El estndar ISO 27001 y su aplicacin en las PyMEs

Alejandro Corletti Estrada acorletti@ncs-spain.com

Estado Actual del Tema

El anlisis del estndar ISO 27001, deja la sensacin que se est gestando con t d i t t d toda rigurosidad la necesidad de implementar metodologas normalizadas en temas de seguridad. No es de extraar las empresas necesitan cada extraar, vez ms compartir sus activos de informacin entre ellas (uniformidad) ( ) Este estndar por primera vez, es una verdadera solucin al problema por lo que se puede prever problema, prever, que la certificacin ISO27001, ser casi una obligacin de cualquier empresa en el corto plazo (como lo es ISO 9000 en la actualidad).

Temario
1. 1 Orgenes de esta Norma Norma.

2. Novedades que Propone. 3. El SGSI y l Controles. l los l 4. Metodologa de Implantacin y Certificacin en las PYMES. 5. Tendencias. 6. Cmo Propone NCS ISO 27001 a una PyME. 7. Beneficios de una PYME Certificada en ISO 27001.

Objetivos
Brindar una rpida visin del objetivo REAL de esta norma, su intencin, , , alcance y propuesta al medio plazo, p para cualquier PyME. q y Desarrollar brevemente el concepto de SGSI (Sistema de Gestin de la Seguridad de la Informacin) y el de Controles que impone la norma. q p

Temario
1. O Orgenes d esta N de t Norma.
2. Novedades que Propone. 3. El SGSI y los Controles. 4. Metodologa de Implantacin y Certificacin en las PYMES. 5. Tendencias. 5 Tendencias 6. Cmo Propone NCS ISO 27001 a una PyME. 7. B Beneficios d una PYME C ifi d en ISO fi i de Certificada 27001.

Orgenes de la Norma
Este es el nuevo estndar oficial, su ttulo completo es: BS 77992:2005 (ISO/IEC 27001:2005). ) Tambin fue preparado por el JTC 1 y en el subcomit SC 27 IT Security Techniques y 27, Security Techniques, forma parte de la familia ISO27000. Tiene su origen remoto en la BS7799 BS 7799 la ltima versin es la ISO27001:2005, (oct/05) y deroga la anterior. g Es la primera vez que un estndar de seguridad tiene una acogida masiva por parte de las organizaciones. organizaciones Lo verdaderamente novedoso es que permite demostrar homogeneizacin entre la seguridad de los SSII (imprescindible, si se desea compartir informacin entre empresas).

Orgenes de la Norma
En Espaa, AENOR, est trabajando en esta norma, y se denominar ISO/UNE 27001. Este es un hito importante, pues facilita y abre el p ,p camino para cualquier PYME que desee certificarse con ella, pues no debera tener la necesidad d recurrir a consultores y/o auditores id d de i l / di formados en el extranjero lo cual impone un coste considerable considerable. Este estndar no pretende llegar nicamente a grandes empresas sino que necesariamente empresas, deber ser aplicado en las PYMES que deseen trabajar como socias de negocio de cualquier otra grande o pequea empresa.

Orgenes de la Norma
1870 organizaciones en 57 pases han reconocido la importancia y los beneficios de esta nueva p norma. El conjunto de esta familia ISO2700x son: j 7 ISO/IEC 27000 Fundamentals and vocabulary. ISO/IEC 27001 SGSI Requirements. ISO/IEC 27002 Code of practice for ISM (vieja ISO/IEC 17799:2005). ISO/IEC 27003 SGSI implementation guidance. ISO/IEC 27004 ISM measurement. ISO/IEC 27005 IS risk management. Actualmente el ISO27001:2005 es el nico estndar aceptado internacionalmente para la administracin de la Segur. I f y aplica a t d ti d organizaciones, t t S Info. li todo tipo de i i tanto por su tamao como por su actividad.

Temario
1. 1 Orgenes de esta Norma Norma.

2. Novedades que Propone.

3. El SGSI y los Controles. 4. Metodologa de Implantacin y Certificacin en las PYMES. 5. Tendencias. 5 Tendencias 6. Cmo Propone NCS ISO 27001 a una PyME. 7. B Beneficios d una PYME C ifi d en ISO fi i de Certificada 27001.

Novedades que Propone

Esta norma, no est orientada a despliegues tecnolgicos o de infraestructura sino a aspectos infraestructura, netamente organizativos, es decir, la frase que podra definir su propsito es Organizar la seguridad de la informacin. Propone secuencias de acciones tendientes al: Establecimiento Implementacin Operacin Sistema de Gestin de la M it i Monitorizacin i Seguridad de la Informacin. Revisin El SGSI, es el punto fuerte de M t i i t Mantenimiento d este estndar. Mejora

SGSI

Detalles
Los detalles que conforman el cuerpo de esta norma, se podran agrupar en tres grandes lneas:

Valoracin de Riegos (Risk Assesment). SGSI. Controles.

Valoracin de Riesgos
Puede ser desarrollada con cualquier tipo de metodologa (pblica o particular), siempre y cuando sea completa y metdica. (No ser motivo de esta presentacin). Lo nico que s se desea remarcar, es que en definitiva, el resultado final de un anlisis de riesgo, es:
Clara identificacin, definicin y descripcin de los activos. El impacto que podra ocasionar un problema sobre cada uno. Conjunto de acciones que pueden realizarse (agrupadas). Propuesta varios cursos de accin posibles (Mx, inter1/2s, mn). Finalmente: Eleccin y Aprobacin de un curso de accin por parte de la Direccin Es decir el compromiso que asume en virtud Direccin. decir, de su propia estrategia (Coste/beneficio/Negocio), para tratar las acciones de ese curso de accin y ASUMIR el riesgo residual que quedar con lo que no est dispuesto a abordar (..o en definitiva a pagar..).

Aprobacin Direccin(Compromiso)
Este ltimo paso que se trat es el ms importante d todos, pues recin a partir d i de d i i de l, recin se puede iniciar el conjunto de medidas para minimizar los riesgos y a su vez para ir riesgos, solucionando los impactos que S este dispuesta a abordar la Direccin (por escrito). ( p ) lo cual dar como resultado un nuevo anlisis de riesgo, para ver como evolucionaron las acciones y los nuevos riesgos residuales.......... y las nuevas
decisiones estratgicas.. y las nuevas acciones...
y las nuevas mejoras....y las nuevas decisiones estratgicas.
y los nuevos riesgos...... y las nuevas........y.................................y.??????

al fin y al cabo de esto se trata la idea de

ciclo, ciclo

gestin o PDCA como se ve a continuacin.

Jams Debe Olvidarse

La Alta Direccin, no tiene por qu tener la menor idea de los aspectos t i l t tcnicos d l S de la Seguridad I f id d Informtica ( ms, ti (es sera un error que le dedique tiempo a aprender estas cosas). Lo que tiene clarsimo es la relacin: Coste/beneficio/Negocio q / / g con una visin global de la empresa. Y ah s sabr elegir cual es el mejor curso de Accin que deber adoptar para su Negocio global (si se lo ha sabido presentar debidamente). Por lo tanto el trabajo importante es saber resumir/concretar la tarea de muchas semanas o meses que conlleva esta actividad, entre 4 a 8 CURSOS DE ACCIN, y una vez adoptada la decisin directiva, encontrar todos los medios de llevar adelante esta (y p por supuesto, p , g generar el determinacin correspondiente feedback).

PDCA
En la implementacin de esta norma es donde se presenta el conjunto de p pasos a seguir para implantar un SGSI, el cual es un ciclo permanente g p p p definido como PDCA, y cada uno de estas actividades quedar regulada, normalizada y auditada mediante los correspondientes Controles.

Plan (Establecer el SGSI): Poltica SGSI, objetivos, procesos, p procedimientos para la Admin.Riesgos y mejoras a la Seg. Info.y p g j g y resultados acordes a las polticas y objetivos de la organizacin. Do (Implementar y Operar el SGSI): Forma en que se opera e implementa la poltica, controles, procesos y procedimientos. Check (Monitorizar y Revisar el SGSI): Analizar y medir los procesos relacionados al SGSI evaluar objetivos experiencias e SGSI, objetivos, informar los resultados a la administracin para su revisin. Act (Mantener y Mejorar el SGSI): Acciones preventivas y ( j ) p correctivas, basadas en auditoras internas y revisiones del SGSI.

Temario
1. 1 Orgenes de esta Norma Norma.

2. Novedades que Propone.

3. El SGSI y los Controles.

4. Metodologa de Implantacin y Certificacin en las PYMES. 5. Tendencias. 5 Tendencias 6. Cmo Propone NCS ISO 27001 a una PyME. 7. B Beneficios d una PYME C ifi d en ISO fi i de Certificada 27001.

SGSI
En el punto cuatro de la norma, se establecen los conceptos rectores del SGSI.

Punto 4.1. Requerimientos generales: q g La organizacin, establecer, implementar, operar, monitorizar, revisar, mantendr y i i i d mejorar un documentado SGSI en su contexto para l actividades globales d su negocio y d las i id d l b l de i de cara a los riesgos. Para este propsito, el proceso est basado en el modelo PDCA.

SGSI
Punto 4.3.2. Control de documentos: Todos los documentos requeridos por el SGSI sern protegidos y controlados. Un procedimiento documentado deber establecer las acciones de administracin necesarias para: p
Aprobar documentos y prioridades o clasificacin de empleo. Revisiones, actualizaciones y reaprobaciones de documentos. Asegurar que los cambios y las revisiones sean identificadas. Asegurar que las ltimas versiones estn disponibles. Asegurar que los documentos permanezcan legibles e identificables identificables. Asegurar que los documentos estn disponibles para quien los necesite y sean transferidos, guardados y finalmente clasificados. Asegurar que los documentos de origen externo sean identificados. Asegurar el control de la distribucin de documentos. Prevenir el empleo no deseado de documentos obsoletos.

Los Controles
Al escuchar la palabra Control, automticamente viene a la mente la idea de alarma hito evento medicin alarma, hito, evento, medicin, monitorizacin, etc., se piensa en algo muy tcnico o accin. En el caso de este estndar, el concepto de Control, es , p , mucho ms que eso. Abarca todo el conjunto de acciones, documentos, medidas a adoptar, procedimientos, medidas tcnicas, etc. Un Control permite garantizar que cada aspecto, que se valor con un cierto riesgo, queda cubierto y auditable Cmo? De muchas formas posibles. El estndar agrupa en el Anexo A dentro de 11 categoras, sumando un total de 133 controles, que son los que se describirn b d ibi brevemente d durante l exposicin. la i i

Los Controles
Este anexo los numera tal cual se presentan a continuacin:
A.5 Poltica de Seguridad. A.6 Organizacin de la Informacin de Seguridad. A.7 Administracin de Recursos. A.8 Seguridad de los Recursos Humanos. A.9 Seguridad Fsica y del Entorno. .9 Segu dad s ca de to o. A.10 Administracin de las Comunicaciones y Operaciones. A.11 Control de Accesos. A.12 A 12 Adquisicin de Sistemas de Informacin Desarrollo y Informacin, Mantenimiento. A.13 Administracin de los Incidentes de Seguridad. A.14 A 14 Administracin de la Continuidad de Negocio Negocio. A.15 Marco Legal y Buenas Prcticas.

Los Controles
Si se deseara resumir an ms, como una visin estrictamente personal y abierta a cualquier ti t i t t l bi t l i tipo de debates, a mi juicio, prefiero plantear estos once grupos como conjuntos de tareas de la tareas, siguiente forma:

1) 2) 3) 4) ) 5)

Organizacionales. Seguridad Tcnica Tcnica. Contrataciones. Incidencias. I id i RRHH y Legales.

Los Controles 1) Organizacional. A.5 Poltica de Seguridad (2 Ctrls):

Documento de Poltica de Seguridad. Revisin de Poltica de Seguridad.

A.6 Organizacin A 6 Organi acin de la Informacin de Seguridad (11 Ctrls):

Organizacin Interna (Compromiso (Compromiso. Dir Dir. Coordinac. Acuerdos, contactos, autoridades) Partes externas (Terceros). ( )

A.7 Administracin de Recursos (5 Ctrls):

Responsabilidad en los recursos: Inventario y propietario de los recursos, empleo aceptable de los mismos. Cl ifi Clasificacin d l i f i de la info: G d Cl ifi Guas de Clasificac. Y Denominac., Identificac. y Tratam. de la Inform.

Los Controles 2) Segur. Tcnica

A.9 Seguridad Fsica y del Entorno (13 Ctrls):
reas de Seg (Fsica y Perim.) Seg de elementos (Ubic y Prot Eqs. Sop. Eqs, Seg Cableado, Mant Eqs, Seg Redistr o reutiliz. Borrado Info)

A.10 Administracin Com. y operaciones (32 Ctrls):

Procedim. Operac. y responsabil. Admin. Prestac. Ser. 3s partes p p 3 p Planific. y Aceptac. de Sist. (Metodolog) Protec. c/ cdigo mvil y maligno Resguardo Admin. Seg redes Manejo 1/2 Interc. de Info. Ser. Com Elect. Monitorizac

A.11 Control de Accesos (25 Ctrls):

Requerim Neg p/CA (Polt CA) Admin. Acc User (Reg User, Adm Privileg, Admin Passw User, Revis Der Acc User) Responsabil User (Empleo Passw, Eqs User no atendidos, Escrit. y Pantalla) CA a Redes (Polt Uso Ser Red, Autentic User Externos, Identif Equipam Redes, Protecc y Diagn puertos remotos, Segmentac Redes, Ctrl Conex y rutas de red) CA a SSOO (Procedim , g , ) ( Segur en validac, I y A User, Admin Passw en SSII, Uso utilid. en SSII, Tiempos desconex, Limit Tiempo Conex) CA a Info y Aplic (Restricc Acc Info, Aislam Sist Sensibles) Comp Mvil y Teletrabajo (Comp Mv y Com,Teletrab)

Los Controles 3) Contrataciones

A.12 Adquisicin de Sistemas de Informacin, Desarrollo y Mantenimiento (16 Ctrls):

Requerimientos Seguridad de los SSII Procesamiento correcto en aplicaciones P i t t li i Controles criptogrficos Segur. en los sistemas de archivos Segur en el desarrollo y soporte a Segur. procesos Administracin Tcnica de vulnerabilidades.

Los Controles 4) Incidencias.

A.13 Administracin de los Incidentes de Seguridad (5 Ctrls):
Reportes de eventos de Segur. Info. Y debilidades Administracin de incidentes Seguridad de la Informacin y mejoras (Responsabilidades y Procedimientos, Aprendizaje de incidentes, Recoleccin de Evidencias).

A.14 Administracin de la Continuidad de Negocio ( Ctrls): i (5 l )

Aspectos de seguridad de la informacin en la continuidad contin idad del negocio (I cl si Seg idad de la (Inclusin Seguridad Informacin En la Administracin de CN, Evaluacin Riesgos y CN, Desarrollo e Implementacin Planes CN, Entorno de trabajo p/planif. CN, Test Mant. y Reeval. CN).

Los Controles 5)RRHH y Legales A.8 Seguridad de los Recursos Humanos g (9 Ctrls):
Antes del empleo Durante el empleo Finalizacin o cambio de empleo.

A.15 Marco Legal y Buenas Prcticas (10 Ctrls): ( C l )

Cumplimiento de requerimientos legales Cumplimiento de polticas de seguridad seguridad, estndares y tcnicas de buenas prcticas Consideraciones sobre auditoras de sistemas de informacin.

Temario

1. Orgenes de esta norma. 2. Novedades que propone. 3. El SGSI y los controles.

4 4.Visin de la Unin Europea. p

5. Metodologa de implantacin y certificacin en las PYMES. 6. Beneficios de una PYME certificada en ISO 27001. 27001

Visin de la UE
Europa, se encuentra en una necesidad de demostrar, garantizar y justificar su Calidad. Calidad

Calidad, esa es la palabra clave de la Industria.

En la CE, toda industria E l CE t d i d t i necesita respetar cada vez it t d ms una serie de medidas, que lo que tratan de hacer en definitiva, es salvaguardar al cliente final de lo que , g q consume. Esto se ve reflejado en todo mbito, desde el medio ambiente, los medicamentos, la industria alimenticia, automotriz, los servicios, las telecomunicaciones, etc. Desde ya que esto no es la panacea pues como es panacea, lgico, siguen y seguirn apareciendo excepciones, ambigedades, evasiones, etc. Pero poco a poco, la g p p Calidad va imponindose en cada uno de los temas.

Visin de la UE
Hoy, en casi todos los productos, el usuario final sabe si se trata de un producto de buena, dudosa, o escasa calidad. Todo ello se debe a una serie de medidas, acciones, denominaciones, controles, garantas de Org. reguladores (que ciertas industrias escuchan y otras no). Uno de los pilares de esta cadena es la informtica informtica. Hablando de una cadena de eslabones de calidad: una cadena se corta por el eslabn ms fino
(Dentro de la CE, no se admitir ms que el eslabn ms fino sea la informtica, y en informtica, seguridad es un pilar fundamental).

Si tuviera que reducirse l norma a una f i i d i la frase sera:

ISO 27701 Pone Calidad a la Seguridad

Visin de la UE
ISO 27701 Pone calidad a la seguridad
Y como se dijo, hacia esto tiende la Unin Europea. Esto no quiere decir, que el hecho de certificar una empresa en ISO 27001, garantice que esa empresa posee una Excelente Calidad en sus niveles de seguridad.tampoco una persona por ser Ingeniero, Master o Doctor, i garantiza que sea un excelente profesional..

slo puede garantizar que se ha realizado un serio y metdico esfuerzo por tratar de serlo,
y esto, ya es un muy buen punto de partida.

Temario

1. Orgenes de esta Norma. 2. Novedades que Propone. 3. El SGSI y los Controles. 4. Visin de la Unin Europea.

5.Metodologa de implantacin certificacin en las PYMES PYMES.

6. Beneficios de una PYME Certificada en ISO 27001.

Metodologa p/PyMEs
Uno de los objetivos de esta exposicin, es ofrecer un claro curso de accin y apoyo para las PyMEs. p y p y Existe una diferencia entre :

Necesidad de Certificar. Necesidad Certificar . Negocio de la Certificacin.

Esta es la finalidad ltima de esta presentacin, pues p ,p si comprenden bien estas posturas, toda PyME podrn implementar la mayora de los puntos de este estndar con gran independencia del Negocio g p g de la Certificacin que se gesta alrededor de todo estndar certificable. Y lo ms importante, es que adquirir la experiencia, sabr mantenerla y se quedar con el 100 % del conocimiento. Una gran empresa, puede externalizar esta consultora (con los grandes costes que ello implica) pero implica), una PyME no debera desentenderse de esta forma.

Metodologa p/PyMEs
Para serles sinceros, si se poseen los conocimientos y capacidades necesarias, necesarias afirmara que se puede Dibujar una certificacin Dibujar ISO 27001 (y lo que acabo de afirmar, es muy, pero muy atrevido). Lo que tambin afirmo y con mucha ms contundencia, es que ser

imposible de mantener esta mentira. Lo que se trata de reflejar en el cuadro anterior es la decisin que deber adoptar todo responsable de sistemas en los prximos aos, es decir:
Lo hago como se debe? Evidentemente, necesito certificar ISO 27001 en el corto 7 plazo: Busco slo la chapa?

Tal vez parezca cruel, o poco serio, pero es la cruda realidad (a veces l realidad supera ampliamente a l fi i y en este ti la lid d li t la ficcin, t tipo de determinaciones puedo asegurarlo con mucha certeza) .

Metodologa p/PyMEs
Se puede encarar esta tarea, con la intencin de aprovechar el esfuerzo o simplemente, para cumplir con un requisito que permita a la empresa seguir fielmente las exigencias del mercado y hacer el mnimo esfuerzo posible, tratando d (f y crudamente) engaar f ibl d de (fra d ) al auditor..(recuerden que, tambin afirmo y con mucha ms contundencia, es que ser imposible de mantener esta mentira). Ser humanamente imposible volver a demostrar, ao tras ao, que el SGSI sigue rodando. Es decir, no merece la pena encarar una futura certificacin ISO 27001 si no se tiene como objetivo fundamental y sincero: Implementar un VERDADERO SGSI Esto se desmorona muy rpidamente si se parti de pilares dbiles, dbiles engaosos o falsos tratando meramente de obtener el falsos, sello de ISO 27001 como nica meta.

Metodologa p/PyMEs
Por lo tanto, un consejo (si se puede llamar as): No se autoengaen, encaren esta tarea con la sana intencin de

aprovechar al mximo cada esfuerzo que le requiera. Una vez comprendido esto, creo necesario avanzar un poco ms: p p

Todo responsable de implementar ISO 27001 en una PyME, S o S debe MOJARSE !!

Una gran empresa, tal vez pueda darse el lujo de tercerizar todo el proceso, el mantenimiento y las acciones a futuro una
A lo sumo (y si desea invertir una considerable suma de dinero), puede contratar una consultora que le analice, disee, planifique e implemente inicialmente desde el vamos, t d el SGSI pero seguro, no podr subcontratar el todo l SGSI, d b t t l mantenimiento diario que un SGSI requiere (que no es trivial), esta tarea implica poseer el entendimiento de lo que se hizo y el funcionamiento de todo el SGSI, por lo tanto, en cualquier caso alguien, de la PyME deber intervenir y en profundidad.

PyME seguro que no no.

Opcin Certificacin PyME

El responsable de seguridad de la PyME deber Mojarse desde el inicio. j
Puede hacerlo, embebindose del Estndar, e ir p p preparando poco a poco su empresa (que es lo que se p p p (q q trata de aconsejar en esta presentacin) con un mnimo apoyo de algn especialista, que si lo hace con seriedad y preocupacin esta figura puede aportarla AENOR misma en lo misma, que llaman Auditora previa o Preauditora, que dejar un claro rumbo de lo que est bien y lo que se debe mejorar antes q q j de realizar la auditora final (es la colaboracin que hace AENOR, para lograr una eficiente certificacin en Espaa). Este curso de accin requiere un mayor esfuerzo de accin, los administradores, pero es el que ms experiencia aportar, y los resultados si se ponen ganas, sern los mejores y dejarn muy claros los pasos a futuro para mantener el SGSI.

Segunda Opcin PyME

Contratar un consultor para que lo gue paso a paso en todo el proceso ojo ! no estoy diciendo que haga todo el proceso, !, trabajo, sino que vaya guiando cmo hacerlo, pues si lo hace el consultor, se cae en la mentira anteriormente mencionado, y una vez que se retire el consultor, el SGSI no podr ser l l l d mantenido. Por lo tanto lo ms importante a reflexionar sobre esta segunda opcin es que no es lavarse las manos, sino trabajar codo a codo con el consultor, para aprovechar al mximo la experiencia de ste d t en cada paso, y ser capaz d t d de tener un claro l conocimiento de todo lo realizado, para mantenerlo en funcionamiento, se reitera que de esto se trata: un , q ciclo de vida continuo. En cualquiera de los dos casos, es perfectamente posible preparar una empresa para luego solicitar a los auditores acreditados la certificacin ISO 27001.

Ms Aclaraciones PyME
La solicitud de certificacin con AENOR para una PyME, radica en tomar contacto con ellos, solicitarn informacin de la empresa (Alcance, sistemas, servidores, infraestructura, personal, servicios, etc). Con esta Info. entregarn un presupuesto (Para una PyME de +/ 100 empleados,+/ 10 servidores, rondar en unos y / p , / , 4.000 ). Esto es: 2 das de Auditora previa (visin preliminar de cmo va encaminada la preparacin de la PyME). Luego de esta actividad, actividad la empresa se debe tomar su tiempo (unos meses ms, para ajustar lo propuesto para evitar futuras no conformidades). Cuando ya est lista, solicita la 2 parte: auditora final, y en otros dos das se realizarn todas las tareas de anlisis y verificacin das, del cumplimiento del estndar. Puede ser que est conforme con la certificacin, ante lo cual se extiende el certificado, que no satisfaga algunas conformidades, pero que no i li i f l f id d impliquen l la negacin de la certificacin, si bien debern ser corregidas, o que las no conformidades no permitan emitir el certificado, caso en el que se otorgar un tiempo adicional (y un coste), para pasar una nueva auditora sobre lo detectado.

Temario

1. Orgenes de esta Norma. 2. Novedades que Propone. 3. El SGSI y los Controles. 4. Visin de la Unin Europea. 5. Metodologa de Implantacin y Certificacin en las PYMES.

6.Beneficios de una PYME certificada en ISO 27001 27001.

Beneficios para una PyME

La seguridad al 100% no existe, la norma establece una metodologa y una serie de medidas que buscan una mejora continua, y que aumentar el % actual d cualquier empresa. ti t l t l de l i Esto se ve reflejado en una serie de beneficios que se describen a continuacin: Competitividad (Para ser sinceros..) Este es el 1 factor que le interesa a toda empresa. Esta norma, como se mencion, ser tan i i importante como h l es ISO 9000. Poco a poco hoy lo las grandes empresas, los clientes y partners exigirn esta certificacin para abrir y compartir sus sistemas. PyME. Ahorro econmico (..?) (Ser el 2 factor en importancia?) Las medidas c/incendios: Son un coste o una inversin?, Cunto vale la prdida de informacin.? Es muy difcil cuantificar este concepto, p y p , pero cualquier empresario sabe fehacientemente, que cualquier dao, cada, prdida, robo, falsificacin, suplantacin, fallo, error, inconsistencia, virus, demora, saturacin, escucha, saturacin escucha intrusin puede ser grave Es ms no grave. slo el dao concreto, sino el potencial (Imagen, prdida de confianza.)
, acceso errneo respuesta errnea, atentado catstrofe.. errneo, t atentado, t t f

Beneficios para una PyME

Calidad a la Seguridad: La implementacin de un verdadero SGSI transforma la SGSI, seguridad en una actividad de gestin. Este concepto por trivial q p que parezca es trascendente, pues deja de lado un conjunto de , p j j actividades tcnicas ms o menos organizadas, para transformarse en un ciclo de vida metdico y controlado. Reduce Riesgos: Partiendo del anlisis de riesgo que impone la norma, hasta la implementacin de los controles el conjunto de acciones controles, adoptadas reducir al mnimo todo riesgo por robo, fraude, error humano (intencionado o no), mal uso de instalaciones y ( ), equipo a los cuales est expuesto el manejo de informacin. Concienciacin y Compromiso: Crea conciencia y compromiso de seguridad a todos los niveles, no solo al implantarlaser permanente, pues se rata de un ciclo.

Beneficios para una PyME

Cumplimiento de la Legislacin Vigente: Todos los aspectos de conformidades legales de la norma, deben responder a la legislacin del Pas, y se verifica su adecuacin y cumplimiento. Por lo tanto la certificacin, garantiza este hecho y a su vez crea un marco legal que proteger en muchos flancos que antes no tena cubiertos. Visin Externa y Metdica del Sistema: Todo el trabajo implica una serie de medidas de auditora interna que ofrecen ya de por s un importante valor agregado, cada una de ellas responde a una secuencia metdica de controles. Otro aspecto, p p es la tensin y responsabilidad que impone al personal, el hecho de estar pendientes de una futura certificacin, como objetivo comn. A su vez, luego, los auditores, darn una visin externa, independiente y ajena a la rutina de la empresa, que aporta elementos de juicio y mejoras.

Beneficios para una PyME

Supervivencia de Mercado: Segn un artculo publicado en ComputerWeekly uno de los ComputerWeekly, principales motores que estn llevando al incremento de certificaciones ISO 27001 es la aparicin en contratos, de sugerencias al proveedor respecto a estar certificado. cada vez ms contratos, al principio slo gubernamentales pero tambin cada vez ms en el sector privado estipulan ya que el privado, proveedor apropiado debera tener la certificacin en ISO 27001 de Seguridad de la Informacin. De hecho, algunas empresas que ya tienen la certificacin ISO 27001 harn de lobby a favor de incluirlo como requisito en las ofertas d l clientes, obstaculizando a cualquier rival que no f t de los li t b t li d l i i l la tenga." Por tanto y como nueva motivacin esta certificacin puede ser motivacin, una oportunidad de negocio ms que un coste.

Beneficios para una PyME

En las prximas 48 placas se presenta, una clara y ajustada visin d cmo se puede analizar j d i i de d li metodolgicamente

NO SE ASUSTEN ASUSTEN

ESTO SE ACABO!!!

Divisin Seguridad

Muchas Gracias