Ost Hoff

1
19/05/2009 Evento de Consultores 2009 | Harro Osthoff |

TV Rheinland Argentina
Paso a paso para alcanzar la eficiencia
Implementacin de un
Sistema de Gestin de la
Seguridad de la Informacin
(SGSI)
ISO 27001
Harro Osthoff
2
Informacin
La informacin es un recurso que,
como el resto de los importantes activos comerciales,
tiene valor para la organizacin y
por consiguiente debe ser debidamente protegida.
Informacin de los clientes
Datos personales
Informacin de la compaa
3
Estructura de la Norma
Informacin como activo
Tratamiento de la informacin como parte de los activos de una organizacin
Es aplicable a todo tipo de organizacin (sociedades comerciales, sociedades sin
fines de lucro, organizaciones estatales, organismos no gubernamentales, etc).
Consideracin de todos tipos de informacin:
Impresa
Escrita a mano
Almacenada electrnicamente
Transmitida por mail y electrnicamente
Comunicada a travs de videos o verbalmente
e.t.c,
4
Los tres pilares bsicos de un SGSI
Confidencialidad
Previene el acceso no autorizado a la
informacin, de forma intencional o no.
Integridad
Evita modificaciones de la informacin por
parte de personal no autorizado.
Disponibilidad
Proporciona acceso seguro a la informacin
en el momento en que se precisa.
5
Areas de la SGSI en las organizaciones (ISO 27001-2005)
Direccin
-Poltica de la seguridad de la informacin [A.5]
-Seguridad de la organizacin [A.6]
-Clasificacin y control de los activos [A.7]
- Gestin de los incidentes de la seguridad de la informacin [A.13]
-Cumplimiento (con los requerimientos legales y de la organizacin) [A.15]
Recursos Humanos
Seguridad personal de los recursos humanos [A.8]
Procesos del Negocio -Gestin de riesgos [4.3.1]
-Gestin de la continuidad del negocio [A.14]
Control de Acceso
Control de acceso [A.11]
Edificio/Medio
Ambiente
Seguridad fsica y
ambiental [A.9]
Trabajo Diario
Gestin de la
operacin y de la
comunicacin [A.10]
Planificacin/ Proyectos
Desarollo y mantenimiento
de sistemas [A.12]
6
Ejemplo Anexo A:
Clusula: Gestin de las comunicaciones y operaciones
A.10.5 Resguardo:
Objetivo: Mantener la integridad y la disponibilidad de la
informacin y de las instalaciones del procesamiento de la
informacin.
A.10.5.1
Control: Se deben tomar copias de resguardo de la
informacin y del software y se deben probar regularmente
en concordancia con la poltica acordada de resguardo.
7
Beneficios del SGSI
La inversin en tiempo y recursos que supone la implantacin de un SGSI se ve
ampliamente superada por las ventajas que resultan de su implementacin:
El SGSI otorga un enfoque global a la gestin de la seguridad.
Proporciona una imagen corporativa de compromiso con la seguridad.
Puede suponer un incremento de la rentabilidad del negocio.
8
Beneficios de certificar el SGSI (1)
Norma reconocida mundialmente con gran
nmero de certificados en todo el mundo.
Incremento en el conocimiento de la seguridad
por parte de los empleados.
Evaluacin de los procesos de negocio bajo el
punto de vista de la seguridad de la informacin.
Disminucin de cuotas de las aseguradoras.
Estructuras ms claras reduccin de gastos!
Compatibilidad de la norma con la ISO 9001.
9
Beneficios de certificar el SGSI (2)
Las empresas certificadas son vistas por
la opinin pblica / cliente como empresas
de confianza.
Las transacciones futuras pueden llevarse
a cabo en la confianza de que los riesgos
de la Seguridad de la Informacin estn
siendo efectivamente controlados.
La Seguridad de la Informacin es un
ingrediente esencial para un crecimiento
sostenible y acta como un diferenciador
en el mercado.
10
Resumen de beneficios al obtener la certificacin ISO 27001
Compromiso: certificar el SGSI provoca que la
implicacin sea de todos.
Soporte: las desviaciones constatadas por auditorias
externas son tenidas ms en cuenta por los que
deben aportar los recursos para solucionarlas.
Constancia: la continua revisin impide la
obsolescencia.
Prestigio: la certificacin es el reconocimiento
pblico de que la empresa gestiona adecuadamente
la seguridad.
Confiabilidad: la norma es absolutamente
rigurosa y clara. Adems exige auditorias
externas.
11
Procedimiento de certificacin ISO/IEC 27001:2005
Auditora Certificacin
Conformidad y cumplimiento del SGSI
Certificacin
Emisin del certificado
Seguimiento
Mejora continua
anual anual
Fase 2 Fase 2 Procesos y Control
Auditora Certificacin
Revisin documental
en sitio
Conformidad y cumplimiento del SGSI
Fase 1 Fase 1
12
Plazos para llevar adelante una auditora de certificacin
Fase 1
Max 3 meses
Ca. 1 mes
tiempo
Fase 1 Evaluacin del alcance del SGSI / Chequeo de documentos
Implementacin de las acciones correctivas por parte del cliente
Fase 2 Chequeo de documentos / Fase2 Auditora de certificacin
con revisin tcnica para asegurar la eficacia
Implementacin de las acciones correctivas por parte del cliente
Certificacin
Fase 1
Fase 2
Fase 3
Fase 4
Max 3 meses
Observacin
Fase 2
No conformidad
13
Tras un proceso de certificacin positivo
se proporciona el Certificado que...
...incrementa la confianza en la
empresa certificada...
...y se convierte en una ventaja
competitiva.
Certificado
14
Certficados en Argentina
Interbanking S.A
Servicios de Bancos
ETEK Reycom International Holding
Soluciones integrales de la seguridad informtica
ADEA
Gestin de documentos
Telpin
Provisin de servicios de telefona y de Internet
Bactssa
Terminal de Contenedores
Telefonica
Data Center
15
Importante
La ISO 27001 permite certificar un subproceso de la compaa!
Establecer el SGSI para un subproceso para implementar los
documentos y procesos, y ganar experiencia con la norma.
Despus extender el SGSI para el resto de la compaa.
16
Certificacin ADEA
Proceso simple, parte de la compaa
Mucho experiencia y proceso bien definido (documentacin)
ISO 9001
Asignacin de recursos y consultores
Motivacin: Cliente
17
Aceleradoras:
ISO 9001 Gestin de la Calidad
ISO 20000-1 Gestin de Servicios de TI
ITIL: It Infrastructure Library
Cobit: Control Ojectives for Information and related Technologies
SOX: Sarbanes-Oxely
18
Algunos de Nuestros Clientes en Alemania
19
SGSI certificados mundialmente
Nmero de certificados mundiales:
www.iso27001certificates.com: 2007
-500
500
1500
2500
3500
4500
5500
E
n
e
-
9
9
E
n
e
-
0
0
E
n
e
-
0
1
E
n
e
-
0
2
E
n
e
-
0
3
E
n
e
-
0
4
E
n
e
-
0
5
E
n
e
-
0
6
E
n
e
-
0
7
E
n
e
-
0
8
E
n
e
-
0
9
Diciembre 2004
Se alcanzan los 1.000
Agosto 2005 (1.689)
Japn: 964
UK: 212
India: 121
Taiwn: 56
Alemania: 43
Italia: 26
EE.UU.: 23
Agosto 2007 (3.890)
Japn: 2.280
UK: 352
Alemania: 73
EE.UU.: 52
Mayo 2009 (5.333)
Japn: 2.999
UK: 395
Alemania: 124
EE.UU.: 86
20
Servicios de TV Rheinland Argentina
para la norma ISO 27001
Auditora:
GAP Analisis
Pre auditora
Certificacin
Seguimiento
Renovacin
Capacitacin:
Sistemas de gestin de la seguridad de la
informacin (SGSI):
Introduccin a la ISO 27001
Auditor Interno
Auditor Lder IRCA
21
Qu camino seguir para implantar un SGSI?
Basarlo en una normal internacional como la ISO/IEC 27001:2005, que es una
norma certificable, es una garanta de xito.
Combinarla con otras normas como la ISO 9001:2008, en el espritu de la mejora
continua, y
Contar con los beneficios de una certificacin con una organizacin experta en
normas internacionales como TV Rheinland
22
TV Rheinland Argentina
Sistema de gestin de servicios de TI
ISO 20000-1:
Tecnologa de la informacin.
Gestin de servicios.
Parte 1: Requisitos.
Harro Osthoff
23
ISO 20000-1
Sistema de gestin de la Tecnologa Informtica
Define los requerimientos minimos para los procesos que una
organizacin debe implementar para brindar servicos de TI de calidad
definido a clientes internos y externos.
Gestin de los procesos de la provisin de servicios de TI
Gestin de los procesos de soporte de TI.
24
ISO 20000: Normas y Referencias
Tecnologa de la informacin. Gestin de servicios.
ISO 20000-1: Parte 1: Requisitos.
ISO 20000-2: Parte 2: Cdigo de prctica.
Referencias
ITIL: IT Infrastructure Library
COBIT: Control objectives for information and related technology
25
ISO 20000-1: La casa de ITIL
Service Desk
Gestin de la
Disponibilidad
Gestin de la
Capacidad
Gestin de la
Continuidad de
Servicios de TI
Gestin de las
Finanzas
Gestin del Nivel
de Servicios
Configuration Management Data Base
(CMDB)
Gestin de
Problemas
Gestin de
Cambios
Gestin de la
Revisin
Gestin de
Incidentes
Gestin de la
Configuracin
Provisin de
Servicios
Soporte de
Servicios
26
ISO 20000-1: Beneficios para empresas
Sistema de gestin de la Tecnologa Informtica
Promover la adopcin de un proceso integrado de tratamiento para
proveer servicios gestionados, con la finalidad de atender los
requerimientos del negocio y de los clientes.
BS 15000-1:2002
Posibilitar el entendimiento de las mejores prcticas, beneficios,
objetivos, y posibles problemas de la gestin de servicios.
Ayudar a las organizaciones con la gestin profesional de los servicios
para generar ingresos o ser ms rentable.
27
ISO 20000-1: Beneficios para empresas (cont.)
La implementacin provee control, mayor eficiencia, y oportunidades de
mejora.
Convertir departamentos tcnicos en departamentos focalizados en el
servicio.
Asegurar que los servicios de TI estn alineados y satisfacen las
necesidades del negocio.
Mejorar la confianza y la disponibilidad del sistema.
Proveer una base para acordar niveles de servicios y la posibilidad de
medir la calidad del mismo.
28
ISO 20000-1: Costos
General: Como la ISO 27001. Los das auditor definido en la ISO 27006
Estratega TV Rheinland:
Auditores de India.
Cursos planificados hacia fin del ao.
29
ISO 20000-1: Historia
General
ITIL: 1989
BS-15000:2000
ISO 20000-1: 2005
TV
July 2008: Acreditacin con JIPDEC en Japn.
Auditores en Japn y India
Clientes
1. FMR India (Fidelity Management and Research)
2. FITG India (Federation of Information Technology)
3.FIL India (Fidelity International Limited)
4.Honeywell India
5. Dept of Finance Abudhabi
30
Comparacin ISO 27001 y ISO 20000-1
Foco en rea de Tecnologa
No alineada a la estretagia global de la empresa
Foco a la direccin y estratega de la empresa
ISO 27001 ISO 20000-1
Gestin de seguridad de la Informacin Gestin de servicios de TI
Subproceso certificable Todos los procesos de TI son necesarios
La implementacin de la norma est ms
desarrolloda en el sector financiero
Mejor desarrollado en el sector de
servicios de TI
con la ISO 20000-1 falta: Direccin, estratega
de negocios y ampliacin a toda la compaa.
con la 27001 falta:
Gestin de servios
Comenzar con ISO 27001
antes de la ISO 20000-1
Extender la ISO 20000 a la informacin
y todo la organizacin con la ISO 27001
31
Comparacin ISO 27001 y ISO 20000-1
Gestin de riesgos para TI Gestin de riesgos para todo la compaa
Gestin de revisin (10.1)
Gestin de cambios (9.2) OK
Gestin de la configuracin (9.1) OK
Gestin de problemas (8.3) OK
Gestin de incidentes (8.2) OK
Gestin de proveedores (7.3) OK
Gestin de la relacin del negocio (7.2)
Gestin de la seguridad de la informacin (6.6) OK
Gestin de la capacidad (6.5) OK
Presupuesto y contabilidad de servicios de TI (6.4)
Gestin de la continuidad y disponibilidad de servicios (6.3) OK
Informes de servicios (6.2)
ISO 27001 ISO 20000-1
Gestin de nivel de servicios (6.1)
32
TV Rheinland ayuda a sus clientes
Harro Osthoff
Auditor ISO 27001 / 9001
TV Rheinland Argentina S.A.
Gracias por su atencin.

Ost Hoff

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Ost Hoff

Caricato da

Copyright:

Formati disponibili

1

19/05/2009 Evento de Consultores 2009 | Harro Osthoff |

Potrebbero piacerti anche