicios
Desarrollo de Software
Creación de Software
Funciones del director de TI
BPCE – Buenas Práctica Comercio Electrónico
ISO 27002 Guía de Controles
Datacenter Green. Sostenibilidad Energética en CPDs- SE CPDCopyright AENOR. Diciembre 2006 Nota:
tiene PDCA / Control interno Tecnologías de Información
AENOR
Factores que influyen en la Seguridad de los SI • Actualmente: Nueva York y en los 80´s : Mainframe – Ciudad de Ávila. Magerit • Amplio uso de la Tecnología. • Interconectividad de los sistemas. Sistemas abiertos y distribuidos. • Cambios muy rápidos en las TICs. • Ataques a Organizaciones. Tema atractivo?. • Factores externos: Legislación .etc... (Information Security Governance. 2001. IT Governance Institute).
AENOR 10
Informe de Riesgos en las TICs • Uno de cada 5 empleados deja a su familia y amigos usar sus portátiles corporativos para acceder a Internet. (21%). • Uno de cada diez confiesa que baja algún tipo de contenido que no debiera mientras está en el trabajo. • Dos tercios admiten tener conocimientos muy limitados en materia de seguridad. • Un 5% dice que tienen acceso a areas de la red corporativa que no deberían tener. Fuente: McAffee.
AENOR 11
Descripción genérica de un proceso Relaciones con otros procesos
PROCESO Entradas
-Tareas / Actividades - Procedimientos -Instrucciones Técnicas - Registros (evidencias)
Salidas
Nota: es conveniente la utilización de workflows en el proceso
Indicadores / métricas Un proceso es un conjunto estructurado de actividades diseñado para cumplir un objetivo concreto. Un proceso tiene entradas y salidas. Las organizaciones que persiguen la eficacia en su funcionamiento tienen que identificar y gestionar numerosos procesos que están relacionados entre sí, ya que es frecuente que la salida de un proceso pase directamente a ser la entrada del siguiente proceso.
AENOR
SGSI - UNE ISO 27001. MODELO PDCA Definir política de seguridad Establecer alcance del al SGSI Realizar análisis de riesgos Seleccionar los controles
“P”
Implantar plan de gestión de riesgos Implantar el SGSI Implantar los controles
ISO IEC 27002 / Anexo A. ISO IEC 27001
“A”
A.5 Política de Seguridad de Información A.6 Estructura organizativa de la SI A.7 Clasificación y control de activos A.8 Seguridad ligada al personal A.9 Seguridad física y del entorno
Adoptar las acciones correctivas Adoptar las acciones preventivas
“C”
A.10 Gestión de comunicaciones y operaciones A.11 Control de accesos A.12 Desarrollo y mantenimiento de sistemas A.13 Gestión de Incidentes de Seguridad A.14 Gestión Continuidad de Negocio A15 Conformidad y Cumplimiento legislación
“D”
Revisar internamente el SGSI Realizar auditorias internas del SGSI Indicadores y Métricas Revisión por Dirección
AENOR
ISO 27001: SG de la Seguridad de la Información Solución a los Riesgos Empresariales, Decisión estratégica de la organización • Modelo para la definición, implementación, operación, revisión, mantenimiento y mejora del SG de la SI.
Reordenar la Seguridad de los SI.
Sigue pautas de ISO 9001 e ISO 14001. Para todo tipo de organizaciones. En el marco de los riesgos empresariales generales. Fin, seleccionar controles de seguridad, adecuados y proporcionados. Enfoque por procesos, y para la mejora contínua.
AENOR
Propiedades principales asociadas a la Información
DISPONIBILIDAD
CONFIDENCIALIDAD
Asegurar que los usuarios autorizados tienen acceso cuando lo requieran a la información y sus activos asociados.
Asegurar que la información es accesible solo para aquellos autorizados a tener acceso.
INTEGRIDAD Garantizar la exactitud y completitud de la información y los métodos de su proceso
La gestión eficaz de la Seguridad de la Información permite a la organización preservarlas. Cumplimiento normativo-legal en Europa (Esquema Nacional de Seguridad, LOPD, LPI, LSSI, etc.) AENOR
Seguridad de la Información Para conducir y operar exitosamente una organización se requiere, que se: salvaguarden los activos, mantenga la integridad de los datos e infraestructura, suministre información relevante y fiable, trabaje de forma eficiente, tengan dispuestos controles internos que aporten garantía razonable de que los objetivos de negocio se alcanzan. PDCA - CITI
AENOR
Riesgos en los sistemas de información
Riesgo es una función de: La probabilidad de que una amenaza explote una vulnerabilidad El impacto es el resultante de dicho evento en la organización Riesgos y Amenazas:
AENOR
Análisis y Gestión de riesgos – Implantación de controles Procesos de Negocio / Servicios de TI
Activos de SI
Análisis y Gestión de riesgos
Sistemas de información (Base de Datos)
R=F(X1,X2,X3,Xn)
Software (Aplicativos)
Confidencialidad (X2)
Hardware
Disponibilidad (X3)
Telecomunicaciones
Amenazas (X4)
Personas
Integridad (X1)
Vulnerabilidades (X5)
Impacto Económico (X6) XN
Riesgo Residual
Activo1-------R’1 Activo2-------R’2
Aplicando ISO/IEC 27002 (Selección de Controles)
AENOR
Esquema Nacional de Seguridad. Aspectos clave 1. ISO 27001 – PDCA. Implícito 2. Categorización de los sistemas. •
•
3 categorías (Alta, media, baja) en cada una de las dimensiones de seguridad (DAICT- Disponibilidad, Autenticidad, Integridad, Confidencialidad, Trazabilidad). En función de la gravedad del impacto que tendría un incidente que afectará a la seguridad de la información o a los servicios
3. Metodología MAGERIT-ENISA. (Análisis de riesgos) 4. CCN-CERT prestará servicios a AAPP (CCN-Centro Criptográfico Nacional-Computer Emergency Reaction Team)
• • •
Soporte y coordinación para resolver incidentes Formación en el campo de la seguridad de las TICs Información sobre vulnerabilidades, alertas y avisos de nuevas amenazas, etc.
AENOR
Esquema Nacional de Seguridad. Aspectos clave La disposición transitoria del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, publicado en el BOE el 29 de enero de 2010, articula el siguiente mecanismo escalonado para la adecuación a lo previsto en el Esquema Nacional de Seguridad: «los sistemas de las administraciones deberán estar adecuados a este Esquema en el plazo de doce meses, aunque si hubiese circunstancias que impidan la plena aplicación, se dispondrá de un plan de adecuación que marque los plazos de ejecución, en ningún caso superiores a 48 meses desde la entrada en vigor». Ya se ha cumplido el primer plazo de 12 meses y el segundo plazo de 48 meses se cumplirá el próximo 29 de enero de 2014.
AENOR
SGSI - ISO/IEC 27002: Objetivos y Controles
AENOR
La documentación del SGSI
Nivel 1
Manual de seguridad
Política(s), alcance evaluación de riesgo, declaración de aplicabilidad
Nivel 2
Nivel 3
Nivel 4
Describe procesos - quién, qué, cuándo, dónde (4.1- 4.10)
Procedimientos
Describe las tareas y las actividades específicas y cómo se realizan Proporciona las pruebas objetivas del cumplimiento con las exigencias del SGSI (cláusula 4.3.2-4.3.3)
Instrucciones de trabajo, listas de comprobación, formularios, etc.
Registros
AENOR
Ventajas de certificar la Seguridad de la Información Para los Sistemas de Información: Sistematizar las actividades de SI Ahorro de recursos en las actividades de SI, mejorando la motivación e implicación de los empleados Analizar riesgos: identificar amenazas, vulnerabilidades e impactos en la actividad empresarial Establecer objetivos y metas que permitan aumentar el nivel de confianza en la seguridad Planificar, organizar y estructurar los recursos asignados a seguridad de la información Identificar y clasificar los activos de información
AENOR
Ventajas de certificar la Seguridad de la Información
Seleccionar controles y dispositivos físicos y lógicos adecuados a la estructura de la organización Asegurar el nivel necesario de disponibilidad, integridad, y confidencialidad de la información Establecer planes para adecuada gestión de la continuidad del negocio
Establecer procesos y actividades de revisión, mejora continua y auditoría de la gestión y tratamiento de la información
AENOR
Ventajas de certificar la Seguridad de la Información •
Para el Negocio: Integrar la gestión de la seguridad de la información con otras modalidades de gestión empresarial Mejorar la imagen, confianza y competitividad empresarial. Certificación y reconocimiento por terceros. Comprobar su compromiso con el cumplimiento de la legislación: protección de datos de carácter personal, servicios sociedad de información, comercio electrónico, propiedad intelectual, etc... Dar satisfacción a accionistas y demostrar el valor añadido de las actividades de seguridad de la información en la empresa.
APORTA CONFIANZA A LOS SISTEMAS DE INFORMACIÓN
AENOR
Proceso de Certificación según ISO 17021 Informe fase 1
FASE 1: PLANIFICACIÓN DE LA AUDITORÍA Y ESTUDIO DE DOCUMENTACIÓN (presencial)
Auditorías de mantenimiento de la certificación
CUESTIONARIO PRELIMINAR Y SOLICITUD
AUDITORÍAS DE RENOVACIÓN (AL TERCER AÑO)
AENOR Auditoría de Certificación (ISO 17021)
Informe final
Hoja de datos Alcance : “… de acuerdo al XXX vigente”
ELABORACIÓN DEL PLAN DE ACCIONES CORRECTIVAS - PAC
AUDITORÍAS DE SEGUIMIENTO (AL SEGUNDO AÑO) AUDITORÍAS DE SEGUIMIENTO (AL PRIMER AÑO)
FASE 2: REALIZACIÓN DE LA AUDITORÍA (presencial)
REGISTRAR LOS RESULTADOS
Informe de Evaluación y Decisión
CONCESIÓN DEL CERTIFICADO
AENOR
Proceso de Certificación en ISO 27001 - SGSI Evaluación y Decisión Manteniendo una estructura que permita independencia e imparcialidad, en la toma de decisiones para la concesión o no de una certificación se establecen tres niveles: Decisión (Concesión / no concesión)
Gerente TICs - Comité
TRE (Técnico Responsable Expediente)
Auditor Jefe
Revisión de Propuesta (Concesión / no concesión)
Propuesta (Concesión / no concesión)
AENOR
Acreditación de AENOR - SGSI
AENOR
Miembros IQNET
AENOR
AENOR e ISO 27001 en la actualidad
Con más de 400 certificaciones emitidas en SGSI-ISO 27001, destacar: Desde AAPP, Colegios Profesionales, Organizaciones / empresas privadas, bufetes de abogados, etc.
AENOR
Salidas profesionales desde el modelo de AENOR AENOR FORMACION Titulaciones Propias – Ver otras slides
ISO 27001 SGSI
ISO 20000 SGSTI
SPICE ISO 15504
ISO 22301 SGCN
Madurez en ciclo de vida de software
Responsable Consultor Auditor interno Auditor externo
Ídem
Ídem
Ídem
Otros Sistemas en Desarrollo con su titulación ISO 38500 Gobierno de TI
SAM – ISO 19770 SGAS
EA 0044:2013 SE CPD
AENOR
Bibliografía específica Seguridad de la Información •
Guía de aplicación de la Norma . UNE –ISO / IEC 27001 para PYMES. AENOR. Ediciones. 2012.
•
MAGERIT: Metodología de análisis y gestión de riesgos de los sistemas de información de las Administraciones Públicas. www.csi.map.es/csi/pg5m20.htm Seguridad de las Tecnologías de la Información. AENOR. 2003. Varios Autores: Eduardo Fdez. Medina, Roberto Moya, Mario Piattini, etc.. www.aenor.es
•
•
Seguridad Informática para empresas y particulares. 2004. Mc Graw Hill y Panda. Gonzalo Alvárez Marañón y Pedro Pablo Pérez. Revisión: Pedro Bustamante.
•
•
NIST Special Publication SP 800-12: An Introduction to Computer Security.The NIST Handbook. National Institute of Standards and Technology. – http://csrc.nist.gov/publications/nistpubs/800-12/ Information Security Governance: Guidance for Boards of Directors and Executive Management. IT Governance Institute. Control Objectives for Information and Related Technology (Cobit) . www.isaca.org/cobit.htm
•
Implementation guide ISO 27001/ISO 17799. Van Haren
•
AENOR
Futura ISO 27001:2013
AENOR
Bibliografía ISO 20000-1 / ISO 27001
AENOR
Bibliografía
AENOR
Futuro y conclusiones en Sistemas de Gestión en las TICs.
Aspectos a considerar: •
El control interno de Tecnologías de Información no es una moda.
•
El Sistema de Gestión en las TICs ayuda a gestionar el control interno de Tecnologías de la Información alineado e integrado con los objetivos del negocio y el cumplimiento normativo legal y sectorial.
•
ISO incorpora PDCA-motor y el conocimiento-control interno de TICs, cumpliendo objetivos de negocio.
AENOR
Sistemas de Gestión en las TICs. Una historia reciente
“La simplicidad es la mayor de las sofisticaciones” Leonardo Da Vinci
AENOR
Un nuevo reto en las TICs “PDCA –Ciclo de mejora Continua (Deming) Sistema de Gestión Integrado y alineado con los Objetivos del Negocio.
En conclusión: ¿Dormirá tranquilo el/la CIO?
Muchas Gracias por su atención! Carlos Manuel FERNÁNDEZ Ing. en Informática. CISA, CISM. MBA Gerente de TICs (AENOR) Vocal del Colegio Profesional de Ingenieros en Informática de Madrid (CPIICM) Profesor Máster (UNIR/UPSAM)
Octubre 2013
AENOR