sistema de seguridad de la información, imprescindible en las organizaciones actuales....
TRANSCRIPT
Sistema de Seguridad de la Información, Imprescindible en las Organizaciones Actuales .
Presentación Inicial de Consultoría.
Introducción a ISO 27001
www.intedya.com
Intedya es una compañía global especializada en la CONSULTORÍA, AUDITORÍA, FORMACIÓN y las soluciones tecnológicas especializadas en la gestión de la CALIDAD, EL MEDIOAMBIENTE, LA SEGURIDAD ALIMENTARIA, LABORAL Y DE LA INFORMACIÓN, tanto las empresas y como entidades públicas y privadas del cualquier tipo.
Nuestra estrategia del “DESARROLLO COMPETITIVO”se basa en nuestra experiencia en consultoría, para ayudar a los clientes a rendir al máximo nivel y, de esta forma, crear valor sostenible para sus clientes, proveedores, accionistas y la sociedad de la que forman parte
Mantenemos estrecho colaboración con todas las entidades de referencia en nuestro sector, Institutos y Entidades de Normalización y/o Certificación, secretarías, instituciones y ministerios gubernamentales, Asociaciones Sectoriales, etc.
www.intedya.com
www.intedya.com
ISO 27001
Antecedentes
La norma BS 7799 de BSI apareció por primera vez en 1995, con objeto de proporcionar a cualquier empresa -británica o no- un conjunto de buenas prácticas para la gestión de la seguridad de su información.
Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adoptó por ISO, sin cambios sustanciales, como ISO 17799 en el año 2000.
La serie de Normas ISO 27000 apareció en 2005, tomando como base la norma británica BS 7799-2 de 2002 y dando lugar al estándar ISO/IEC 27001:2005.
Actualmente la versión del estándar certificable es ISO 27001:2013.
www.intedya.com
ISO 27001
www.intedya.com
¿Qué es?
El ISO/IEC 27000 es un conjunto de estándares desarrollados por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.
La serie de normas ISO 27001 constan de varias normas:
ISO 27000: Fundamentos y vocabulario: presenta al usuario los conceptos.
ISO 27001: Requisitos para un Sistema de Gestión de la Información (SGSI). NORMA CERTIFICABLE.
ISO 27002: Guía de Buenas prácticas. No certificable.ISO 27003: Guía de Implementación. No certificable.
ISO 27004: Guía para Medición de la Idoneidad de la implantación. No certificable.
ISO 27005: Guía para el Análisis de Riesgos. No certificable
www.intedya.com
ISO 27001
¿Por qué es importante?
La ISO/IEC 27001 especifica los requisitos para el establecimiento de controles de seguridad, con el fin de proteger todo aquello que es impotante para la organización desde el punto de vista de seguridad de la información, sus activos.
La adopción de un Sistemas de Gestión de Seguridad de la Información (SGSI) debería ser fruto de una decisión estratégica de una organización.
Lograr la certificación de un SGSI bajo la norma ISO/IEC 27001 supone un aval ante clientes y proveedores en materia de seguridad de la información y abrirá nuevas opciones de negocio en mercados nacionales e internacionales.
www.intedya.com
ISO 27001
Beneficios para la propia Organización
www.intedya.com
La implantación y certificación de un sistema de gestión de gestión de seguridad de la información, de acuerdo a ISO 27001, aporta las siguientes ventajas y beneficios:
• Eficiencia en la gestión de la empresa, al tomarse medidas para minimizar los riesgos asociados a la gestión de la información.
• Solvencia empresarial, por disponer de un sistema que garantizar la confidencialidad, integridad y disponibilidad de la información..
• Continuidad, como consecuencia de la implantación de planes de continuidad de negocio que evitan paradas no deseadas de la actividad empresarial.
• Mejora de la imagen de la empresa, al evidenciar su compromiso con la seguridad de la información propia y de clientes.
www.intedya.com
ISO 27001Ventajas para el Cliente
• Al demostrar un compromiso por la seguridad de la información ya que la una de las principales preocupaciones a la hora de confiar un proyecto a una empresa, es la confidencialidad de la información compartida.
• Al trabajar de acuerdo a un estándar reconocido en el mercado.
www.intedya.com
ISO 27001Sectores de Aplicación
Los sistemas de gestión de seguridad de la información, basados en la ISO 27001, abarcan todo tipo de organizaciones (empresas, organismos y entes públicos, entidades sin ánimo de lucro) :
Alimentación, Madera, Papel, Edición y artes gráficas, Química, Productos plásticos, Extractivas y fabricación de hormigón, cemento y productos similares, Productos metálicos, Maquinaria y automoción, Electricidad y Electrónica, Naval, Construcción y actividades relacionadas, Mantenimiento de vehículos, Comercialización y servicios varios, Hostelería, Transporte, Informática y telecomunicaciones, Actividades financieras y seguros, Formación, Sanitario, Medioambiental, Textil, Público, Farmacia, Automoción, Servicios,…, independientemente de su tamaño, actividad,…
…TODOS
www.intedya.com
ISO 27001Requisitos generales
• La organización debe realizar la Evaluación de riesgos, definiendo la metodología empleada.
• Formular un plan de tratamiento de riesgos que identifique las acciones que se implantaran para manejar y minimizar dichos riesgos.
• Asignar responsables de la seguridad de la información y medios necesarios para garantizarla.
• Asegurar la seguridad de la información en el servicio a terceros y en el intercambio de la información.
www.intedya.com
ISO 27001Requisitos documentales
• Política de Seguridad.• Acuerdos de confidencialidad.• Inventario de Activos, propiedad de los activos.• Plan de mantenimiento de Equipos.• Procedimiento de Gestión del Cambio.• Se deben realizar copias de back-up o respaldo
de la información comercial y software esencial.• Procedimiento para el control de servicio de
redes.• Procedimiento de manejo de la información.• Se deben registrar las actividades del
administrador y operador del sistema.• Política de control de acceso en base a los
requerimientos de seguridad y comerciales.• La asignación de claves se debe controlar a
través de un proceso de gestión formal.• …
www.intedya.com
ISO 27001La Norma: Apartados
0.- Introducción.
1.- Objeto y Campo de Aplicación.
2.- Normas para Consulta.
3.- Vocabulario.
www.intedya.com
ISO 27001
La Norma: Apartado 4 (I)Sistema de Gestión de Seguridad de la Información
• Creación y gestión del SGSI• Política, Objetivo, Alcance, Procedimientos, …
• Definir metodología para el análisis de riesgos
• Identificación de riesgos, análisis y valoración
• Selección Objetivos de Control y Controles
www.intedya.com
ISO 27001
www.intedya.com
La Norma: Apartado 4 (II)Sistema de Gestión de Seguridad de la Información
• Elaboración de la Declaración de aplicabilidad
• Control de documentos
• Control de registros
www.intedya.com
ISO 27001
www.intedya.com
La Norma: Apartado 5Responsabilidad de la Dirección
• Compromiso de la Dirección.
• Provisión de recursos• Para establecer, implementar, operar, supervisar,
revisar,mantener y mejorar el SGSI• Mantener la seguridad adecuada mediante la
aplicación correcta de lso controles implantados• Mejora del SGSI
• Concienciación, formación y capacitación.• Determinar la competencias necesarias para el
personal encargado y relacionado con el SGSI.
www.intedya.com
ISO 27001
www.intedya.com
La Norma: Apartado 6Auditorías internas
• Determinar si los objetivos de control, los controles, los procesos y los procedimientos cumple:
• Requisitos de la norma• Legislación aplicable• Resquisitos de seguridad
• Revisar mantenimiento.
• Revisar resultado del sistema
www.intedya.com
ISO 27001
www.intedya.com
La Norma: Apartado 7Revisión del SGSI por la Dirección
• Planificación
• Datos iniciales de la revisión• Resultados de las auditorías internas, cambios en
vulnerabilidades o amenzas, ...
• Resultados de la revisión• Mejora de la eficacia del SGSI, actualziaciones de
la evaluación de riesgos y del plan de tratamiento de riesgos, modificaciones en requisitos del negocio, seguridad, procesos, requisitos legales, …
www.intedya.com
ISO 27001
www.intedya.com
La Norma: Apartado 8Mejora del SGSI
• Mejora continua.
• Acción correctiva.
• Acción preventiva.
www.intedya.com
ISO 27001
www.intedya.com
La Norma: Anexo A (I)Objetivos de Control y Controles
A.5 Política de seguridad
A.6 Aspectos organizativos de la seguridad de la información
A.7 Gestión de activos
A.8 Seguridad ligada a los recursos humanos
A.9 Seguridad física y ambiental
www.intedya.com
ISO 27001
www.intedya.com
La Norma: Anexo A (II)Objetivos de Control y Controles
A.10 Gestión de comunicaciones y operaciones
A.11 Control de acceso
A.12 Adquisición, desarrollo y mantenimiento de los sistemas de información
A.13 Gestión de incidentes de seguridad de la información
www.intedya.com
ISO 27001
www.intedya.com
La Norma: Anexo A (III)Objetivos de Control y Controles
A.14 Gestión de la continuidad de negocio
A.15 Cumplimiento
www.intedya.com
ISO 27001
www.intedya.com
Casos de éxito: A.7.1.1 Inventario de activos y A.7.1.3 Uso aceptable de los activos
• Control de los Registros
Requisito: Conseguir y mantener una protección adecuada de los acrivos de la organización.
Situación de partida: Empresa de mantenimiento informático que dispone de portátiles para la realización del trabajo de sus técnicos en las instalaciones del cliente. Los técnicos los utilizan sin establecerse condiciones específicas de mantenimiento y responsabilidad.
Solución: El desarrolla un procedimeinto para la asignación de un propietario para cada uno de los portátiles y la definición de unas condiciones de uso tanto fuera de las instalaciones como una vez devuelto. Esto garantiza que los equipos estarán siempre en condiciones óptimas de uso..
www.intedya.com
ISO 27001Casos de éxito: A.8.3.2 Devolución de activos y A.8.3.3 Retirada de los derechos de acceso
Requisito: Asegurar que los empleados, contratistas y terceros abandonan la organización o cambian de puesto de trabajo de una manera ordenada.
Situación de partida: Empresa dedicada a la prestación de servicios legales y de consultoría con dos oficinas y trabajando sobre una aplicación alojada en Internet a la que tiene acceso todo el personal tanto desde las oficinas como desde los portatiles de la empresa que utilizan en visitas a clientes.
Solución: El consultor propuso la definición de un protocolo de Baja en la Organización, para que además de proceder a la retirada de activos fisicos como los portátiles, se proceda a la baja en todos los sistemas informáticos tanto internos como externos: intranet, aplicaciones web, redes sociales, correo electrónico.
www.intedya.com
ISO 27001Casos de éxito: A.10.7.2 Retirada de soportes
Requisito: Evitar la revelación, modificación, retirada o destrucción no autorizada de los activos, y la interrupción de las actividades de la organización.
Situación de partida: Empresa de formación que realiza copias de seguridad en soporte CD/DVD y que los elimina cuando se realizan nuevas copias.
Solución: El consultor propuso la definición de un protocolo de eliminación y destrucción de soportes digitales que afecta a CD/DVD y también a Discos Duros y ordenadores obsoletos, con objeto de garantizar personal no autorizado puede acceder a la información una vez que salgan esos soporte de la seguridad establecida en la organización: empresas de reciclado, empresas de limpieza, ...
www.intedya.com
ISO 27001Casos de éxito: A.11.4.5 Segregación de las redes
Requisito: Prevenir el acceso no autorizado a los servicios en red.
Situación de partida: Empresa de trabajo temporal que dispone de servicio de red inalámbirica en sus instalaciones para que todo el personal fijo y eventual pueda acceder a la Red.
Solución: Se propuso la segmentación de la red para garantizar la seguridad del acceso a la red corporativa al personal autorizado y ofrecer de forma segura el servicio inalámbrico al pesonal eventual. Uso de VLAN y Trunking.
www.intedya.com
ISO 27001Casos de éxito: A.12.5.1 Procedimientos de control de cambios
Requisito: Mantener la seguridad del software y de la información de las aplicaciones.
Situación de partida: Empresa de consultoría con software propio destinado a la gestión de proyectos en la que se van realizando actualizaciones continuas en función de las necesidades de la organización
Solución: Se propuso la definición de un procedimiento para documentar las pruebas de verificación de las nuevas actualizaciones de software en un instalación de desarrollo (equipos y redes diferentes) previas a la puesta en producción.
www.intedya.com
ISO 27001Casos de éxito: A.14.1.3 Desarrollo e implementación de planes de continuidad que incluyan la seguridad de la información
Requisito: Deben desarrollarse e implementarse planes para mantener o restaurar las operaciones y garantizar la disponiblidad de la información en el nivel y en el tiempo requeridos, después de una interrupción o un fallo de los procesos de negocio críticos.
Situación de partida: Empresa de e-learing con alumnos a nivel mundial y una única plataforma de formación
Solución: Se propone hacer un Plan de Contingencia para los casos en los que se produzca caida de servicio por parte del proveedor de servicio e-learning. Se definen las condiciones de inicio y restauración del Plan, sus características, … y las condiciones de verificación.
Desarrollo Competitivo (Competitive development)