Presentación
ISO 17799
BS 7799 / UNE 71502
y Callio Secura
Plan
• Que es ISO 17799 / BS 7799 / UNE 71502
• Historia
• Por que ?
• Implantación
• Herramientas y softwareUNE 71502:2004 norma promulgada en España por AENOR en el mes de marzo del 2004 sobre "Especificaciones para los Sistemas de Gestión de la Seguridad de la Información"
Que es ISO 17799 / BS 7799 / UNE 71502 ?
.• Un conjunto de controles basados en las mejores prácticas en seguridad de la información;
• Estándar internacional que cubre todos los aspectos de la seguridad informática:– Equipos– Políticas de gestión– Recursos humanos– Aspectos jurídicos
ISO 17799 o ( BS7799 UNE71502) ?
.
• ISO 17799 (parte 1) una guía que contiene consejos y recomendaciones que permiten asegurar la seguridad de la información de una empresa.
• BS 7799 (parte 2) / UNE 71502 proponen recomendaciones con el fin de establecer un marco eficaz de gestión de la seguridad de la información. BS 7799-2 / UNE 71502 permiten establecer un sistema de gestión de seguridad de la información (SGSI).
Calidad de ISO 17799 BS 7799 UNE 71502
• Cobertura de la norma• Probada• Pública• Internacional• Imagen de marca asociada a "la calidad"• Evolutiva y flexible (se adapta a los
contextos)• Disponibilidad de herramientas y soporte
Las 10 Secciones de ISO 17799
Control de accesos
Clasificación y
control de los activos
Política de seguridad Organización de
la Seguridad
Seguridad
del personal
Seguridad física y medioambiental Gestión de
comunicaciones
y operaciones
Desarrollo y
mantenimiento
Administración de
la continuidad
Cumplimiento
Información
Confidencialidad
disponibilidad
integridad
1. Politique de sécurité
2. Sécurité de l’organisation
3. Classification
et contrôle des actifs
7. Contrôle des accès
4. Sécurité du personnel
5. Sécurité physique et
environnementale
8. Développement et maintenance
6. Gestion des communications et
opérations
9. Gestion de la continuité
10. Conformité
Las 10 Secciones de ISO 17799 (continuación)
1. Política de
seguridad
2. Seguridad de la organización
3. Clasificación y control de los
activos
7. Control de
accesos
4. Seguridad del personal
5. Seguridad física y medioambiental
8. Desarrollo y mantenimiento de los sistemas
6. Gestión de las telecomunicaciones y operaciones
9. Gestión de la continuidad de lasoperaciones de la empresa
10.
Conformidad
Organizacional
Operacional
Complémentarité avec d’autres normes ISOComplementariedad con otros estándares ISO
Código de buenas prácticas para la gestión de la seguridad
de la información ISO 17799
Guías para la gestión de la seguridad de la
TI ISO 13335 (GMITS)
Productos y sistemas certificados ISO 15408 (CC)
History and Development of ISMS
1995
1998
BS 7799 Parte 1
BS 7799 Parte 2
Estándar Sueco SS 62 77 99 Parte 1 y 21999 Nueva versión de BS 7799 Parte 1 y 2
Diciembre 2000
ISO/IEC 17799:2000
2001Revisión de BS 7799-2
Septiembre 2002 Nueva versión de BS 7799-2 revisada y corregida
Historia
UNE 71502Marzo 2004
Por que ?
• BS 7799 / UNE 71502 / ISO 17799 puede ser utilizada por cualquier organismo u empresa. Basta que la organización utilice sistemas informáticos, internos o externos, que posea datos confidenciales, que dependa de sistemas de información en el marco de sus actividades comerciales o que desee adoptar un nivel de seguridad elevada conformándose una norma.
Compra en línea del estándar ISO 17799
18 %
6 %
23 %
(% por región)
9 %
35 %
Otros : 9 %
Auditaría y certificación BS 7799 / UNE 71502 / ISO 17799
• No existe certificación ISO 17799 por el momento.
• Una empresa puede conformarse a ISO 17799 y luego certificarse BS 7799-2: 2002 o UNE 71502:2004.
• Una gestión de auditoría puede ser apoyada por:– Verificación interna – Verificación externa (carta de opinión)– Oficina de registro del BSI (certificación oficial)
Lista de empresas certificadas
Más de 80 000 empresas se conformaron a BS 7799 / ISO 17799 a través del mundo, en la que están:• Fujitsu Limited;• Insight Consulting Limited;• KPMG ;• Marconi Secure Systems ;• Samsung Electronics Co Ltd;• Sony Bank inc. ;• Symantec Security Services ;• Toshiba IS Corporate
Ventajas
• Conformarse a las normas en materia de gestión del riesgo.
• Una mejor protección de la información confidencial de la empresa
• Una reducción de riesgos de ataques
• Una recuperación más rápida y más fácil de las operaciones después de un ataque
Ventajas (continuación)
• Una metodología de seguridad estructurada y reconocida internacionalmente
• Una confianza mutua aumentada entre socios estratégicos de negocios
• Una disminución potencial de las primas de seguro contra los riesgos informáticos
• Un mejoramiento de las prácticas sobre la vida privada y una conformidad con las leyes sobre las informaciones personales.
Modelo de gestión (Modelo PHVA*)
* PDCA en ingles
Metodología y Ciclo de Implementación
Pasos de la metodología y ciclo para implementar el
estándarDescripción
Iniciación del Proyecto • Asegure el compromiso de la dirección• Seleccione y entrene a los miembros del equipo inicial de proyecto
Definición del SGSI
(Sistema de Gestión de la Seguridad de la Información)
• Identifique el alcance y los límites del marco de dirección de seguridad de la información. Este paso es crucial para el éxito del proyecto
Evaluación de Riesgos • Realice el inventario y evalúe el activo a proteger• Identifique y evalúe amenazas y vulnerabilidades• Diagnostique el nivel de cumplimiento con ISO 17799• Calcule el valor de riesgos asociados
Administración de Riesgos • Encuentre como seleccionar e implantar los controles correctos que le permitan a la organización reducir el riesgo a un nivel aceptable
Metodología y Ciclo de Implementación (continuación)
Pasos de la metodología y ciclo para implementar el
estándarDescripción
Entrenamiento y
concientizacion • Los empleados pueden ser el eslabón más débil en la seguridad de la información de su organización. Aprenda a establecer un programa de concienciación de la seguridad de la información
Preparación para la Auditaría • Aprenda a validar su marco de seguridad y que debe hacer antes de traer a un auditor externo para la certificación BS 7799-2 UNE 71502.
Auditoría • Aprenda más sobre los pasos realizados por auditores externos y averigüe sobre los cuerpos de certificación acreditados BS 7799-2 UNE 71502
Control y mejora continua • Aprenda a mejorar la eficiencia de su SGSI conforme al modelo de administración reconocido por la ISO.
Mejora continúa
Entregables – ISO 17799
Obstáculos potenciales Factor de éxito
• Recursos y personal dedicado
• Personal externo experimentado
• Buena comprensión del funcionamiento (gestión) y los procesos (operaciones) de gestión del riesgo
• Comunicaciones frecuentes
• Sensibilización de gerentes y empleados
• Compromiso de la dirección superior
• Estructura del enfoque
• Miedo, resistencia al cambio
• Riesgo de contigüidad
• Costos crecientes • Conocimiento
insuficiente del acercamiento seleccionado
• Tareas aparentemente insuperables
Implantación - Callio Secura 17799
Demostración Callio Secura 17799
Referencias
• Documentos BSI (www.bsi.org.uk/index.xhtml)
• Information Security Management: An Introduction (PD3000)Provee una descripción acreditada del proceso de certificación y sirve como un prefacio útil a otras guías.
• Guide to BS7799 Risk Assessment and Risk Management (PD3002) Describe los conceptos de base de evaluación de riesgo BS 7799, incluyendo la terminología, el proceso de evaluación y la administración del riesgo.
• ISO/IEC Guidelines for the Management of IT Security (GMITS)
• Selecting BS7799 Controls (PD3005) Describe el proceso para seleccionar controles apropiados.
• AENOR.- Asociación Española de Normalización y Certificación:
• Norma UNE 71502:2004.-http://www.aenor.es/desarrollo/normalizacion/normas/resultadobuscnormas.asp?campobuscador=71502
Conclusión
Para mas información sobre el estándar BS 7799 / UNE 71502 / ISO 17799, visítenos en www.callio.com.es o llame a un representante a
1-866-211-82221-819-820-8222
( Nuestros servicios son brindados en español, ingles y francés )