19/05/2009 Evento de Consultores 2009 | Harro Osthoff |
TV Rheinland Argentina Paso a paso para alcanzar la eficiencia Implementacin de un Sistema de Gestin de la Seguridad de la Informacin (SGSI) ISO 27001 Harro Osthoff 2 19/05/2009 Evento de Consultores 2009 | Harro Osthoff | Informacin La informacin es un recurso que, como el resto de los importantes activos comerciales, tiene valor para la organizacin y por consiguiente debe ser debidamente protegida. Informacin de los clientes Datos personales Informacin de la compaa 3 19/05/2009 Evento de Consultores 2009 | Harro Osthoff | Estructura de la Norma Informacin como activo Tratamiento de la informacin como parte de los activos de una organizacin Es aplicable a todo tipo de organizacin (sociedades comerciales, sociedades sin fines de lucro, organizaciones estatales, organismos no gubernamentales, etc). Consideracin de todos tipos de informacin: Impresa Escrita a mano Almacenada electrnicamente Transmitida por mail y electrnicamente Comunicada a travs de videos o verbalmente e.t.c, 4 19/05/2009 Evento de Consultores 2009 | Harro Osthoff | Los tres pilares bsicos de un SGSI Confidencialidad Previene el acceso no autorizado a la informacin, de forma intencional o no. Integridad Evita modificaciones de la informacin por parte de personal no autorizado. Disponibilidad Proporciona acceso seguro a la informacin en el momento en que se precisa. 5 19/05/2009 Evento de Consultores 2009 | Harro Osthoff | Areas de la SGSI en las organizaciones (ISO 27001-2005) Direccin -Poltica de la seguridad de la informacin [A.5] -Seguridad de la organizacin [A.6] -Clasificacin y control de los activos [A.7] - Gestin de los incidentes de la seguridad de la informacin [A.13] -Cumplimiento (con los requerimientos legales y de la organizacin) [A.15] Recursos Humanos Seguridad personal de los recursos humanos [A.8] Procesos del Negocio -Gestin de riesgos [4.3.1] -Gestin de la continuidad del negocio [A.14] Control de Acceso Control de acceso [A.11] Edificio/Medio Ambiente Seguridad fsica y ambiental [A.9] Trabajo Diario Gestin de la operacin y de la comunicacin [A.10] Planificacin/ Proyectos Desarollo y mantenimiento de sistemas [A.12] 6 19/05/2009 Evento de Consultores 2009 | Harro Osthoff | Ejemplo Anexo A: Clusula: Gestin de las comunicaciones y operaciones A.10.5 Resguardo: Objetivo: Mantener la integridad y la disponibilidad de la informacin y de las instalaciones del procesamiento de la informacin. A.10.5.1 Control: Se deben tomar copias de resguardo de la informacin y del software y se deben probar regularmente en concordancia con la poltica acordada de resguardo. 7 19/05/2009 Evento de Consultores 2009 | Harro Osthoff | Beneficios del SGSI La inversin en tiempo y recursos que supone la implantacin de un SGSI se ve ampliamente superada por las ventajas que resultan de su implementacin: El SGSI otorga un enfoque global a la gestin de la seguridad. Proporciona una imagen corporativa de compromiso con la seguridad. Puede suponer un incremento de la rentabilidad del negocio. 8 19/05/2009 Evento de Consultores 2009 | Harro Osthoff | Beneficios de certificar el SGSI (1) Norma reconocida mundialmente con gran nmero de certificados en todo el mundo. Incremento en el conocimiento de la seguridad por parte de los empleados. Evaluacin de los procesos de negocio bajo el punto de vista de la seguridad de la informacin. Disminucin de cuotas de las aseguradoras. Estructuras ms claras reduccin de gastos! Compatibilidad de la norma con la ISO 9001. 9 19/05/2009 Evento de Consultores 2009 | Harro Osthoff | Beneficios de certificar el SGSI (2) Las empresas certificadas son vistas por la opinin pblica / cliente como empresas de confianza. Las transacciones futuras pueden llevarse a cabo en la confianza de que los riesgos de la Seguridad de la Informacin estn siendo efectivamente controlados. La Seguridad de la Informacin es un ingrediente esencial para un crecimiento sostenible y acta como un diferenciador en el mercado. 10 19/05/2009 Evento de Consultores 2009 | Harro Osthoff | Resumen de beneficios al obtener la certificacin ISO 27001 Compromiso: certificar el SGSI provoca que la implicacin sea de todos. Soporte: las desviaciones constatadas por auditorias externas son tenidas ms en cuenta por los que deben aportar los recursos para solucionarlas. Constancia: la continua revisin impide la obsolescencia. Prestigio: la certificacin es el reconocimiento pblico de que la empresa gestiona adecuadamente la seguridad. Confiabilidad: la norma es absolutamente rigurosa y clara. Adems exige auditorias externas. 11 19/05/2009 Evento de Consultores 2009 | Harro Osthoff | Procedimiento de certificacin ISO/IEC 27001:2005 Auditora Certificacin Conformidad y cumplimiento del SGSI Certificacin Emisin del certificado Seguimiento Mejora continua anual anual Fase 2 Fase 2 Procesos y Control Auditora Certificacin Revisin documental en sitio Conformidad y cumplimiento del SGSI Fase 1 Fase 1 12 19/05/2009 Evento de Consultores 2009 | Harro Osthoff | Plazos para llevar adelante una auditora de certificacin Fase 1 Max 3 meses Ca. 1 mes tiempo Fase 1 Evaluacin del alcance del SGSI / Chequeo de documentos Implementacin de las acciones correctivas por parte del cliente Fase 2 Chequeo de documentos / Fase2 Auditora de certificacin con revisin tcnica para asegurar la eficacia Implementacin de las acciones correctivas por parte del cliente Certificacin Fase 1 Fase 2 Fase 3 Fase 4 Max 3 meses Observacin Fase 2 No conformidad 13 19/05/2009 Evento de Consultores 2009 | Harro Osthoff | Tras un proceso de certificacin positivo se proporciona el Certificado que... ...incrementa la confianza en la empresa certificada... ...y se convierte en una ventaja competitiva. Certificado 14 19/05/2009 Evento de Consultores 2009 | Harro Osthoff | Certficados en Argentina Interbanking S.A Servicios de Bancos ETEK Reycom International Holding Soluciones integrales de la seguridad informtica ADEA Gestin de documentos Telpin Provisin de servicios de telefona y de Internet Bactssa Terminal de Contenedores Telefonica Data Center 15 19/05/2009 Evento de Consultores 2009 | Harro Osthoff | Importante La ISO 27001 permite certificar un subproceso de la compaa! Establecer el SGSI para un subproceso para implementar los documentos y procesos, y ganar experiencia con la norma. Despus extender el SGSI para el resto de la compaa. 16 19/05/2009 Evento de Consultores 2009 | Harro Osthoff | Certificacin ADEA Proceso simple, parte de la compaa Mucho experiencia y proceso bien definido (documentacin) ISO 9001 Asignacin de recursos y consultores Motivacin: Cliente 17 19/05/2009 Evento de Consultores 2009 | Harro Osthoff | Aceleradoras: ISO 9001 Gestin de la Calidad ISO 20000-1 Gestin de Servicios de TI ITIL: It Infrastructure Library Cobit: Control Ojectives for Information and related Technologies SOX: Sarbanes-Oxely 18 19/05/2009 Evento de Consultores 2009 | Harro Osthoff | Algunos de Nuestros Clientes en Alemania 19 19/05/2009 Evento de Consultores 2009 | Harro Osthoff | SGSI certificados mundialmente Nmero de certificados mundiales: www.iso27001certificates.com: 2007 -500 500 1500 2500 3500 4500 5500 E n e - 9 9 E n e - 0 0 E n e - 0 1 E n e - 0 2 E n e - 0 3 E n e - 0 4 E n e - 0 5 E n e - 0 6 E n e - 0 7 E n e - 0 8 E n e - 0 9 Diciembre 2004 Se alcanzan los 1.000 Agosto 2005 (1.689) Japn: 964 UK: 212 India: 121 Taiwn: 56 Alemania: 43 Italia: 26 EE.UU.: 23 Agosto 2007 (3.890) Japn: 2.280 UK: 352 Alemania: 73 EE.UU.: 52 Mayo 2009 (5.333) Japn: 2.999 UK: 395 Alemania: 124 EE.UU.: 86 20 19/05/2009 Evento de Consultores 2009 | Harro Osthoff | Servicios de TV Rheinland Argentina para la norma ISO 27001 Auditora: GAP Analisis Pre auditora Certificacin Seguimiento Renovacin Capacitacin: Sistemas de gestin de la seguridad de la informacin (SGSI): Introduccin a la ISO 27001 Auditor Interno Auditor Lder IRCA 21 19/05/2009 Evento de Consultores 2009 | Harro Osthoff | Qu camino seguir para implantar un SGSI? Basarlo en una normal internacional como la ISO/IEC 27001:2005, que es una norma certificable, es una garanta de xito. Combinarla con otras normas como la ISO 9001:2008, en el espritu de la mejora continua, y Contar con los beneficios de una certificacin con una organizacin experta en normas internacionales como TV Rheinland 22 19/05/2009 Evento de Consultores 2009 | Harro Osthoff | TV Rheinland Argentina Paso a paso para alcanzar la eficiencia Sistema de gestin de servicios de TI ISO 20000-1: Tecnologa de la informacin. Gestin de servicios. Parte 1: Requisitos. Harro Osthoff 23 19/05/2009 Evento de Consultores 2009 | Harro Osthoff | ISO 20000-1 Sistema de gestin de la Tecnologa Informtica Define los requerimientos minimos para los procesos que una organizacin debe implementar para brindar servicos de TI de calidad definido a clientes internos y externos. Gestin de los procesos de la provisin de servicios de TI Gestin de los procesos de soporte de TI. 24 19/05/2009 Evento de Consultores 2009 | Harro Osthoff | ISO 20000: Normas y Referencias Tecnologa de la informacin. Gestin de servicios. ISO 20000-1: Parte 1: Requisitos. ISO 20000-2: Parte 2: Cdigo de prctica. Referencias ITIL: IT Infrastructure Library COBIT: Control objectives for information and related technology 25 19/05/2009 Evento de Consultores 2009 | Harro Osthoff | ISO 20000-1: La casa de ITIL Service Desk Gestin de la Disponibilidad Gestin de la Capacidad Gestin de la Continuidad de Servicios de TI Gestin de las Finanzas Gestin del Nivel de Servicios Configuration Management Data Base (CMDB) Gestin de Problemas Gestin de Cambios Gestin de la Revisin Gestin de Incidentes Gestin de la Configuracin Provisin de Servicios Soporte de Servicios 26 19/05/2009 Evento de Consultores 2009 | Harro Osthoff | ISO 20000-1: Beneficios para empresas Sistema de gestin de la Tecnologa Informtica Promover la adopcin de un proceso integrado de tratamiento para proveer servicios gestionados, con la finalidad de atender los requerimientos del negocio y de los clientes. BS 15000-1:2002 Posibilitar el entendimiento de las mejores prcticas, beneficios, objetivos, y posibles problemas de la gestin de servicios. Ayudar a las organizaciones con la gestin profesional de los servicios para generar ingresos o ser ms rentable. 27 19/05/2009 Evento de Consultores 2009 | Harro Osthoff | ISO 20000-1: Beneficios para empresas (cont.) La implementacin provee control, mayor eficiencia, y oportunidades de mejora. Convertir departamentos tcnicos en departamentos focalizados en el servicio. Asegurar que los servicios de TI estn alineados y satisfacen las necesidades del negocio. Mejorar la confianza y la disponibilidad del sistema. Proveer una base para acordar niveles de servicios y la posibilidad de medir la calidad del mismo. 28 19/05/2009 Evento de Consultores 2009 | Harro Osthoff | ISO 20000-1: Costos General: Como la ISO 27001. Los das auditor definido en la ISO 27006 Estratega TV Rheinland: Auditores de India. Cursos planificados hacia fin del ao. 29 19/05/2009 Evento de Consultores 2009 | Harro Osthoff | ISO 20000-1: Historia General ITIL: 1989 BS-15000:2000 ISO 20000-1: 2005 TV July 2008: Acreditacin con JIPDEC en Japn. Auditores en Japn y India Clientes 1. FMR India (Fidelity Management and Research) 2. FITG India (Federation of Information Technology) 3.FIL India (Fidelity International Limited) 4.Honeywell India 5. Dept of Finance Abudhabi 30 19/05/2009 Evento de Consultores 2009 | Harro Osthoff | Comparacin ISO 27001 y ISO 20000-1 Foco en rea de Tecnologa No alineada a la estretagia global de la empresa Foco a la direccin y estratega de la empresa ISO 27001 ISO 20000-1 Gestin de seguridad de la Informacin Gestin de servicios de TI Subproceso certificable Todos los procesos de TI son necesarios La implementacin de la norma est ms desarrolloda en el sector financiero Mejor desarrollado en el sector de servicios de TI con la ISO 20000-1 falta: Direccin, estratega de negocios y ampliacin a toda la compaa. con la 27001 falta: Gestin de servios Comenzar con ISO 27001 antes de la ISO 20000-1 Extender la ISO 20000 a la informacin y todo la organizacin con la ISO 27001 31 19/05/2009 Evento de Consultores 2009 | Harro Osthoff | Comparacin ISO 27001 y ISO 20000-1 Gestin de riesgos para TI Gestin de riesgos para todo la compaa Gestin de revisin (10.1) Gestin de cambios (9.2) OK Gestin de la configuracin (9.1) OK Gestin de problemas (8.3) OK Gestin de incidentes (8.2) OK Gestin de proveedores (7.3) OK Gestin de la relacin del negocio (7.2) Gestin de la seguridad de la informacin (6.6) OK Gestin de la capacidad (6.5) OK Presupuesto y contabilidad de servicios de TI (6.4) Gestin de la continuidad y disponibilidad de servicios (6.3) OK Informes de servicios (6.2) ISO 27001 ISO 20000-1 Gestin de nivel de servicios (6.1) 32 19/05/2009 Evento de Consultores 2009 | Harro Osthoff | Paso a paso para alcanzar la eficiencia TV Rheinland ayuda a sus clientes Harro Osthoff Auditor ISO 27001 / 9001 TV Rheinland Argentina S.A. Gracias por su atencin.