La importancia de los procesos de seguridad de la información, por Möllmann / Canosa

Título: La importancia de los procesos de
seguridad de la información

• José Luis Möllmann,
• Director BSI Brasil.

• Maximiliano M. Canosa
• Partner BSI Argentina – Director Ejecutivo I-Prot

© 2007 Global Crossing - Proprietary

2

Agenda
• Introducción a BSI
• Porque Implementar un Sistema de Gestión
• Introducción a los Sistemas de gestión relacionadas a IT
 Normas Internacionales
 Ventajas e integración de las mismas

• Gestión de Seguridad de la Información - ISO 27001
• Gestión de Servicios de Tecnología de Información – ISO 20000
• Gestión de la Continuidad del Negocio – BS 25999
• Proceso de Certificación

© 2007 Global Crossing - Proprietary 2

Introducción a
BSI MANAGEMENT SYSTEMS


Contents slide
4

Quien es BSI?
• Fundado en 1901
• Líder global en servicios de negocios
• Clientes en mas de 100 países
• Proveedor de:
 Auditorias independientes, certificación y capacitación en
sistemas de gestión;
 Servicios de certificación, inspección y pruebas de productos;
 Desarrollo, venta y distribución de normas privadas, nacionales e
internacionales;
 Desarrollo de soluciones en sistemas de información;


Contents slide
5

Nuestra Historia
Lanzamiento del “Registro
Introducción del Empresas con Capacidad
KiteMark. 1a norma Auditadas”. Est. de BSI Adquisición de
publicada BS 1 Management Systems KPMG Holanda
1903 1977 2004

Cambio de nombre Establecimiento en
para BSI Asia Pacifico

1931 1995

1900 2007

1901 1946 2002
Comité de Ingenieros Membro fundador de la Adquisición de KPMG
para Normalización ISO Quality en Norte América
fundado en Londres

2006
1929 1991 Adquisiciones:
NIS ZERT Alemania
Obtención del Royal Establecimiento de Entropy International UK
Charter BSI Inc en USA Benchmark Pty Australia


Contents slide
6

Una Historia de Innovación

Pionero en el desarrollo de:
1979 BS 5750 ISO 9001 (Calidad)

1992 BS 7750 ISO 14001 (Medioambiente)

1995 BS 7799 ISO 27001 (Seguridad de la Información)

1996 BS 8800 OHSAS 18001 (Salud Ocupacional y Seguridad)

2000 BS 8600 ISO 10002 (Satisfacción de Clientes)

2002 BS 15000 ISO/IEC 20000 (Servicios de TI)

Las ultimas normas incluyen:
• BS 25999 – Continuidad del Negocio
• PAS 99 – Gestión Integrada
• BS 8900 – Sustentabilidad


7
Acreditaciones Nacionales
& de Sector
SCC (Canada) HKCAS (Hong Kong) IATF – Automotive

ANAB (USA) JAB (Japan) itSMF
IT Service Management
JIPDEC (Japan)
EMA (Mexico) ENAC (Spain) Information Security
SAI
INMETRO (Brazil) SAC (Singapore) Social Accountability

RvA* (Netherlands) TAF (Taiwan) TGA / VDA (Germany)
Automotive
UKAS* (UK) CNAB (China) Miembro del Independent
International Organization for
KAB (Korea) NABCB (India) Certification (IIOC)

JAS-ANZ (Australia)


Contents slide
8

Portafolio de Normas
Desempeño Sustentabilidad Riesgo

• Calidad ISO 9001 • Medioambiente ISO 14001, • Salud Ocupacional & Seguridad
• Automotriz ISO/TS 16949 EMAS, RC 14001 Industrial OHSAS 18001
• Aeroespacial AS 9100 • Validación & Verificación de • Seguridad de Informacion
• Telecomunicaciones TL 9000 Gases Invernaderos ISO/IEC 27001
• Servicios de TI ISO/IEC 20000 • Mecanismo de Desarrollo Limpio • Seguridad Alimentaría
• Petróleo & Gas ISO TS 29001 CDM - ISO 22000
• Satisfacción de Clientes ISO • Responsabilidad Social SA 8000 - Código HACCP (Holanda)
10002 • Responsabilidad Social - BRC Norma Global
• Gestión Integrada PAS 99 Corporativa - BRC Empaque
• BSI BenchMark • Verificación de Reportes - Codex HACCP
Corporativos • Productos de Consumo
• Desarrollo Sostenible BS 8900 - BRC Productos de Consumo
• Continuidad del Negocio BS
25999
• Dispositivos Médicos ISO 13485

• Esquemas de Auditorias de Segunda Parte


Contents slide
9

Habilitar Organizaciones a
…
Crear ventajas competitivas a través
de la mejora del desempeño

Crear valor a través de practicas de
negocio sostenibles

Minimizar la interrupción a través del
efectivo manejo de riesgos


Sistemas de Gestión


Visión de Proceso:
interno/externo

interno/externo
Proovedor

INPUT OUTPUT

Cliente
dados de dados de
entrada PROCESO saída

Para tenermos sucesso con la utilización de la vision de
procesos, en la area Comercial, tenemos que descobrir:
• las necesidades explícitas de la empresa;
• las necesidades implícitas de la empresa;
• las expectativas del cliente.


Visión de Proceso:

“Un resultado deseado es alcansado mas eficientemente cuando las
actividades y recursos relacionados son gerenciados como uno
proceso."

Incremiento em las ventas
incremiento de la satisfación
otimización de recursos
lucratividade


QUE ÉS MEJORIA CONTÍNUA ?

“És una acción hecha que tiene como resultado exceder aquilo que fue
previamente planeado”

Las Normas Internacionales prescreve la utilización del
concepto de PDCA para la busca da mejoria continuada.


Benefícios de los Procesos

Provee a las lideranzas un meio concreto para el gerenciamento da
Empresa: los INDICADORES DE DESEMPEÑO.

Permite visualizar y acompanãr:
Eficacia de los procesos en atingir sus objectivos;
Níveles de otimizacion de la utilización de los recursos;
Los dados de mercado: quales las soluciones adecuada al
cliente?
Decisiones tomadas con base en factos y dados...
Percepción del grado de satisfacción del cliente
Reconocimiento del mercado


Organiza las Interfaces entre los diferentes departamientos de la
Empresa;
Registro de la Memória Tecnológica em una base simples, objectiva y
por procesos;
Simplifica / facilita la gestion de las mejorias;
Consolida la postura del participante del processo y no del responsável
por actividade;
Desdobra / direcciona los requisitos de los clientes por procesos,
facilitando el gerenciamento;
Direcciona al atendimiento de objectivos (metas mensurábles al longo
del tiempo y com alineamiento bajo la Eficiência Global).



Conocer nuestros puntos fracos y planear las mejorias
Entender puntos fuertes y bien aprovechar el lo dia-a-dia
Buscar identificacion de las oportunidades y planear actuación
focalizada
Mapear las ameaças y perceber las alternativas (atuación preventiva
en relacion al negócio)
Conocimiento del ciclo de vida del producto y estágio en que cada
uno se encuentra


Normas Internacionales


1
8

SISTEMA DE GESTIÓN DE
SEGURIDAD DE LA INFORMACIÓN
ISO 27001:2005


Contents slide
1
Introducción a ISMS 9
Porque ISO 27001?

• Única norma efectivamente reconocida como
internacional (respaldo de la ISO = International
Organization for Standardization)
• Única norma para Sistemas Gestión de Seguridad de
Información con estructura de certificación independiente
e internacionalmente reconocida;
• Mecanismo de certificación reglamentado;
• Aplicado por miles de Organizaciones.


ISO 27001:2005 – Sistema de Gestión de Seguridad en Información

 El actual sistema de certificación para la Seguridad de Información
fue desarrollado por BSI.

 La norma BSI BS 7799-2:2002 es la única norma certificable con
sistema de acreditación reconocido actualmente.

 En finales de 2005, ISO lanzó la norma ISO 27001 teniendo como
base los requerimientos de la norma BSI.

Posicionamiento BSI:
BSI tiene una participación de 45% de todo el mercado mundial de
certificación en Seguridad de Información.
http:// www.iso27001certificates.com


2
1

SERVICIOS DE TI
ISO 20000:2006


Definiciones

Gestión de Servicios TI

La gestión de Servicios TI para soportar una o más áreas de
negocios

ISO/IEC 20000

El primer estándar global que apunta específicamente a gestión
de servicios IT


Beneficios de la Norma

• La implementación provee control, mayor eficiencia y
oportunidades de mejora

• Transformar departamentos enfocados en tecnologías en
unos enfocados en servicios.

• Asegurar que los servicios IT están alineados y satisfacen los
requerimientos de la empresa.

• Mejorar la credibilidad y disponibilidad del sistema.

• Proveer las bases para acordar niveles de servicio y la
habilidad de medir la calidad de los servicios IT.


ISO 20000:2006 – Sistema de Gestión de Servicios de TI

 Debido a mayor necesidad actual y futura de la infraestructura
informática y informaciones que las organizaciones proveen;

 O suceso de las organizaciones depende, cada vez mas, de
servicios de TI con mas calidad y menos costo;

Fuerte interacción con otros aspectos de sistemas de gestión

 Posicionamiento BSI:
- BSI tiene una participación de 42% de todo el mercado
mundial de certificación en ISO20000.

http://www.isoiec20000certification.com/


2
5

GESTIÓN EN LA CONTINUIDAD
DEL NEGOCIO
ISO 25999:2007


Sinopsis

BS 25999 Códigos de Prácticas para Gestión de Continuidad de Negocio.

 Gerenciamiento de Programa de Continuidad de Negocios
papeles y Responsabilidad
 Entendiendo su negocio y organización en el contexto de BCM
Evaluación de riesgo
Identificando factores críticos.
 Determinando las opciones de su BCM
Monitoreando para minimizar impactos con incidentes
Evaluando sus opciones de estrategia de producto/servicio y opciones
de continuidad para diferentes elementos.


Epilogo

BS 25999 Códigos de Prácticas para Gestión de Continuidad de
Negocio.

 Desarrollando e Implementando el BCP
Plan de gestión de incidentes
Plan de continuidad de negocio
 Realizando ejercicios de BC, mantenimiento, y auditoria.
 Introduciendo el BCM en la cultura organizacional.


Contents slide
2
Las Norma ISO 27001 / ISO 8
20000 / BS 25999
Porque certificarse?
Porque es una inversión segura y de retorno garantido.

Los beneficios de la implementación de un sistema de gestión
de seguridad de la información son amplios y fueron
presentados anteriormente.
En adición a estos beneficios, la obtención de la certificación
provee:
• Credibilidad
• Seguridad al mercado
• Transparencia
• Maximiza competitividad


Contents slide
2
20000 / BS 25999

• Evita el riesgo de implementación inadecuada, falta de
actualización y mantenimiento débil, consecuentemente:
Promover aplicación de tecnología
Dirección a inversiones efectivas
Maximiza recursos
Promover mejora continua
Promover innovación
• Promover comprometimiento y cambio cultural
• Maximiza el potencial de crecimiento y de acceso a
mercados

Contents slide
3
20000 / BS 25999

• Cumplimiento a requisitos contractuales y reglamentarios

• Un mecanismo reglamentado de evaluación continua, identifica
vulnerabilidades, no conformidades, debilidades, fragilidades,
oportunidades de mejora y fortalezas antes que la empresa sufra con
las consecuencias en la practica

• Evidencia objetiva de la gestión adecuada de los riesgos
relacionados a la seguridad de informacion, tanto para los ejecutivos,
como inversionistas, clientes, etc


Contents slide
3
1
Proceso de Certificación

Cuestionário Pré- Ok Sim
Propuesta Acepte Auditoria ? Certificado
“Perfil” Auditoria

Não
Opcional

Auditorias de Auditoria de
Certificado
Mantenimiento Recertificación

Semestrales / 36º. mês
Anuales


Contents slide
3
2
Aplicabilidad y Sectores Claves

• Los siguientes sectores son los que actualmente se
encuentran con mayor grado de atracción e interés en
lograr una certificación:

Bajo Médium Alto
Agricultura y Pesca Educación Aerospacial
Químicos y Fibras Provisión de Energía Finanzas
Construcción Alimentos, bebidas y fumo Trabajos de Salud y Sociales
Servicios de Ingeniería Provisión de Gas Tecnología de Informacion
Equipamientos y maquinas Hoteles y Restaurantes Man. y Transferencia de datos
Empresas de Impresión Empresas de Publicación Combustible Nuclear
Reciclaje Transporte, Almacenamiento Farmacéuticos
y comunicación Transporte,
Construcción Naval Gobierno
Provisión de Agua
Administración Publica
Comercio mayoreo y
menudeo Defensa


¿A qué estamos expuestos?


SEGURIDAD DE LA INFORMACIÓN

ISO 27001:2005


Contents slide
3
Evolución de la ISO 27001

BS ISO/IEC BS 7799-1 ISO/IEC ISO/IEC
BS 7799:1995 17799:2000 17799:2005
27002:2007
1999: UK
BS 7799-1:1999 committee International
decision to committee
submit to Normal revision cycle decision to
ISO Fast- in ISO change number
Revised in UK
track

1995 2000 2005 2007
2004: UK decision
made to submit to
ISO Fast-track
BS 7799-2:1999 ISO/IEC
developed to support 27001:2005
certification
International
committee decision
to change number
BS 7799-2


Contents slide
3
Normas de la Serie ISO 27000

BS ISO/IEC 27000 – Definiciones y Vocabulario DIS publicado. Consulta concluida.
BS ISO/IEC 27001 – Sistema de Gestión de Publicada en Octubre del 2005,
Seguridad de Informacion – Requerimientos basada en la norma BS 7799-2
BS ISO/IEC 27002 – Código de Practica para Publicada en 2007, pero idéntica a
Gestión de la Seguridad de Informacion ISO 17799:2005
BS ISO/IEC 27003 – Guía de Implementación 2008/2009. Status no disponible.
BS ISO/IEC 27004 – Métricas y Mediciones CD publicado. Consulta interna en
realización.
BS ISO/IEC 27005 – Gestión de Riesgos de DIS publicado. Consulta concluida.
Seguridad de Informacion Actualmente disponible: BS 7799-3,
publicada en Marzo 2006.
BS ISO/IEC 27006 – Requisitos para Organismos Publicada en Marzo 2007.
que proveen auditoria y certificación en Sistemas de
Gestión de Seguridad de la Informacion

27007…...27011 Reservado para futuros desarrollos


Contents slide
3
La Norma ISO 27001 7
Lo que es?

La norma ISO 27001 fue preparada para proveer un
modelo para:
• establecer,
• implementar,
• operar,
• monitorear,
• analizar,
• mantener y
• mejorar un
Sistema de Gestión de Seguridad de Información.


Contents slide
3
Definiciones Claves

Integridad
Confidencialidad Disponibilidad


Contents slide
3
Enfoque de Procesos y Modelo PDCA

ISO 27001 adopta el enfoque de procesos y utiliza el
modelo PDCA de acuerdo con la ilustración siguiente:
Plan
Partes
Partes
Interesadas Establecimiento
Interesadas
del ISMS

Do

Implementación y Mantener y
Operación del ISMS Mejorar el ISMS
Act

Monitoreo y
Requisitos y Análisis del ISMS
Gestión de
Expectativa de
Seguridad de
Seguridad de Check Información
Información


Controles y Objetivos

Cláusulas del sistema de gestión de seguridad de la información (SGSI) – En
este se define el proceso de administración, cumplimiento y seguimiento del sistema
de gestión de seguridad de la información (SGSI).
El mismo se conforma de 5 Issues con 92 cláusulas.

Objetivos de control – En este se analiza el nivel de cumplimiento que se tiene
sobre los controles recomendados por la Norma ISO 27001.
La norma presenta 11 objetivos de control, 39 objetivos de control y 133
controles.


Contents slide
4
Estructura – Detalle del “Plan”

Alcance y Limites
Definición del Modelo
Definición de la Identificación de
Definición del de Evaluación de
Alcance y Limites del Riesgos de
Sistema
Política de ISMS
Riesgo
Gestión de Seguridad de la Informacion

Declaración de
Analice y Evaluación de Riesgos

Aplicabilidad
Identificación y Gestión de la
Selección de
evaluación de las aprobación de los
Controles y
opciones de tratamiento riesgos residuales
Objetivos
de riesgos propuestos

Autorización de la Administración para la
implementación y operación del ISMS


Contents slide
4
Estructura – Cláusulas

Sección 4: Sistema de Gestión de Seguridad de Información

Sección 5: Responsabilidad de la Administración

Sección 6: Auditoria Interna

Sección 7: Revisión Gerencial

Sección 8: Mejora del Sistema


Contents slide
4

Dominios de la ISO27001:2005

Security policy
Organizing
Compliance Information
Security

Business Continuity
Management Integridad Confidencialidad Asset Management

Información
Information Security Human Resources
Incident Management Security
Disponibilidad

Systems Acquisition, Physical &
Development & Environmental
Maintenance Security
Communications
Access Control & Operations
Management


Contents slide
4
Evaluación de Riesgos

Gestión del
Riesgo:
Actividades
coordinadas
para
direccionar y
controlar una
Organización
con relación
al riesgo.


Sistema de Gestión de Seguridad
de la Información (SGSI)
Un Sistema de Gestión de la Seguridad de la Información basado
en ISO 27001 está formado por una serie de documentos que
pueden clasificarse en una pirámide de cuatro niveles.

La documentación debe incluir los registros de las decisiones de
la dirección, asegurar que se puedan seguir los indicios de las
decisiones de la dirección y las políticas, así como permitir que
los resultados registrados sean reproducibles.

La documentación de un SGSI deberá incluir:

Documentos de Nivel 1 Documentos de Nivel 2 Documentos de Nivel 3 Documentos de Nivel 4
• Documentos que aseguran • Instrucciones, checklists y • Documentos que
• Alcance del SGSI que se realicen de forma formularios: documentos proporcionan una evidencia
• Política y objetivos de eficaz la planificación, que describen cómo se objetiva del cumplimiento
seguridad operación y control de los realizan las tareas y las de los requisitos del SGSI;
procesos de seguridad de actividades específicas están asociados a
• Metodología de evaluación la información y describen relacionadas con la documentos de los otros
de riesgos cómo medir la efectividad seguridad de la tres niveles como output
de los controles. información. que demuestra que se ha
• Plan de tratamiento del cumplido lo indicado en los
riesgo: mismos.
• Declaración de
aplicabilidad (SOA)
• Procedimientos relativos al
nivel 1

Control de la documentación


SERVICIOS DE TI

ISO 20000:2006


ISO/IEC 20000

• Parte 1 – Especificación para la Gestión de Servicios.

ISO/IEC 20000-1: 2005

• Parte 2 – Código de práctica para la Gestión de Servicios

ISO/IEC 20000-2:2005


Historia

• Gobierno de UK lanza IT Infrastructure Library (ITIL) en 1989

• ITIL define „mejores prácticas‟ de procesos y procedimientos

• ITSMF se forma en 1991 para desarrollar más sobre las mejores prácticas

• ITSMF se acerca a BSI para desarrollar un estándar

• BS 15000 publicado por primera en 2000 como una especificación (Revisado en 2002)

• BS 15000 revisado y se transforma en ISO/IEC 20000 en Diciembre 2005


Direccionadores del Estándar

• Cambiar de invertir en herramientas de desarrollo de software, a
administrar la calidad de los servicios una vez “vivos”.

• La necesidad de entregar servicios de entrega de servicios de costo
efectivos

• Falta de orientación y estándares aceptados

• Subir el perfil del departamentos de IT o la organización

• Enfocado en el Gobierno de UK, ITIL y itSMF


Calce de Productos

ISO/IEC
ISO/IEC 20000 17799

ISO 9001:2000

ISO 9001/2/3:1994


Objetivos de ISO/IEC 20000

• „Promover la adopción de una visión integrada de procesos para
efectivamente entregar servicios gestionados que cumplan los
requerimientos del negocio y clientes‟
ISO/IEC 20000-1:2005

• Permitir la comprensión de las mejores prácticas, beneficios
objetivos y posibles problemas de la gestión de servicios.

• Ayudar a las organizaciones a generar retornos o mejorar costos
efectivos vía la gestión de servicios profesionales.


PDCA - IT Service Management

Requerimientos Gestión de Servicios
Resultados del
del Negocio Negocio
Responsabilidades de la Alta Dirección

Requerimientos
Del Cliente Satisfacción del
Cliente
PLAN
Planificar la Gestión
Solicitudes de de Servicios
Cambios de Nuevo/cambiado
Servicios servicio

DO
Implementar
Otros procesos e.j la Gestión ACT
negocios, clientes De Servicios Mejora Otros procesos e.j.
proveedores, Continua negocios, clientes
proveedores,

Mesa de Ayuda CHECK
Monitorear, Satisfacción del
Medir y Equipo y personas
Verificar
Otros equipos e.j.
Seguridad,
Operaciones TI


The Service Management
process

Service Delivery Processes

Control Processes

Release Resolution Relationship
Process Processes Processes


The Service Management
Process
Service Delivery

Capacity Service Level Management Information Security
Management Management
Service Reporting
Service Continuity Budgeting and
and Availability Accounting for IT
Management Services
Control

Configuration Management
Change Management

Business
Relationship
Release Management Incident Management Management
Problem Management Supplier
Management

Release Resolution Relationship


Relación entre ISO 20000 and
ITIL

Achievement

ISO 20000

Management
Manager‟s Guide
Overview
ISO 20000-2

Process
Definition ITIL Best Practice

In-house procedures/work
Deployed
Solution instructions


SISTEMA DE GESTIÓN DE LA
CONTINUIDAD DEL NEGOCIO

BS 25999


5
Continuidad del Negocio 7

Definición

“La gestión de la continuidad del negocio es un proceso
de gestión holístico que identifica amenazas potenciales
a la organización y sus impactos a la operación.

Provee una estructura para mantener la continuidad
(resistencia a ser amenazas) organizacional con la
capacidad para la efectiva respuesta salvaguardando los
intereses de las principales partes interesadas,
reputación, marca y activos de valor”

Fuente: BS 25999-1


Definiciones
• BS 25999-1
Códigos de Prácticas para la Gestión de Continuidad del Negocio (
Parte que substituirá el actual PAS 56).

• BS 25999-2
Especificación para Gestión de Continuidad de Negocio.
( No está siendo certificada por el momento)


Historia
• Publicación de la PAS 56 en 2003
• Demostró que la Gestión de la Continuidad del Negocio
es una disciplina;
• Nuevo comité técnico establecido en 2005 para dar
respuesta a la consulta y desarrollar la BS 25999
• La publicación del borrador de la BS 25999-1 en Agosto
del 2006 para comentarios
• Publicación de la BS 25999-1 “Código de Practica” en
Noviembre del 2006 con amplio acuerdo en lo que
serían las mejores prácticas;
• Retiro de la PAS 56 con la publicación de la BS 25999;


Ciclo de Vida de la Continuidad
del Negocio : P-D-C-A

Understanding
the
organization

Exercising, BCM Determining
maintaining
and Programme BCM
Management Options
reviewing

Developing
and
implementin
g a BCM
response


Gestión de la Continuidad del 6
1
Negocio
Qué es?
Mejorar de forma pro-activa la capacidad de recuperación de la
Mejora en recuperación organización contra la interrupción de sus actividades que
Imposibilitarían alcanzar sus objetivos claves.

Recuperar la habilidad Definir un método sistemático para recuperar la
habilidad de proveer productos y servicios críticos
de entregar productos a un nivel acordado dentro de un tiempo definido
y servicios después de la interrupción.

Gestión de la Probar la capacidad para administrar la interrupción
del negocio y proteger la reputación y marca de la
Interrupción del Negocio Organización.

Source: BS 25999-1


62

BS 25999-1:2006 -
Contenido

1. Alcance y Aplicación

2. Términos y Definiciones

3. Gestión de Continuidad del Negocio – Visión General

4. Política de Gestión de Continuidad del Negocio

5. Gestión del Programa de Continuidad del Negocio


63

BS 25999-1:2006 -
Contenido

6. Entendiendo la Organización

7. Determinando Estrategias de Continuidad del Negocio

8. Desarrollo e Implementación de Respuestas a BCM

9. Ejercitando, Manteniendo y Analizando el plan de BCM

10. Fijando el BCM en la Cultura de la Organización


Contents slide
6
4
Contáctenos


La importancia de los procesos de seguridad de la información, por Möllmann / Canosa

Recommandé

Recommandé

Contenu connexe

Similaire à La importancia de los procesos de seguridad de la información, por Möllmann / Canosa

Similaire à La importancia de los procesos de seguridad de la información, por Möllmann / Canosa (20)

Plus de Foro Global Crossing

Plus de Foro Global Crossing (20)

Dernier

Dernier (20)

La importancia de los procesos de seguridad de la información, por Möllmann / Canosa