Sistemas de Gestión para Tecnologías de la Información. -TICs Carlos Manuel Fdez. CISA, CISM
Product Produ ct Ma Manag nager er Certificación TICs
Octubre-07 © AENOR
Sistemas de Gestión para Tecnologías de la Información. -TICs Carlos Manuel Fdez. CISA, CISM
Product Produ ct Ma Manag nager er Certificación TICs
Octubre-07 © AENOR
Sistemas de Gestión para Tecnologías de la Información. -TICs Carlos Manuel Fdez. CISA, CISM
Product Produ ct Ma Manag nager er Certificación TICs
Octubre-07 © AENOR
AENOR AENO R La Asociación Española de Normalización y Certificación (AENOR), creada en 1986, es una entidad española, privada, independiente, sin ánimo de lucro, reconocida en los ámbitos nacional, comunitario e internacional, que contribuye, mediante el desarrollo de las actividades normalización y certificación, a mejorar la calidad en las empresas, sus productos y servicios, así como proteger el medio ambiente y, con ello, el bienestar de la sociedad . (de la información) información).
AENOR Buy Now to Create PDF without Trial Watermark!!
Asociación privada Sin ánimo de lucro Constitución: 1986 Real decreto 2200/95 AENOR Corporación. AENOR INTERNACIONAL (9 filiales). AENOR México (10 años en México DF y Delegaciones) . Multisectorial Normalización Certificación productos, servicios, sistemas de gestión y personal Servicios de Formación.
Created by eDocPrinter PDF Pro!!
Compr omisos de PDF AENOR (I) Trial Watermark!! Buy Now to Create without • Elaborar normas técnicas españolas con la participación abierta a todas las partes interesadas, y colaborar impulsando la aportación española en la elaboración de normas europeas e internacionales • Certificar productos, servicios y empresas (sistemas) confiriendo a los mismos un valor competitivo diferencial que contribuya a favorecer los intercambios comerciales y la cooperación internacional Created by eDocPrinter PDF Pro!!
Sistemas de Gestión Integrados
Compr omisos de PDF AENOR (II)Trial Watermark!! Buy Now to Create without • Orientar la gestión a la satisfacción de nuestros clientes y la participación activa de nuestras personas, con criterios de calidad total, y obtener resultados que garanticen un desarrollo competitivo • Impulsar la difusión de una cultura que nos relacione con la calidad y nos identifique como apoyo de quien busca la excelencia Created by eDocPrinter PDF Pro!!
Sistemas de Gestión Integrados.
AENOR: Normalización Buy Now toOrganismo Create PDFde without Trial Watermark!! • Normalización multisectorial • Miembro español de los siguientes organismos internacionales: – Internacionales (ISO/IEC) – Europeos (CEN/CENELEC/ETSI) – Americanos (COPANT) • Datos relevantes: – 25.700 normas UNE en catálogo – 1.730 normas elaboradas en 2006 – 184 Comités Técnicos de Normalización Created by eDocPrinter PDF Pro!!
Sistemas de Gestión Integrados
AENOR: de certificación Buy Now toEntidad Create PDF without Trial Watermark!! • Certificación de productos y servicios • Certificación de sistemas de gestión (calidad, medioambiente, prevención de riesgos laborales y otros referenciales) • Validaciones y evaluaciones (GRI, AyERM, EMAS) • Entidad operacional designada, DOE, para la validación y verificación de gases de efecto invernadero Created by eDocPrinter PDF Pro!!
Sistemas de Gestión Integrados
AENOR: entidad certificación productos Buy Now to Createde PDF without Trial– Watermark!! • Amplio rango de marcas de certificación de productos y servicios • Miembro español de la Asociación Europea de Certificación de Productos Eléctricos (EEPCA) • Más de 75.000 productos o servicios certificados pertenecientes a más de 3.725 empresas Created by eDocPrinter PDF Pro!!
Sistemas de Gestión Integrados
AENOR: certificación – sistemas Buy Now entidad to Createde PDF without Trial Watermark!! • Acreditada por la Entidad Nacional de Acreditación para 38 sectores en calidad y para 48 códigos en medio ambiente • Miembro español de IQNet y de GEN • Sistemas de Aseguramiento de la Calidad (ISO 9000): 17.600 empresas certificadas • Sistemas de Gestión Medioambiental (ISO 14001): más de 3.700 empresas certificadas • 370 validaciones EMAS Created by eDocPrinter PDF Pro!!
Sistemas de Gestión Integrados
Marcas AENORPDF without Trial Watermark!! Buy Nowde to Create
Created by
Sistemas de Gestión Integrados
Las marcas de AENOR evidencian la certificación y constituyen un elemento diferenciador en el mercado, mejorando la imagen de productos y servicios ofrecidos y generando confianza entre clientes y eDocPrinterconsumidores PDF Pro!!
Buy Now to Create PDF without Trial Watermark!!
INDICE • La Gestión de las TICs alineada al Negocio. Calidad, competitividad e innovación. • SGSI (UNE ISO 27001). • Certificaciones SGSI . • Futuro del SGSI .
Created by eDocPrinter PDF Pro!!
Buy Now to Create PDF without Trial Watermark!!
Certificación de Sistemas de Gestión en las TICs : la Seguridad de los SI. “La solución a los Riesgos Empresariales”
© AENOR
Created by eDocPrinter PDF Pro!!
Factores que influyen en la Seguridad de los SI:
Buy Now to Create PDF without Trial Watermark!!
• Actualmente: Nueva York y en los 80´s : Mainframe –Ciudad de Ávila. Magerit • Amplio uso de la Tecnología. • Interconectividad de los sistemas. Sistemas abiertos y distribuidos. • Cambios muy rápidos en las TICs. • Ataques a Organizaciones. Tema atractivo?. • Factores externos: Legislación .etc... (Information Security Governance. 2001. IT Governance Institute).
Created by eDocPrinter PDF Pro!!
Buy Now to Create PDF without Trial Watermark!!
Riesgos Empresariales
• En el World Economic Forums Annual –DAVOS meeting- , SWISS RE informa de su estudio – encuesta a nivel mundial (60 entrevistas a senior executives en : USA, Francia, Alemania, Italia , Japón y Reino Unido-Dic-2005 ). • El riesgo de los Ordenadores-SI- y las TICs, ocupa el primer lugar en 3 países (Japón, Reino Unido y USA), y en el top three de los otros países, para sus negocios. • Como herramienta primordial para mitigar estos riesgos de SI indican el Control Interno Informático. SWISS RE. – SGSI- ISO 27001- y ISO 27002. (Fuente: AENOR- Carlosmf)
Created by eDocPrinter PDF Pro!!
Buy Now to Create PDF without Trial Watermark!!
Informe de riesgos en las TICs
• Uno de cada 5 empleados deja a su familia y amigos usar sus portátiles corporativos para acceder a Internet. (21%) • Uno de cada diez confiesa que baja algún tipo de contenido que no debiera mientras está en el trabajo. • Dos tercios admiten tener conocimientos muy limitados en materia de seguridad. • Un 5% dice que tienen acceso a areas de la red corporativa que no deberían tener. Fuente: McAffee.
Created by eDocPrinter PDF Pro!!
Gestión de las conTrial criterios Buy Now to Create PDFTICs without Watermark!! de Negocio-calidad en el servicio TICs Informe Penteo (2006): – Sólo un 21% de las cías gestionan el dpto. de SI con criterios de negocio. – 31 % gestionan el dpto. de SI sólo con criterios tecnológicos – 48 % gestionan con criterios híbridos.
Conclusiones: • La Dirección de las cías. Tiene una percepción más positiva de los CIOs que siguen crtierios de Negocio. Les dan el rol de líderes contribuidores de negocio en un 58%. • La Gestión de las TICs mejora el posicionamiento del dpto. de SI y del CIO. • En un futuro los CIOS más gestores y menos tecnólogos. (Encuesta a : 85 Directores de TICs, 36 Dir. Generales y 12 Presidentes ).
Created by eDocPrinter PDF Pro!!
S IS TE PDF MAS DEwithout G E S TIÓN DE TICs Watermark!! Buy Now to Create Trial G U I A
PDCA (Motor)
S
M E T
SGSI ISO 27001
SGSIT ISO 20000-1
I A
D E
ISO..
( Conocimiento)
R C
ISO..
ISO17799
ISO 20000-2 (ITIL)
LIBRERÍA INFRAESTRUCTURA CPD
S
Created by eDocPrinter PDF Pro!!
?
I M P L A N T A C I O N
Buy Now to Createde PDF withoutde Trial Watermark!! Certificación Sistemas Gestión de
la Seguridad de la Información-SGSIEn que consiste? Establecer y reordenar la Seguridad de los Sistemas de Información en concordancia con los Planes Estratégicos de la Organización y con sus Políticas de Seguridad. Un nuevo Ciclo de Mejora Continua: SGSI una Gestión eficaz de la Seguridad de los SI permite garantizar: la Confidencialidad, la Integridad y la Disponibilidad de los Sistemas de Información.
Created by eDocPrinter PDF Pro!!
© A E N O R
Buy Now to Create without Trial Watermark!! ¿QUÉPDF PRESERVAR? Cada organización tiene que preservar 3 CARACTERÍSTICAS asociadas a la información:
CONFIDENCIALIDAD
DISPONIBILIDAD Asegurar que los usuarios autorizados tienen acceso cuando lo requieran a la información y sus activos asociados.
Asegurar que la información es accesible solo para aquellos autorizados a tener acceso.
INTEGRIDAD Garantizar la exactitud y completitud de la información y los métodos de su proceso
Created by eDocPrinter PDF Pro!!
Buy Now to CreateDE PDF withoutDE Trial Watermark!! DEFINICION SISTEMA GESTION
DE SI Aquella parte del sistema general de gestión que comprende la política, la estructura organizativa, los procedimientos, los procesos, y los recursos necesarios para implantar la gestión de la seguridad de la información. Es la herramienta de que dispone la Dirección para implantar las políticas y objetivos de Seguridad de la Información.
Created by eDocPrinter PDF Pro!!
© A E N O R
Certificación Buy Now to Create PDF SGSI without(ISO Trial27001) Watermark!! MODELO PDCA “Plan-Do-Check-Act”
Definir política de seguridad Establecer alcance del al SGSI Realizar análisis de riesgos Seleccionar los controles
“A”
“P”
Implantar plan de gestión de riesgos Implantar el SGSI Implantar los controles
ISO IEC 27002 1 Política de Seguridad de Información
6 Gestión de comunicaciones y operaciones
2 Estructura organizativa de la SI
7 Control de accesos
3 Clasificación y control de activos
8 Desarrollo y mantenimiento de sistemas
4 Seguridad ligada al personal
9 Gestión de Incidentes de Seguridad
5 Seguridad física y del entorno
10. Gestión Continuidad de Negocio ----------------------------------------------------------11 Conformidad y Cumplimiento legislación
“D”
Adoptar las acciones correctivas Adoptar las acciones preventivas Revisar internamente el SGSI Realizar auditorias internas del SGSI
“C”
Created by eDocPrinter PDF Pro!!
Buy Now to Create PDF without Trial Watermark!! Procesos S.G.S.I. Activos de SI Sistemas
de
Análisis y Gestión de riesgos
información (aplicativos)
R=F(X1,X2,X3,Xn)
Software
Confidencialidad
Hardware
Disponibilidad
Telecomunicaciones
Amenazas
Personas
Vulnerabilidades
Integridad
Impacto XN
Riesgo Residual Activo1-------R’1
(X1) (X2)
Activo2-------R’2
(X3) Aplicando
(X4) (X5)
Económico (X6)
UNE ISO 17799 (Selección de Controles)
Created by eDocPrinter PDF Pro!!
NORMA 27001: Especificaciones para los Sistemas de Buy Now toISO Create PDF without Trial Watermark!! Gestión de la Seguridad de la Información
INDICE
1 Objeto y Alcance 2 Referencias Normativas 3 TÉRMINOS Y DEFINICIONES 4 SGSI 5 Responsabilidad de Dirección. 6 Auditorías Internas 7 REVISIÓN DEL SGSI por la Dirección 8 Mejora del SGSI 9 BIBLIOGRAFÍA Anexo A: Objetivos de Control y Controles Anexo B: Principios de OCDE. Anexo C: Correspondencia con ISO 9001:200, ISO 14001:2004
Created by eDocPrinter PDF Pro!!
27001: Especificaciones para los BuyNORMA Now toISO Create PDF without Trial Watermark!! Sistemas de Gestión de la Seguridad de la Información
Objeto yAlcance Esta norma especifica los requisitos para establecer, implantar, documentar y evaluar un SGSI de acuerdo con la UNE-ISO 17799. Especifica los requisitos de los controles de seguridad de acuerdo con las necesidades de las organizaciones, independientemente de su tipo, tamaño o área de actividad.
Created by eDocPrinter PDF Pro!!
Buy Now to Create PDF without Trial Watermark!! NORMA ISO/IEC 17799:
OBJETIVOS Y CONTROLES • Cada área o dominio tiene asociados uno o varios objetivos de seguridad • Para cada objetivo se definen, a su vez, uno o más controles de seguridad cuya implantación debe traducirse en la consecución del objetivo de seguridad asociado
11 ÁREAS 39 OBJETIVOS CONTROL 133 CONTROLES
Created by eDocPrinter PDF Pro!!
Buy Now to Create PDF without Trial Watermark!!
Característica de SGSI
Este Sistema proporciona mecanismos para la salvaguarda: De los Activos de Información. De los Sistemas que los procesan. En concordancia con las políticas de Seguridad y planes estratégicos de la Organización. Es la herramienta de que dispone la Dirección para implantar las políticas y objetivos de Seguridad de la Información: integridad, confidencialidad y disponibilidad.
Created by eDocPrinter PDF Pro!!
Factores críticos para el éxito
Buy Now to Create PDF without Trial Watermark!! • Una seguridad orientada al negocio • Implementar la Seguridad en consonancia con la cultura de la empresa • Apoyo visible y compromiso de la Dirección. • Buen entendimiento de los requisitos de seguridad, de la evaluación y gestión de los riesgos. • Convencer de la necesidad de la seguridad a directivos y empleados. • Proveer formación y guías sobre políticas y normas a toda la organización. • Un sistema de medición para evaluar el rendimiento de la gestión de la seguridad y sugerir mejoras.
Created by eDocPrinter PDF Pro!!
Buy NowVENTAJAS to Create PDF Trial Watermark!! DE without CERTIFICAR LAS
ACTIVIDADES DE SI -1/2Con respecto a los S is temas de Información: • Sistematizar las actividades de SI • Ahorro de recursos en las actividades de SI, mejorando la motivación e implicación de los empleados • Analizar riesgos : identificar amenazas, vulnerabilidades e impactos en la actividad empresarial Establecer objetivos y metas que permitan aumentar el nivel de confianza en la seguridad • Planificar, organizar y estructurar los recursos asignados a seguridad de la información
• Identificar y clasificar los activos de información
Created by eDocPrinter PDF Pro!!
Buy NowVENTAJAS to Create PDF Trial Watermark!! DE without CERTIFICAR LAS
ACTIVIDADES DE SI -2/2• Seleccionar controles y dispositivos físicos y lógicos adecuados a la estructura de la organización • Asegurar el nivel necesario de disponibilidad, integridad, y confidencialidad de la información • Establecer planes para adecuada gestión de la continuidad del negocio • Establecer procesos y actividades de revisión, mejora continua y auditoría de la gestión y tratamiento de la información
Created by eDocPrinter PDF Pro!!
Buy NowVENTAJAS to Create PDF Trial Watermark!! DE without CERTIFICAR LAS
ACTIVIDADES DE SI -1/1 Con respecto al Neg ocio: • Integrar la gestión de la seguridad de la información con otras modalidades de gestión empresarial • Mejorar la imagen confianza y competitividad empresarial. La organización que desarrolle un SGSI según la norma, tendrá ventajas de reconocimiento por los organismos que certifican los sistemas. • Comprobar su compromiso con el cumplimiento de la legislación: protección de datos de carácter personal, servicios sociedad de información, comercio electrónico, propiedad intelectual, etc... • Dar satisfacción a accionistas y demostrar el valor añadido de las actividades de seguridad de la información en la Created by eDocPrinter PDF Pro!! empresa
Resumen de Beneficios de SGSI Buy Now to Create without Trial Watermark!! en lasPDF Organizaciones
Created by eDocPrinter PDF Pro!!
Buy Now to Create PDF without Trial Watermark!!
Estado Actual. Un buen presagio. •
La Seguridad de los SI en los procesos de Negocio. • Ingeniería de la Seguridad de los Sistemas de Información. Mediante un ciclo de mejora continua. • Reordenar nuestro Sistema de SSI. • Interface con otros Sistemas. SDLC, etc.. Created by eDocPrinter PDF Pro!!
DIAGRAMA DECreate FLUJO DEL CERTIFICACIÓN Buy Now to PDFPROCESO without DE Trial Watermark!! ANÁLISIS DE LA DOCUMENTACIÓN (MANUAL, PROCEDIMIENTOS) CUESTIONARIO PRELIMINAR Y SOLICITUD
VISITA PREVIA INFORME
INFORME AUDITORÍA DEL SISTEMA
AUDITORÍAS DE RENOVACIÓN
REGISTRO SISTEMA DE GESTIÓN SERVICIOS TECNOLOGÍAS DE INFORMACIÓN
INFORME PLAN DE ACCIONES CORRECTORAS 1 mes
AUDITORÍAS DE SEGUIMIENTO ANUALES CONCESIÓN DEL CERTIFICADO
AUDITORÍA EXTRAORDINARIA
Created by eDocPrinter PDF Pro!! AENOR
34
dewithout AENOR TICs BuyActividades Now to Create PDF Trialen Watermark!! BCM – 25999
IT Governance
Bussines Bussines Continuity Continuity Management. Management. BSI BSI standard standard
Gobierno Gobierno de de las las TIC. TIC. Norma Norma Australiana Australiana
Proyectos
SPICE – ISO 15504
Modelo Modelo de de Evaluación, Evaluación, Mejora Mejora yy Capacidad Capacidad de de Software Software
Procesos / Servicios
SAM ISO 19770 Software Software Asset Asset Management Management
SGSTI ISO 20000-1
Sistema Sistema de de Gestión Gestión Servicios Servicios IT IT ISO ISO 20000-2 20000-2
ISO ISO 12207 12207
Guía Guíade deBuenas Buenas Prácticas Prácticas
Ciclo Ciclode deVida Vidade deDesarrollo Desarrollo de de Software Software
Adicionalmente: •Certificación Accesibilidad TIC Sitios WEB. •Infraestructura CPD • Buenas Prácticas Comercio Electrónico
SGSI ISO 27001
Sistema Sistema de de Gestión Gestión Seguridad Seguridad de la Información de la Información
Created by eDocPrinter PDF Pro!!
© AENOR
ISO ISO 17799:2005 17799:2005 Guía Guía de de Controles Controles
Buy Now to Create PDF without Trial Watermark!!
Actividades de AENOR en TICs • IT Governance : – Proyecto en estudio de Norma Australiana.(IT management). – Plan estratégico de TICs incorporado a Gobierno Corporativo (Corporate Governance)..
• BCM – BSI 25999 : – Piloto en desarrollo. Normas de BSI. Fase Inicial. – Plan de Continuidad de Negocio. – Norma certificable.
• Áreas: de Desarrollo y Área de Procesos / Servicios y nuevos productos:
Created by eDocPrinter PDF Pro!!
Buy Now to Create PDF without Trial Watermark!!
Actividades de AENOR en TICs
• Área de Desarrollo: – Spice – ISO 15504 : • • • •
Modelo de madurez del desarrollo de software. Evaluación por niveles. AENOR se le concede PROFIT. + 25 empresas. Proyecto PROCER orientado a PYMES. Es la competencia a CMMI. • ISO 12207 : – Ciclo de Vida de Desarrollo de Software. Fases en la creación de un software.
– SAM (Software Asset Mangement) ISO 19770 : • El software como activo. Fase Inicial. Traducción norma. • Proyecto BSA . España y LatinoAmerica.
Created by eDocPrinter PDF Pro!!
Buy Now to Create PDF without Trial Watermark!!
Actividades de Aenor en TICs • Área de Procesos / servicios: – SGSTI- UNE-ISO 20000 : • Sistema de Gestión de Tecnologías de Información. Calidad en la Gestión de servicios de TICs a la empresa o clientes.(CPD externo o CPD interno). Modelo PDCA. (Basado en las librerías ITIL). • AENOR-DDEC certifica a EL Corte Inglés-CPD y Telefónica Soluciones . (Después de un piloto de más de seis meses).
– SGSI –UNE ISO 27001: • • • •
Sistema de Gestión de la Seguridad de la Información. Modelo PDCA Aprox.: 50 empresas certificadas. De todos los sectores. Premio revista SIC a mejor labor en Seguridad de SI. 2006. Proyecto con comunidades: Andalucía, Asturias, …
Created by eDocPrinter PDF Pro!!