Normativas & Procesos
Gestión de la Seguridad en TIC

Eugenio Torres Gutiérrez

Best Practices Advisor

Copyright © 2012 B...
Controlando la Seguridad de la Información
¿El control será por software o hardware?
¿Qué tan robusto debe ser el control?...
¿Qué es un Sistema de Gestión?

Conjunto de elementos mutuamente
relacionados o que interactúan para
establecer la polític...
¿Cómo funciona un Sistema de Gestión?
El Sistema de Gestión permite de
manera sistemática establecer el
destino, definir l...
Distribución Mundial de Certificados ISO/IEC 27001

Menos de 10
Entre 10 y 100
Entre 100 y 1,000

75 organizaciones
en Méx...
Evolución de las Certificaciones ISO/IEC 27001
Organizaciones
en México

56
49

75
70

31
9 13

2006

2007

2008

2009

20...
Resultados de la aplicación del estándar
 Proporciona mayor control sobre la
operación, incrementando la
eficiencia y gen...
La evaluación de los servicios
Si bien ISO define a los Servicios como un tipo de Producto, una
comprensión más simple de ...
Los Servicios y las Tecnologías de la Información (TI)
Hoy en día, la tecnología a transformado la manera en la cual se op...
La Gestión de Servicios
La gestión de servicios pretende establecer una estructura que describa como
definir los criterios...
La Gestión de Servicios
Para identificar los elementos de gestión requeridos para el servicio, debemos
responder a la sigu...
La Gestión de Servicios
Causas de Incumplimiento
 Una modificación a la estructura operativa del
servicio que afecte la f...
¿Cómo se relacionan los Sistemas de Gestión?
Los Sistemas de Gestión son la estructura operativa que una organización
esta...
Gestión de la Seguridad de la Información

Amenaza
Prevención
Reducción
Detección

Evento

Represión
Gestión del
Incidente...
Gestión de la Seguridad de la Información
Gestión de activos
Organización de la
seguridad de la
información

Control de ac...
Gestión de Servicios
Sistema de Gestión de Servicio (SGS)
Gestión de documentos

Responsabilidades de la Dirección

Gestió...
Gestión de la Continuidad de Negocio

Respuesta al Incidente

(Minutos a horas)





Retorno a la normalidad
lo más rá...
La estructura de los estándares
PLANEAR

4 Contexto de
la
organización

5 Liderazgo

HACER

6 Planeación

ACTUAR

8 Operac...
Proceso de Certificación
Etapa 1. Auditoría de Intención o Documental
 Se verifica que la intención y los objetivos del
s...
Sesión de preguntas

Copyright © 2012 BSI. All rights reserved.

Noviembre 2013

Gestión de la Seguridad en TIC

20
Contáctanos

BSI Group México
www.bsigroup.com.mx
informacion.msmexico@bsigroup.com
Tel.

01 800 044 0274
+52 (55) 5241 13...
Noviembre 2013

Gestión de la Seguridad en TIC
Próxima SlideShare
Cargando en…5
×

“Normativas y Procesos”

275 visualizaciones

Publicado el

Presentación de Eugenio Torres, British Standars Institution Group México, durante el Seminario "Gestión de la Seguridad en TIC" de Mxtel en Meet In Polanco el jueves, 21 de noviembre de 2013

Publicado en: Empresariales
0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
275
En SlideShare
0
De insertados
0
Número de insertados
17
Acciones
Compartido
0
Descargas
7
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.

“Normativas y Procesos”

  1. 1. Normativas & Procesos Gestión de la Seguridad en TIC Eugenio Torres Gutiérrez Best Practices Advisor Copyright © 2012 BSI. All rights reserved. Noviembre 2013 Gestión de la Seguridad en TIC
  2. 2. Controlando la Seguridad de la Información ¿El control será por software o hardware? ¿Qué tan robusto debe ser el control? ¿Cuáles son sus características mínimas? ¿Qué reglas serán definidas en el control? ¿Quién las define? ¿Quién y cómo las implementa? ¿Quién y cómo las prueba? ¿Con que periodicidad se probarán y ajustarán? ¿Cómo validar la efectividad diaria del control? ¿Quién es el responsable del control? ¿Cómo identificar una falla en el control? ¿Cuál será el crecimiento orgánico del control? ¿Qué nivel de soporte se debe contratar? ¿Qué actividades de gestión diarias se requieren? Copyright © 2012 BSI. All rights reserved. Noviembre 2013 Gestión de la Seguridad en TIC 2
  3. 3. ¿Qué es un Sistema de Gestión? Conjunto de elementos mutuamente relacionados o que interactúan para establecer la política y lograr los objetivos ISO 9000:2005 Fundamentos y Vocabulario Copyright © 2012 BSI. All rights reserved. Noviembre 2013 Gestión de la Seguridad en TIC 3
  4. 4. ¿Cómo funciona un Sistema de Gestión? El Sistema de Gestión permite de manera sistemática establecer el destino, definir la ruta y controlar el trayecto para lograr los tiempos y cumplir con los límites de velocidad. Copyright © 2012 BSI. All rights reserved. Noviembre 2013 Gestión de la Seguridad en TIC 4
  5. 5. Distribución Mundial de Certificados ISO/IEC 27001 Menos de 10 Entre 10 y 100 Entre 100 y 1,000 75 organizaciones en México Entre 1,000 y 10,000 Más de 10,000 Encuesta 2012. International Organization for Standardization Copyright © 2012 BSI. All rights reserved. Noviembre 2013 Gestión de la Seguridad en TIC 5
  6. 6. Evolución de las Certificaciones ISO/IEC 27001 Organizaciones en México 56 49 75 70 31 9 13 2006 2007 2008 2009 2010 2011 2012 Encuesta 2012. International Organization for Standardization Copyright © 2012 BSI. All rights reserved. Noviembre 2013 Gestión de la Seguridad en TIC 6
  7. 7. Resultados de la aplicación del estándar  Proporciona mayor control sobre la operación, incrementando la eficiencia y generando oportunidades de mejora.  Transforma los departamentos de TI de reaccionar a los requisitos del negocio a convertirse en una parte integral y proactiva del mismo.  Asegura que los servicios de TI se alineen y satisfagan las necesidades del negocio.  Mejora la confiabilidad y disponibilidad de los sistemas al realizar una mejor planeación de la demanda en la provisión del servicio. Copyright © 2012 BSI. All rights reserved. Noviembre 2013 Gestión de la Seguridad en TIC 7
  8. 8. La evaluación de los servicios Si bien ISO define a los Servicios como un tipo de Producto, una comprensión más simple de lo que es un servicio se puede explicar como la experiencia generada por un conjunto de productos que un proveedor ofrece. Para evaluar la experiencia de un comensal que asiste a un restaurante, algunos de los elementos que tomará en cuenta son:       el el la la el el sabor de los alimentos, ambiente del establecimiento, amabilidad del personal, limpieza del local y servicios, tipo de clientela, y precio entre otros, estableciendo criterios y umbrales a cumplir por cada elemento. Copyright © 2012 BSI. All rights reserved. Noviembre 2013 Gestión de la Seguridad en TIC 8
  9. 9. Los Servicios y las Tecnologías de la Información (TI) Hoy en día, la tecnología a transformado la manera en la cual se operan y controlan las organizaciones, simplificando y acelerando el procesamiento de información y la compartición de la misma al interior y fuera de la organización. Servicios de TI Los servicios de TI dan soporte a las funciones de negocio de las organizaciones mediante la automatización de tareas y la simplificación de las actividades de gestión. Ejemplos de servicios de TI son:     el correo electrónico y la mensajería en línea, el control de inventarios y, la recompra de insumos y materias primas, el análisis de información para la toma de decisiones, entre otros. la interrupción o degradación de estos servicios impactará directamente la operación de la organización. Copyright © 2012 BSI. All rights reserved. Noviembre 2013 Gestión de la Seguridad en TIC 9
  10. 10. La Gestión de Servicios La gestión de servicios pretende establecer una estructura que describa como definir los criterios, objetivos y márgenes de desempeño que deberán cumplirse para garantizar que los servicios soporten a las funciones de negocio. El negocio determina la funcionalidad y desempeño que los servicios deben cumplir Copyright © 2012 BSI. All rights reserved. Noviembre 2013 El proveedor del servicio identifica los riesgos que pueden provocar un incumplimiento Gestión de la Seguridad en TIC El proveedor del servicio establece la estructura de gestión que prevenga o reaccione ante un riesgo o incidente 10
  11. 11. La Gestión de Servicios Para identificar los elementos de gestión requeridos para el servicio, debemos responder a la siguiente pregunta: ¿Cuáles son las posibles causas de un incumplimiento en la funcionalidad o desempeño del servicio? Las posibles respuestas son:         Una modificación a la estructura operativa del servicio que afecte la funcionalidad. Una falta de recursos que afecte el desempeño del servicio. Una nueva funcionalidad que no cumple los requerimientos solicitados. Una falta de recursos para sostener el costo de los servicios. Un incumplimiento de los compromisos de un proveedor. Una actualización mal planeada que afecta el desempeño del servicio. Una falla en la infraestructura que interrumpe la funcionalidad del servicio. Una falla funcional debido a una falta de mecanismos de respuesta a eventos. Copyright © 2012 BSI. All rights reserved. Noviembre 2013 Gestión de la Seguridad en TIC 11
  12. 12. La Gestión de Servicios Causas de Incumplimiento  Una modificación a la estructura operativa del servicio que afecte la funcionalidad.  Una falta de recursos que afecte el desempeño del servicio.  Una nueva funcionalidad que no cumple los requerimientos solicitados.  Una falta de recursos para sostener el costo de los servicios.  Un incumplimiento de los compromisos de un proveedor.  Una actualización mal planeada que afecta el desempeño del servicio.  Una falla en la infraestructura que interrumpe la funcionalidad del servicio.  Una falla funcional debido a una falta de mecanismos de respuesta a eventos.  … Copyright © 2012 BSI. All rights reserved. Noviembre 2013 Acciones de Control  Gestión de Cambios  Gestión de la Capacidad  Gestión de Modificaciones a los Servicios  Gestión de Presupuestos  Gestión de Proveedores  Gestión de Liberaciones  Gestión de la Continuidad de Negocio  Gestión de Incidentes  … Gestión de la Seguridad en TIC 12
  13. 13. ¿Cómo se relacionan los Sistemas de Gestión? Los Sistemas de Gestión son la estructura operativa que una organización establece para controlar sus procesos de negocio con base a sus políticas y buscando que dichos controles permitan alcanzar los objetivos establecidos. ISO 27001 i1 Entrada i2 i3 i4 i5 A B C D E ISO 22301 Salida ISO 9001 ISO 20000-1 Copyright © 2012 BSI. All rights reserved. Noviembre 2013 Gestión de la Seguridad en TIC 13
  14. 14. Gestión de la Seguridad de la Información Amenaza Prevención Reducción Detección Evento Represión Gestión del Incidente Daño Continuidad Recuperación Recuperación Los elementos básicos que conforman la Seguridad de la Información son:  Las acciones necesarias para reducir el riesgo antes de un evento indeseado.  Las acciones que indiquen como responder durante el evento.  Las acciones que describan como recuperarse después de que el evento se ha presentado. Evaluación Copyright © 2012 BSI. All rights reserved. Noviembre 2013 Gestión de la Seguridad en TIC 14
  15. 15. Gestión de la Seguridad de la Información Gestión de activos Organización de la seguridad de la información Control de acceso Políticas de seguridad Seguridad de comunicaciones Seguridad de Operaciones Ámbitos de Control de la Seguridad de la Información Criptografía Getión de incidentes de seguridad de información Seguridad física y del medio ambiente Continuidad del negocio Desarrollo, mantenimiento y adquisición sistemas Seguridad de Recursos Humanos Relaciones con proveedores Cumplimiento Copyright © 2012 BSI. All rights reserved. Noviembre 2013 Gestión de la Seguridad en TIC 15
  16. 16. Gestión de Servicios Sistema de Gestión de Servicio (SGS) Gestión de documentos Responsabilidades de la Dirección Gestión de recursos Gobierno de procesos operados por terceros Establecimiento y mejora del SGS Diseño y transición de servicios nuevos y modificados Procesos para la provisión del servicio Gestión de Niveles de Servicio Presupuesto y gestión para los servicios Reportes del servicio Gestión de la capacidad Gestión de la continuidad y disponibilidad del servicio Gestión de la seguridad de la información Procesos de control Gestión de configuraciones Gestión de cambios Gestión de liberaciones Procesos de resolución Gestión de incidentes y solicitudes de servicio Gestión de problemas Copyright © 2012 BSI. All rights reserved. Noviembre 2013 Procesos de relacionamiento Gestión de relaciones de negocio Gestión de proveedores Gestión de la Seguridad en TIC 16
  17. 17. Gestión de la Continuidad de Negocio Respuesta al Incidente (Minutos a horas)     Retorno a la normalidad lo más rápido posible Incidente Asistir a las víctimas Contener los daños Evaluar los daños Invocar el BCP Tiempo Cero Continuidad de Negocio (Minutos a días)  Contactar a los involucrados  Recuperar los procesos críticos  Recuperar el trabajo perdido Recuperación (Semanas a Meses)  Reparar los daños  Reubicar a las instalaciones permanentes  Recuperar los costos de las aseguradoras Copyright © 2012 BSI. All rights reserved. Noviembre 2013 Gestión de la Seguridad en TIC 17
  18. 18. La estructura de los estándares PLANEAR 4 Contexto de la organización 5 Liderazgo HACER 6 Planeación ACTUAR 8 Operación 7 Soporte VERIFICAR 9 Evaluación del desempeño 10 Mejora Entendimiento de la organización y su contexto Liderazgo y compromiso Las acciones para abordar los riesgos y oportunidades Recursos Planeación y control operacional Monitoreo, medición, análisis y evaluación Noconformidades y acciones correctivas Expectativas de las partes interesadas Políticas Objetivos y planes IS Competencias Evaluación de riesgos de la seguridad de la información Auditorías internas Mejora continua Alcance de SGSI Organización de roles, responsabilidad es y autoridades Conciencia Manejo de reisgos de la seguridad de la información Revisión de la Alta Dirección SGSI Comunicación Información Documentada Copyright © 2012 BSI. All rights reserved. Noviembre 2013 Gestión de la Seguridad en TIC 18
  19. 19. Proceso de Certificación Etapa 1. Auditoría de Intención o Documental  Se verifica que la intención y los objetivos del sistema de gestión estén considerados en la documentación. Auditoría de Registro o Certificación  Se verifica que la documentación cumpla con todos los criterios del estándar. Etapa 2. Auditoría de Implementación y Eficacia  Se verifica que el sistema de gestión implementado cumpla con las especificaciones establecidas en la documentación.  Se verifica que el sistema de gestión logre los objetivos establecidos. Copyright © 2012 BSI. All rights reserved. Noviembre 2013 Gestión de la Seguridad en TIC 19
  20. 20. Sesión de preguntas Copyright © 2012 BSI. All rights reserved. Noviembre 2013 Gestión de la Seguridad en TIC 20
  21. 21. Contáctanos BSI Group México www.bsigroup.com.mx informacion.msmexico@bsigroup.com Tel. 01 800 044 0274 +52 (55) 5241 1370 Copyright © 2012 BSI. All rights reserved. Noviembre 2013 Gestión de la Seguridad en TIC 21
  22. 22. Noviembre 2013 Gestión de la Seguridad en TIC

×