5. Eurohelp
Actividad Seguridad
• Consultoría Seguridad de la Información:
• LOPD.
• ENS.
• ISO 27001.
• LSSICE-LPI.
• Desarrollo seguro (Security by Design):
• Productos (HDIV/ hdiv.org, logLOPD, MySIGN etc).
5
6. Eurohelp
Otras Actividades
• Desarrollo de software a medida:
• Especializada en entornos java web.
• Otros entornos: NET, PHP, COBOL.
• Consultoría:
• Definición de arquitecturas o frameworks.
6
8. ¿Qué es un SGSI?
Un SGSI es un Sistema de Gestión
Fundamentado en UNE-ISO/IEC 27001:2007 (certificable).
ISO, basada en el ciclo de mejora continua PDCA.
Para Gestionar Riesgos de Seguridad.
Un SGSI basado en ISO 27001 se puede integrar con
SGC (ISO 9001) y SGMA (ISO 14001).
Se suma ISO 27002 (no certificable), conjunto de
controles de seguridad de la información.
8
9. ¿Qué es un SGSI?
Seguridad Informática # Seguridad de la Información
De manera errónea se utilizan estos dos conceptos indistintamente, pero son
totalmente diferentes:
La Seguridad Informática está orientado
principalmente hacia los sistemas de TI, es decir,
intenta solventar aspectos técnicos.
La Seguridad de la Información no se limita
únicamente a los sistemas de TI, sino que también
engloba la seguridad física, operacional y
organizacional del sistema de información.
9
10. ¿Qué es un SGSI?
Además del Sistema de Gestión, incorpora controles
La norma ISO 27002 desarrolla una serie de controles que se pueden aplicar
para mitigar los riesgos y que se agrupan en 11 objetivos de control:
10
11. ¿Qué es un SGSI?
Información no es sinónimo de Datos Personales
• Implantar un SGSI no es lo mismo que implantar la LOPD.
• Los cumplimientos legales (LOPD entre otros) forman parte de los
objetivos de control de la norma:
11
13. Implantar un SGSI
Comprender la norma aplicable
ISO/IEC 27001 - Requisitos implantación del
SGSI. La más importante (certificale).
ISO/IEC 27002 - Código de buenas prácticas
(no certificable).
ISO/IEC 27003 - Directrices para un SGSI.
ISO/IEC 27004 - Métricas para un SGSI.
ISO/IEC 27005 - Gestión de Riesgos.
GUÍAS. Ejemplo ISO/IEC 27799:2008 - Guía para implementar
ISO/IEC 27002 en la industria de la salud.
13
14. Implantar un SGSI
Determinar el alcance
Procesos externos a la empresa (servicios contratados)
Procesos de la empresa fuera del alcance
Alcance del
SGSI
Proceso
de apoyo
Acuerdo de
Acuerdo de Servicio Servicio Colaboración
externo
14
15. Implantar un SGSI
Planificar el proyecto
Análisis de Software de
Vulnerabilidades gestión
Técnicas
Análisis de Plan de Implantación
Riesgos Tratamiento SGSI y Auditoría
de Riesgos Controles
Cumplimiento
de la LOPD
15
16. Implantar un SGSI
Elementos básicos del SGSI
Confidencialidad Amenazas
Activos
ISO 27005 Metodología Integridad Vulnerabilidades
Análisis de Riesgos
Disponibilidad Controles
ISO 27001
Sistema de Gestión
ISO 27002
Controles de Seguridad
16
17. Implantar un SGSI
Analizar y Gestionar los Riesgos
Confidencialidad Amenazas
ISO 27005 Metodología
Activos
Integridad Vulnerabilidades
Análisis de Riesgos
Disponibilidad Controles
Metodología sencilla, resultados comparables y reproducibles, revisar el Análisis de
Riesgos (AR) anualmente.
Trazabilidad entre resultados del AR y los controles aplicados mitigando riesgos.
Implicar a la Dirección de la organización en la valoración de sus activos.
Ayudarse de alguna herramienta informática que ayude en la revisión del AR.
17
18. Implantar un SGSI
Analizar y Gestionar los Riesgos
Activos:
Clasificar (físicos, información, software, personas, servicios). Establecer dependencias.
Establecer criterios de agrupación. Ajustar valoraciones.
Valoración C-I-D por propietarios.
18
19. Implantar un SGSI
Analizar y Gestionar los Riesgos
Amenazas y vulnerabilidades.
Establecer las relaciones entre
los tipos de activos, las
amenazas que les afectan, las
vulnerabilidades que pueden
hacer presentes a las amenazas
y los controles que mitigan
dichas amenazas.
19
20. Implantar un SGSI
Analizar y Gestionar los Riesgos
Amenazas y vulnerabilidades: para cada activo o grupo de activos.
Valorar la probabilidad de existencia de la amenaza.
Valorar cada vulnerabilidad frente a dicha amenaza.
Tener en cuenta la existencia de controles ya implantados
(formalmente, documentados, sistemáticos, auditados o no).
20
21. Implantar un SGSI
Analizar y Gestionar los Riesgos
Si existen otros sistemas de gestión ya
implantados (ISO 9001, ISO 14001), prever la
integración de desde un principio.
Evitar duplicidades.
Integrar la documentación.
Establecer mecánicas de gestión de la documentación (workflow de
aprobación de documentos).
Si es posible, ayudarse de alguna herramienta informática que
ayude al registro y análisis de los aspectos básicos de gestión
(menos papel = mayor efectividad).
21
22. Implantar un SGSI
Integrar Sistemas de Gestión y la Documentación
Definir la estructura
documental del sistema
de gestión integrado.
Establecer workflow de
revisión y aprobación
de documentos.
Procurar trazabilidad de
los documentos del
sistema.
22
23. Implantar un SGSI
Implantar Controles
Los controles de la norma se aplican para dar
respuesta a los riesgos detectados.
Es importante la trazabilidad.
Es importante el seguimiento mediante
indicadores.
Los controles (la norma) son los mismos para una Gran empresa que
para una PYME: hay que adaptarlos a la realidad de la empresa.
Todos los controles son aplicables, en general. Las excepciones se
justifican y documentan.
Muchas cosas ya se hacen en la empresa, pero no son sistemáticas,
no se documentan o no se auditan.
23
24. Implantar un SGSI
Implantar Controles
Conocer los controles, su
finalidad, las recomendaciones
de implantación.
Conocer la relación entre control,
vulnerabilidad, amenaza y tipo
de activo (trazabilidad).
Aplicar los controles según los
resultados del AR (Plan de
Tratamiento, Declaración de
Aplicabilidad).
24
25. Implantar un SGSI
Implicación, dedicación, mejora continua
La implantación del SGSI requiere la
implicación de la Dirección.
No es “cosa de los de TI”.
Autorizar recursos y dedicaciones.
Aprobaciones.
La implantación, si se hace con una consultora, puede requerir una
persona con dedicación media de un 10% durante 6-12 meses.
Todos los años se requiere dedicación: es un sistema de mejora
continua.
El objetivo no debe ser obtener el certificado, aunque tiene su
interés estratégico para la empresa.
25
27. Beneficios ISO 27001
¿Por qué ISO 27001?
1. Para mejorar la seguridad de la información en la empresa, garantizando su
continuidad, la confidencialidad y las mejores prácticas de los empleados.
2. Para proyectar a mis clientes la seguridad de trabajar con un proveedor que
dispone de sistemas certificados por un tercero de confianza.
3. Para alcanzar el nivel exigido en los pliegos de la Administración relativos a
servicios TIC, ya que está en relación directa con el Esquema Nacional de
Seguridad que las Administraciones obligatoriamente deben cumplir.
4. Por los beneficios en la gestión de la empresa que genera, estableciendo
procesos y optimizando recursos a través del control de riesgos.
27
29. Propuesta de Proyecto 2012
Eurohelp & Aidcon Consulting
Con EUROHELP & AIDCON CONSULTING como consultoras:
45 empresas implantadas y certificadas, 8 más en proceso (2012).
Software AGGIL® de análisis de riesgos e implantación del SGSI.
Participación de empresas, interesadas en implantar y certificar un SGSI ISO
27001 porque trabajan con la Administración Pública o porque desean
destacar y ser entidades más competitivas .
Proyecto realizado con una aplicación para la gestión del SGSI de la entidad
(Aggil).
29