Más contenido relacionado La actualidad más candente (6) Similar a “Normativas y Procesos” (20) “Normativas y Procesos”1. Normativas & Procesos
Gestión de la Seguridad en TIC
Eugenio Torres Gutiérrez
Best Practices Advisor
Copyright © 2012 BSI. All rights reserved.
Noviembre 2013
Gestión de la Seguridad en TIC
2. Controlando la Seguridad de la Información
¿El control será por software o hardware?
¿Qué tan robusto debe ser el control?
¿Cuáles son sus características mínimas?
¿Qué reglas serán definidas en el control?
¿Quién las define?
¿Quién y cómo las implementa?
¿Quién y cómo las prueba?
¿Con que periodicidad se probarán y ajustarán?
¿Cómo validar la efectividad diaria del control?
¿Quién es el responsable del control?
¿Cómo identificar una falla en el control?
¿Cuál será el crecimiento orgánico del control?
¿Qué nivel de soporte se debe contratar?
¿Qué actividades de gestión diarias se requieren?
Copyright © 2012 BSI. All rights reserved.
Noviembre 2013
Gestión de la Seguridad en TIC
2
3. ¿Qué es un Sistema de Gestión?
Conjunto de elementos mutuamente
relacionados o que interactúan para
establecer la política y lograr los
objetivos
ISO 9000:2005
Fundamentos y Vocabulario
Copyright © 2012 BSI. All rights reserved.
Noviembre 2013
Gestión de la Seguridad en TIC
3
4. ¿Cómo funciona un Sistema de Gestión?
El Sistema de Gestión permite de
manera sistemática establecer el
destino, definir la ruta y controlar el
trayecto para lograr los tiempos y
cumplir con los límites de velocidad.
Copyright © 2012 BSI. All rights reserved.
Noviembre 2013
Gestión de la Seguridad en TIC
4
5. Distribución Mundial de Certificados ISO/IEC 27001
Menos de 10
Entre 10 y 100
Entre 100 y 1,000
75 organizaciones
en México
Entre 1,000 y 10,000
Más de 10,000
Encuesta 2012. International Organization for Standardization
Copyright © 2012 BSI. All rights reserved.
Noviembre 2013
Gestión de la Seguridad en TIC
5
6. Evolución de las Certificaciones ISO/IEC 27001
Organizaciones
en México
56
49
75
70
31
9 13
2006
2007
2008
2009
2010
2011
2012
Encuesta 2012. International Organization for Standardization
Copyright © 2012 BSI. All rights reserved.
Noviembre 2013
Gestión de la Seguridad en TIC
6
7. Resultados de la aplicación del estándar
Proporciona mayor control sobre la
operación, incrementando la
eficiencia y generando
oportunidades de mejora.
Transforma los departamentos de
TI de reaccionar a los requisitos del
negocio a convertirse en una parte
integral y proactiva del mismo.
Asegura que los servicios de TI se
alineen y satisfagan las
necesidades del negocio.
Mejora la confiabilidad y
disponibilidad de los sistemas al
realizar una mejor planeación de la
demanda en la provisión del
servicio.
Copyright © 2012 BSI. All rights reserved.
Noviembre 2013
Gestión de la Seguridad en TIC
7
8. La evaluación de los servicios
Si bien ISO define a los Servicios como un tipo de Producto, una
comprensión más simple de lo que es un servicio se puede explicar como la
experiencia generada por un conjunto de productos que un proveedor ofrece.
Para evaluar la experiencia de un comensal que
asiste a un restaurante, algunos de los elementos
que tomará en cuenta son:
el
el
la
la
el
el
sabor de los alimentos,
ambiente del establecimiento,
amabilidad del personal,
limpieza del local y servicios,
tipo de clientela, y
precio
entre otros, estableciendo criterios y umbrales a
cumplir por cada elemento.
Copyright © 2012 BSI. All rights reserved.
Noviembre 2013
Gestión de la Seguridad en TIC
8
9. Los Servicios y las Tecnologías de la Información (TI)
Hoy en día, la tecnología a transformado la manera en la cual se operan y
controlan las organizaciones, simplificando y acelerando el procesamiento de
información y la compartición de la misma al interior y fuera de la organización.
Servicios de TI
Los servicios de TI dan soporte a las funciones de negocio de las
organizaciones mediante la automatización de tareas y la simplificación de las
actividades de gestión. Ejemplos de servicios de TI son:
el correo electrónico y la mensajería en línea,
el control de inventarios y, la recompra de insumos y materias primas,
el análisis de información para la toma de decisiones,
entre otros.
la interrupción o degradación de estos servicios impactará directamente la
operación de la organización.
Copyright © 2012 BSI. All rights reserved.
Noviembre 2013
Gestión de la Seguridad en TIC
9
10. La Gestión de Servicios
La gestión de servicios pretende establecer una estructura que describa como
definir los criterios, objetivos y márgenes de desempeño que deberán cumplirse
para garantizar que los servicios soporten a las funciones de negocio.
El negocio determina la
funcionalidad y
desempeño que los
servicios deben cumplir
Copyright © 2012 BSI. All rights reserved.
Noviembre 2013
El proveedor del
servicio identifica los
riesgos que pueden
provocar un
incumplimiento
Gestión de la Seguridad en TIC
El proveedor del
servicio establece la
estructura de gestión
que prevenga o
reaccione ante un
riesgo o incidente
10
11. La Gestión de Servicios
Para identificar los elementos de gestión requeridos para el servicio, debemos
responder a la siguiente pregunta:
¿Cuáles son las posibles causas de un incumplimiento
en la funcionalidad o desempeño del servicio?
Las posibles respuestas son:
Una modificación a la estructura operativa del servicio que afecte la funcionalidad.
Una falta de recursos que afecte el desempeño del servicio.
Una nueva funcionalidad que no cumple los requerimientos solicitados.
Una falta de recursos para sostener el costo de los servicios.
Un incumplimiento de los compromisos de un proveedor.
Una actualización mal planeada que afecta el desempeño del servicio.
Una falla en la infraestructura que interrumpe la funcionalidad del servicio.
Una falla funcional debido a una falta de mecanismos de respuesta a eventos.
Copyright © 2012 BSI. All rights reserved.
Noviembre 2013
Gestión de la Seguridad en TIC
11
12. La Gestión de Servicios
Causas de Incumplimiento
Una modificación a la estructura operativa del
servicio que afecte la funcionalidad.
Una falta de recursos que afecte el
desempeño del servicio.
Una nueva funcionalidad que no cumple los
requerimientos solicitados.
Una falta de recursos para sostener el costo
de los servicios.
Un incumplimiento de los compromisos de un
proveedor.
Una actualización mal planeada que afecta el
desempeño del servicio.
Una falla en la infraestructura que interrumpe
la funcionalidad del servicio.
Una falla funcional debido a una falta de
mecanismos de respuesta a eventos.
…
Copyright © 2012 BSI. All rights reserved.
Noviembre 2013
Acciones de Control
Gestión de Cambios
Gestión de la Capacidad
Gestión de Modificaciones a los Servicios
Gestión de Presupuestos
Gestión de Proveedores
Gestión de Liberaciones
Gestión de la Continuidad de Negocio
Gestión de Incidentes
…
Gestión de la Seguridad en TIC
12
13. ¿Cómo se relacionan los Sistemas de Gestión?
Los Sistemas de Gestión son la estructura operativa que una organización
establece para controlar sus procesos de negocio con base a sus políticas y
buscando que dichos controles permitan alcanzar los objetivos establecidos.
ISO 27001
i1
Entrada
i2
i3
i4
i5
A
B
C
D
E
ISO
22301
Salida
ISO 9001
ISO 20000-1
Copyright © 2012 BSI. All rights reserved.
Noviembre 2013
Gestión de la Seguridad en TIC
13
14. Gestión de la Seguridad de la Información
Amenaza
Prevención
Reducción
Detección
Evento
Represión
Gestión del
Incidente
Daño
Continuidad
Recuperación
Recuperación
Los elementos básicos que
conforman la Seguridad de la
Información son:
Las acciones necesarias para reducir el
riesgo antes de un evento indeseado.
Las acciones que indiquen como
responder durante el evento.
Las acciones que describan como
recuperarse después de que el evento
se ha presentado.
Evaluación
Copyright © 2012 BSI. All rights reserved.
Noviembre 2013
Gestión de la Seguridad en TIC
14
15. Gestión de la Seguridad de la Información
Gestión de activos
Organización de la
seguridad de la
información
Control de acceso
Políticas de
seguridad
Seguridad de
comunicaciones
Seguridad de
Operaciones
Ámbitos de
Control de la
Seguridad de la
Información
Criptografía
Getión de incidentes
de seguridad de
información
Seguridad física y del
medio ambiente
Continuidad
del negocio
Desarrollo,
mantenimiento y
adquisición sistemas
Seguridad de
Recursos Humanos
Relaciones con
proveedores
Cumplimiento
Copyright © 2012 BSI. All rights reserved.
Noviembre 2013
Gestión de la Seguridad en TIC
15
16. Gestión de Servicios
Sistema de Gestión de Servicio (SGS)
Gestión de documentos
Responsabilidades de la Dirección
Gestión de recursos
Gobierno de procesos operados por terceros
Establecimiento y mejora del SGS
Diseño y transición de servicios nuevos y modificados
Procesos para la provisión del servicio
Gestión de Niveles
de Servicio
Presupuesto y gestión
para los servicios
Reportes del servicio
Gestión de la capacidad
Gestión de la continuidad y
disponibilidad del servicio
Gestión de la seguridad
de la información
Procesos de control
Gestión de configuraciones
Gestión de cambios
Gestión de liberaciones
Procesos de resolución
Gestión de incidentes y solicitudes
de servicio
Gestión de problemas
Copyright © 2012 BSI. All rights reserved.
Noviembre 2013
Procesos de relacionamiento
Gestión de relaciones
de negocio
Gestión de proveedores
Gestión de la Seguridad en TIC
16
17. Gestión de la Continuidad de Negocio
Respuesta al Incidente
(Minutos a horas)
Retorno a la normalidad
lo más rápido posible
Incidente
Asistir a las víctimas
Contener los daños
Evaluar los daños
Invocar el BCP
Tiempo Cero
Continuidad de Negocio
(Minutos a días)
Contactar a los involucrados
Recuperar los procesos críticos
Recuperar el trabajo perdido
Recuperación
(Semanas a Meses)
Reparar los daños
Reubicar a las instalaciones permanentes
Recuperar los costos de las aseguradoras
Copyright © 2012 BSI. All rights reserved.
Noviembre 2013
Gestión de la Seguridad en TIC
17
18. La estructura de los estándares
PLANEAR
4 Contexto de
la
organización
5 Liderazgo
HACER
6 Planeación
ACTUAR
8 Operación
7 Soporte
VERIFICAR
9 Evaluación
del
desempeño
10 Mejora
Entendimiento
de la
organización y
su contexto
Liderazgo y
compromiso
Las acciones
para abordar
los riesgos y
oportunidades
Recursos
Planeación y
control
operacional
Monitoreo,
medición,
análisis y
evaluación
Noconformidades
y acciones
correctivas
Expectativas de
las partes
interesadas
Políticas
Objetivos y
planes IS
Competencias
Evaluación de
riesgos de la
seguridad de la
información
Auditorías
internas
Mejora continua
Alcance de
SGSI
Organización
de roles,
responsabilidad
es y
autoridades
Conciencia
Manejo de
reisgos de la
seguridad de la
información
Revisión de la
Alta Dirección
SGSI
Comunicación
Información
Documentada
Copyright © 2012 BSI. All rights reserved.
Noviembre 2013
Gestión de la Seguridad en TIC
18
19. Proceso de Certificación
Etapa 1. Auditoría de Intención o Documental
Se verifica que la intención y los objetivos del
sistema de gestión estén considerados en la
documentación.
Auditoría de
Registro o
Certificación
Se verifica que la documentación cumpla con todos
los criterios del estándar.
Etapa 2. Auditoría de Implementación y Eficacia
Se verifica que el sistema de gestión implementado
cumpla con las especificaciones establecidas en la
documentación.
Se verifica que el sistema de gestión logre los
objetivos establecidos.
Copyright © 2012 BSI. All rights reserved.
Noviembre 2013
Gestión de la Seguridad en TIC
19