Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Presentacion ISO-27001 PyMEs v02
Presentacion ISO-27001 PyMEs v02
Temario
1. 1 Orgenes de esta Norma Norma.
2. Novedades que Propone. 3. El SGSI y l Controles. l los l 4. Metodologa de Implantacin y Certificacin en las PYMES. 5. Tendencias. 6. Cmo Propone NCS ISO 27001 a una PyME. 7. Beneficios de una PYME Certificada en ISO 27001.
Objetivos
Brindar una rpida visin del objetivo REAL de esta norma, su intencin, , , alcance y propuesta al medio plazo, p para cualquier PyME. q y Desarrollar brevemente el concepto de SGSI (Sistema de Gestin de la Seguridad de la Informacin) y el de Controles que impone la norma. q p
Temario
1. O Orgenes d esta N de t Norma.
2. Novedades que Propone. 3. El SGSI y los Controles. 4. Metodologa de Implantacin y Certificacin en las PYMES. 5. Tendencias. 5 Tendencias 6. Cmo Propone NCS ISO 27001 a una PyME. 7. B Beneficios d una PYME C ifi d en ISO fi i de Certificada 27001.
Orgenes de la Norma
Este es el nuevo estndar oficial, su ttulo completo es: BS 77992:2005 (ISO/IEC 27001:2005). ) Tambin fue preparado por el JTC 1 y en el subcomit SC 27 IT Security Techniques y 27, Security Techniques, forma parte de la familia ISO27000. Tiene su origen remoto en la BS7799 BS 7799 la ltima versin es la ISO27001:2005, (oct/05) y deroga la anterior. g Es la primera vez que un estndar de seguridad tiene una acogida masiva por parte de las organizaciones. organizaciones Lo verdaderamente novedoso es que permite demostrar homogeneizacin entre la seguridad de los SSII (imprescindible, si se desea compartir informacin entre empresas).
Orgenes de la Norma
En Espaa, AENOR, est trabajando en esta norma, y se denominar ISO/UNE 27001. Este es un hito importante, pues facilita y abre el p ,p camino para cualquier PYME que desee certificarse con ella, pues no debera tener la necesidad d recurrir a consultores y/o auditores id d de i l / di formados en el extranjero lo cual impone un coste considerable considerable. Este estndar no pretende llegar nicamente a grandes empresas sino que necesariamente empresas, deber ser aplicado en las PYMES que deseen trabajar como socias de negocio de cualquier otra grande o pequea empresa.
Orgenes de la Norma
1870 organizaciones en 57 pases han reconocido la importancia y los beneficios de esta nueva p norma. El conjunto de esta familia ISO2700x son: j 7 ISO/IEC 27000 Fundamentals and vocabulary. ISO/IEC 27001 SGSI Requirements. ISO/IEC 27002 Code of practice for ISM (vieja ISO/IEC 17799:2005). ISO/IEC 27003 SGSI implementation guidance. ISO/IEC 27004 ISM measurement. ISO/IEC 27005 IS risk management. Actualmente el ISO27001:2005 es el nico estndar aceptado internacionalmente para la administracin de la Segur. I f y aplica a t d ti d organizaciones, t t S Info. li todo tipo de i i tanto por su tamao como por su actividad.
Temario
1. 1 Orgenes de esta Norma Norma.
SGSI
Detalles
Los detalles que conforman el cuerpo de esta norma, se podran agrupar en tres grandes lneas:
Valoracin de Riesgos
Puede ser desarrollada con cualquier tipo de metodologa (pblica o particular), siempre y cuando sea completa y metdica. (No ser motivo de esta presentacin). Lo nico que s se desea remarcar, es que en definitiva, el resultado final de un anlisis de riesgo, es:
Clara identificacin, definicin y descripcin de los activos. El impacto que podra ocasionar un problema sobre cada uno. Conjunto de acciones que pueden realizarse (agrupadas). Propuesta varios cursos de accin posibles (Mx, inter1/2s, mn). Finalmente: Eleccin y Aprobacin de un curso de accin por parte de la Direccin Es decir el compromiso que asume en virtud Direccin. decir, de su propia estrategia (Coste/beneficio/Negocio), para tratar las acciones de ese curso de accin y ASUMIR el riesgo residual que quedar con lo que no est dispuesto a abordar (..o en definitiva a pagar..).
Aprobacin Direccin(Compromiso)
Este ltimo paso que se trat es el ms importante d todos, pues recin a partir d i de d i i de l, recin se puede iniciar el conjunto de medidas para minimizar los riesgos y a su vez para ir riesgos, solucionando los impactos que S este dispuesta a abordar la Direccin (por escrito). ( p ) lo cual dar como resultado un nuevo anlisis de riesgo, para ver como evolucionaron las acciones y los nuevos riesgos residuales.......... y las nuevas
decisiones estratgicas.. y las nuevas acciones...
y las nuevas mejoras....y las nuevas decisiones estratgicas.
y los nuevos riesgos...... y las nuevas........y.................................y.??????
ciclo, ciclo
PDCA
En la implementacin de esta norma es donde se presenta el conjunto de p pasos a seguir para implantar un SGSI, el cual es un ciclo permanente g p p p definido como PDCA, y cada uno de estas actividades quedar regulada, normalizada y auditada mediante los correspondientes Controles.
Plan (Establecer el SGSI): Poltica SGSI, objetivos, procesos, p procedimientos para la Admin.Riesgos y mejoras a la Seg. Info.y p g j g y resultados acordes a las polticas y objetivos de la organizacin. Do (Implementar y Operar el SGSI): Forma en que se opera e implementa la poltica, controles, procesos y procedimientos. Check (Monitorizar y Revisar el SGSI): Analizar y medir los procesos relacionados al SGSI evaluar objetivos experiencias e SGSI, objetivos, informar los resultados a la administracin para su revisin. Act (Mantener y Mejorar el SGSI): Acciones preventivas y ( j ) p correctivas, basadas en auditoras internas y revisiones del SGSI.
Temario
1. 1 Orgenes de esta Norma Norma.
SGSI
En el punto cuatro de la norma, se establecen los conceptos rectores del SGSI.
Punto 4.1. Requerimientos generales: q g La organizacin, establecer, implementar, operar, monitorizar, revisar, mantendr y i i i d mejorar un documentado SGSI en su contexto para l actividades globales d su negocio y d las i id d l b l de i de cara a los riesgos. Para este propsito, el proceso est basado en el modelo PDCA.
SGSI
Punto 4.3.2. Control de documentos: Todos los documentos requeridos por el SGSI sern protegidos y controlados. Un procedimiento documentado deber establecer las acciones de administracin necesarias para: p
Aprobar documentos y prioridades o clasificacin de empleo. Revisiones, actualizaciones y reaprobaciones de documentos. Asegurar que los cambios y las revisiones sean identificadas. Asegurar que las ltimas versiones estn disponibles. Asegurar que los documentos permanezcan legibles e identificables identificables. Asegurar que los documentos estn disponibles para quien los necesite y sean transferidos, guardados y finalmente clasificados. Asegurar que los documentos de origen externo sean identificados. Asegurar el control de la distribucin de documentos. Prevenir el empleo no deseado de documentos obsoletos.
Los Controles
Al escuchar la palabra Control, automticamente viene a la mente la idea de alarma hito evento medicin alarma, hito, evento, medicin, monitorizacin, etc., se piensa en algo muy tcnico o accin. En el caso de este estndar, el concepto de Control, es , p , mucho ms que eso. Abarca todo el conjunto de acciones, documentos, medidas a adoptar, procedimientos, medidas tcnicas, etc. Un Control permite garantizar que cada aspecto, que se valor con un cierto riesgo, queda cubierto y auditable Cmo? De muchas formas posibles. El estndar agrupa en el Anexo A dentro de 11 categoras, sumando un total de 133 controles, que son los que se describirn b d ibi brevemente d durante l exposicin. la i i
Los Controles
Este anexo los numera tal cual se presentan a continuacin:
A.5 Poltica de Seguridad. A.6 Organizacin de la Informacin de Seguridad. A.7 Administracin de Recursos. A.8 Seguridad de los Recursos Humanos. A.9 Seguridad Fsica y del Entorno. .9 Segu dad s ca de to o. A.10 Administracin de las Comunicaciones y Operaciones. A.11 Control de Accesos. A.12 A 12 Adquisicin de Sistemas de Informacin Desarrollo y Informacin, Mantenimiento. A.13 Administracin de los Incidentes de Seguridad. A.14 A 14 Administracin de la Continuidad de Negocio Negocio. A.15 Marco Legal y Buenas Prcticas.
Los Controles
Si se deseara resumir an ms, como una visin estrictamente personal y abierta a cualquier ti t i t t l bi t l i tipo de debates, a mi juicio, prefiero plantear estos once grupos como conjuntos de tareas de la tareas, siguiente forma:
1) 2) 3) 4) ) 5)
Los Controles 5)RRHH y Legales A.8 Seguridad de los Recursos Humanos g (9 Ctrls):
Antes del empleo Durante el empleo Finalizacin o cambio de empleo.
Temario
Visin de la UE
Europa, se encuentra en una necesidad de demostrar, garantizar y justificar su Calidad. Calidad
Visin de la UE
Hoy, en casi todos los productos, el usuario final sabe si se trata de un producto de buena, dudosa, o escasa calidad. Todo ello se debe a una serie de medidas, acciones, denominaciones, controles, garantas de Org. reguladores (que ciertas industrias escuchan y otras no). Uno de los pilares de esta cadena es la informtica informtica. Hablando de una cadena de eslabones de calidad: una cadena se corta por el eslabn ms fino
(Dentro de la CE, no se admitir ms que el eslabn ms fino sea la informtica, y en informtica, seguridad es un pilar fundamental).
Visin de la UE
ISO 27701 Pone calidad a la seguridad
Y como se dijo, hacia esto tiende la Unin Europea. Esto no quiere decir, que el hecho de certificar una empresa en ISO 27001, garantice que esa empresa posee una Excelente Calidad en sus niveles de seguridad.tampoco una persona por ser Ingeniero, Master o Doctor, i garantiza que sea un excelente profesional..
slo puede garantizar que se ha realizado un serio y metdico esfuerzo por tratar de serlo,
y esto, ya es un muy buen punto de partida.
Temario
1. Orgenes de esta Norma. 2. Novedades que Propone. 3. El SGSI y los Controles. 4. Visin de la Unin Europea.
Metodologa p/PyMEs
Uno de los objetivos de esta exposicin, es ofrecer un claro curso de accin y apoyo para las PyMEs. p y p y Existe una diferencia entre :
Metodologa p/PyMEs
Para serles sinceros, si se poseen los conocimientos y capacidades necesarias, necesarias afirmara que se puede Dibujar una certificacin Dibujar ISO 27001 (y lo que acabo de afirmar, es muy, pero muy atrevido). Lo que tambin afirmo y con mucha ms contundencia, es que ser
imposible de mantener esta mentira. Lo que se trata de reflejar en el cuadro anterior es la decisin que deber adoptar todo responsable de sistemas en los prximos aos, es decir:
Lo hago como se debe? Evidentemente, necesito certificar ISO 27001 en el corto 7 plazo: Busco slo la chapa?
Tal vez parezca cruel, o poco serio, pero es la cruda realidad (a veces l realidad supera ampliamente a l fi i y en este ti la lid d li t la ficcin, t tipo de determinaciones puedo asegurarlo con mucha certeza) .
Metodologa p/PyMEs
Se puede encarar esta tarea, con la intencin de aprovechar el esfuerzo o simplemente, para cumplir con un requisito que permita a la empresa seguir fielmente las exigencias del mercado y hacer el mnimo esfuerzo posible, tratando d (f y crudamente) engaar f ibl d de (fra d ) al auditor..(recuerden que, tambin afirmo y con mucha ms contundencia, es que ser imposible de mantener esta mentira). Ser humanamente imposible volver a demostrar, ao tras ao, que el SGSI sigue rodando. Es decir, no merece la pena encarar una futura certificacin ISO 27001 si no se tiene como objetivo fundamental y sincero: Implementar un VERDADERO SGSI Esto se desmorona muy rpidamente si se parti de pilares dbiles, dbiles engaosos o falsos tratando meramente de obtener el falsos, sello de ISO 27001 como nica meta.
Metodologa p/PyMEs
Por lo tanto, un consejo (si se puede llamar as): No se autoengaen, encaren esta tarea con la sana intencin de
aprovechar al mximo cada esfuerzo que le requiera. Una vez comprendido esto, creo necesario avanzar un poco ms: p p
Ms Aclaraciones PyME
La solicitud de certificacin con AENOR para una PyME, radica en tomar contacto con ellos, solicitarn informacin de la empresa (Alcance, sistemas, servidores, infraestructura, personal, servicios, etc). Con esta Info. entregarn un presupuesto (Para una PyME de +/ 100 empleados,+/ 10 servidores, rondar en unos y / p , / , 4.000 ). Esto es: 2 das de Auditora previa (visin preliminar de cmo va encaminada la preparacin de la PyME). Luego de esta actividad, actividad la empresa se debe tomar su tiempo (unos meses ms, para ajustar lo propuesto para evitar futuras no conformidades). Cuando ya est lista, solicita la 2 parte: auditora final, y en otros dos das se realizarn todas las tareas de anlisis y verificacin das, del cumplimiento del estndar. Puede ser que est conforme con la certificacin, ante lo cual se extiende el certificado, que no satisfaga algunas conformidades, pero que no i li i f l f id d impliquen l la negacin de la certificacin, si bien debern ser corregidas, o que las no conformidades no permitan emitir el certificado, caso en el que se otorgar un tiempo adicional (y un coste), para pasar una nueva auditora sobre lo detectado.
Temario
1. Orgenes de esta Norma. 2. Novedades que Propone. 3. El SGSI y los Controles. 4. Visin de la Unin Europea. 5. Metodologa de Implantacin y Certificacin en las PYMES.
NO SE ASUSTEN ASUSTEN
ESTO SE ACABO!!!
Divisin Seguridad
Muchas Gracias