Este documento describe la importancia de implementar procesos de seguridad de la información en las organizaciones. Brevemente describe los beneficios de la certificación bajo la norma ISO 27001, incluyendo la credibilidad, seguridad para el mercado y cumplimiento de requisitos contractuales y regulatorios. También resalta que la certificación es una inversión segura con retorno garantizado.

1. Información segura. Negocios seguros.
Título: La importancia de los procesos de
seguridad de la información
• Maximiliano M. Canosa
• Partner BSI Argentina – Director Ejecutivo I-Prot

2. 2
Agenda
• Introducción a BSI
• Porque Implementar un Sistema de Gestión
• Introducción a los Sistemas de gestión relacionadas a IT
 Normas Internacionales
 Ventajas e integración de las mismas
• Gestión de Seguridad de la Información - ISO 27001
• Gestión de Servicios de Tecnología de Información – ISO 20000
• Gestión de la Continuidad del Negocio – BS 25999
• Proceso de Certificación
2
2

3. Introducción a
BSI MANAGEMENT SYSTEMS
3
3

4. Contents slide
4
Quien es BSI?
• Fundado en 1901
• Líder global en servicios de negocios
• Clientes en mas de 100 países
• Proveedor de:
 Auditorias independientes, certificación y capacitación en
sistemas de gestión;
 Servicios de certificación, inspección y pruebas de productos;
 Desarrollo, venta y distribución de normas privadas, nacionales e
internacionales;
 Desarrollo de soluciones en sistemas de información;
4
4

5. Contents slide
5
Una Historia de Innovación
Pionero en el desarrollo de:
1979 BS 5750 ISO 9001 (Calidad)
1992 BS 7750 ISO 14001 (Medioambiente)
1995 BS 7799 ISO 27001 (Seguridad de la Información)
1996 BS 8800 OHSAS 18001 (Salud Ocupacional y Seguridad)
2000 BS 8600 ISO 10002 (Satisfacción de Clientes)
2002 BS 15000 ISO/IEC 20000 (Servicios de TI)
Las ultimas normas incluyen:
• BS 25999 – Continuidad del Negocio
• PAS 99 – Gestión Integrada
• BS 8900 – Sustentabilidad
5
5

6. Acreditaciones Nacionales 6
& de Sector
SCC (Canada) HKCAS (Hong Kong) IATF – Automotive
ANAB (USA) JAB (Japan) itSMF
IT Service Management
JIPDEC (Japan)
EMA (Mexico) ENAC (Spain) Information Security
SAI
INMETRO (Brazil) SAC (Singapore) Social Accountability
RvA* (Netherlands) TAF (Taiwan) TGA / VDA (Germany)
Automotive
UKAS* (UK) CNAB (China) Miembro del Independent
International Organization for
KAB (Korea) NABCB (India) Certification (IIOC)
JAS-ANZ (Australia)
6
6

7. Contents slide
7
Portafolio de Normas
Desempeño Sustentabilidad Riesgo
• Calidad ISO 9001 • Medioambiente ISO 14001, • Salud Ocupacional & Seguridad
• Automotriz ISO/TS 16949 EMAS, RC 14001 Industrial OHSAS 18001
• Aeroespacial AS 9100 • Validación & Verificación de • Seguridad de Informacion
• Telecomunicaciones TL 9000 Gases Invernaderos ISO/IEC 27001
• Servicios de TI ISO/IEC 20000 • Mecanismo de Desarrollo Limpio • Seguridad Alimentaría
• Petróleo & Gas ISO TS 29001 CDM - ISO 22000
• Satisfacción de Clientes ISO • Responsabilidad Social SA 8000 - Código HACCP (Holanda)
10002 • Responsabilidad Social - BRC Norma Global
• Gestión Integrada PAS 99 Corporativa - BRC Empaque
• BSI BenchMark • Verificación de Reportes - Codex HACCP
Corporativos • Productos de Consumo
• Desarrollo Sostenible BS 8900 - BRC Productos de Consumo
• Continuidad del Negocio BS
25999
• Dispositivos Médicos ISO 13485
• Esquemas de Auditorias de Segunda Parte
7
7

8. Contents slide
8
Habilitar Organizaciones a
…
Crear ventajas competitivas a través
de la mejora del desempeño
Crear valor a través de practicas de
negocio sostenibles
Minimizar la interrupción a través del
efectivo manejo de riesgos
8
8

9. Sistemas de Gestión
9
9

10. Visión de Proceso:
interno/externo
interno/externo
Proovedor
INPUT OUTPUT
Cliente
dados de dados de
entrada PROCESO saída
Para tenermos sucesso con la utilización de la vision de
procesos, en la area Comercial, tenemos que descobrir:
• las necesidades explícitas de la empresa;
• las necesidades implícitas de la empresa;
• las expectativas del cliente.
10
10

11. Visión de Proceso:
“Un resultado deseado es alcansado mas eficientemente cuando las
actividades y recursos relacionados son gerenciados como uno
proceso."
Incremiento em las ventas
incremiento de la satisfación
otimización de recursos
lucratividade
11
11

12. QUE ÉS MEJORIA CONTÍNUA ?
“És una acción hecha que tiene como resultado exceder aquilo que fue
previamente planeado”
Las Normas Internacionales prescreve la utilización del
concepto de PDCA para la busca da mejoria continuada.
12
12

13. Benefícios de los Procesos
Provee a las lideranzas un meio concreto para el gerenciamento da
Empresa: los INDICADORES DE DESEMPEÑO.
Permite visualizar y acompanãr:
Eficacia de los procesos en atingir sus objectivos;
Níveles de otimizacion de la utilización de los recursos;
Los dados de mercado: quales las soluciones adecuada al
cliente?
Decisiones tomadas con base en factos y dados...
Percepción del grado de satisfacción del cliente
Reconocimiento del mercado
13
13

14. Benefícios de los Procesos
Organiza las Interfaces entre los diferentes departamientos de la
Empresa;
Registro de la Memória Tecnológica em una base simples, objectiva y
por procesos;
Simplifica / facilita la gestion de las mejorias;
Consolida la postura del participante del processo y no del responsável
por actividade;
Desdobra / direcciona los requisitos de los clientes por procesos,
facilitando el gerenciamento;
Direcciona al atendimiento de objectivos (metas mensurábles al longo
del tiempo y com alineamiento bajo la Eficiência Global).
14
14

15. Benefícios de los Procesos
Conocer nuestros puntos fracos y planear las mejorias
Entender puntos fuertes y bien aprovechar el lo dia-a-dia
Buscar identificacion de las oportunidades y planear actuación
focalizada
Mapear las ameaças y perceber las alternativas (atuación preventiva
en relacion al negócio)
Conocimiento del ciclo de vida del producto y estágio en que cada
uno se encuentra
15
15

16. Normas Internacionales
SISTEMA DE GESTIÓN DE
SEGURIDAD DE LA INFORMACIÓN
ISO 27001:2005
16
16

17. Introducción a ISMS Contents slide
1
7
Porque ISO 27001?
• Única norma efectivamente reconocida como
internacional (respaldo de la ISO = International
Organization for Standardization)
• Única norma para Sistemas Gestión de Seguridad de
Información con estructura de certificación independiente
e internacionalmente reconocida;
• Mecanismo de certificación reglamentado;
• Aplicado por miles de Organizaciones.
17
17

18. ISO 27001:2005 – Sistema de Gestión de Seguridad en Información
 El actual sistema de certificación para la Seguridad de Información
fue desarrollado por BSI.
 La norma BSI BS 7799-2:2002 es la única norma certificable con
sistema de acreditación reconocido actualmente.
 En finales de 2005, ISO lanzó la norma ISO 27001 teniendo como
base los requerimientos de la norma BSI.
Posicionamiento BSI:
BSI tiene una participación de 45% de todo el mercado mundial de
certificación en Seguridad de Información.
18
18

19. Ventajas Contents slide
1
9
Porque certificarse?
Porque es una inversión segura y de retorno garantido.
Los beneficios de la implementación de un sistema de gestión
de seguridad de la información son amplios y fueron
presentados anteriormente.
En adición a estos beneficios, la obtención de la certificación
provee:
• Credibilidad
• Seguridad al mercado
• Transparencia
• Maximiza competitividad
19
19

20. Ventajas
Contents slide
2
0
Porque certificarse?
Porque es una inversión segura y de retorno garantido.
• Evita el riesgo de implementación inadecuada, falta de
actualización y mantenimiento débil, consecuentemente:
Promover aplicación de tecnología
Dirección a inversiones efectivas
Maximiza recursos
Promover mejora continua
Promover innovación
• Promover comprometimiento y cambio cultural
• Maximiza el potencial de crecimiento y de acceso a
mercados
20
20

21. Contents slide
2
Ventajas 1
Porque certificarse?
Porque es una inversión segura y de retorno garantido.
• Cumplimiento a requisitos contractuales y reglamentarios
• Un mecanismo reglamentado de evaluación continua, identifica
vulnerabilidades, no conformidades, debilidades, fragilidades,
oportunidades de mejora y fortalezas antes que la empresa sufra con
las consecuencias en la practica
• Evidencia objetiva de la gestión adecuada de los riesgos
relacionados a la seguridad de informacion, tanto para los ejecutivos,
como inversionistas, clientes, etc
21
21

22. Contents slide
2
Proceso de Certificación 2
Cuestionário Pré- Ok SI
Propuesta Acepte Auditoria ? Certificado
“Perfil” Auditoria
NO
Opcional
Auditorias de Auditoria de
Certificado
Mantenimiento Recertificación
Semestrales / 36º. mês
Anuales
22
22

23. Contents slide
2
Aplicabilidad y Sectores Claves 3
• Los siguientes sectores son los que actualmente se
encuentran con mayor grado de atracción e interés en
lograr una certificación:
Bajo Médium Alto
Agricultura y Pesca Educación Aerospacial
Químicos y Fibras Provisión de Energía Finanzas
Construcción Alimentos, bebidas y fumo Trabajos de Salud y Sociales
Servicios de Ingeniería Provisión de Gas Tecnología de Informacion
Equipamientos y maquinas Hoteles y Restaurantes Man. y Transferencia de datos
Empresas de Impresión Empresas de Publicación Combustible Nuclear
Reciclaje Transporte, Almacenamiento Farmacéuticos
y comunicación Transporte,
Construcción Naval Gobierno
Provisión de Agua
Administración Publica
Comercio mayoreo y
menudeo Defensa
23
23

24. ¿A qué estamos expuestos?
24
24

25. SISTEMA DE GESTIÓN DE
SEGURIDAD DE LA INFORMACIÓN
ISO 27001:2005
25
25

26. Introducción a ISMS Contents slide
2
6
Evolución de la ISO 27001
BS ISO/IEC BS 7799-1 ISO/IEC ISO/IEC
BS 7799:1995 17799:2000 17799:2005
27002:2007
1999: UK
BS 7799-1:1999 committee International
decision to committee
submit to Normal revision cycle decision to
ISO Fast- in ISO change number
Revised in UK
track
1995 2000 2005 2007
2004: UK decision
made to submit to
ISO Fast-track
BS 7799-2:1999 ISO/IEC
developed to support 27001:2005
certification
International
committee decision
to change number
BS 7799-2
26
26

27. Introducción a ISMS Contents slide
2
7
Normas de la Serie ISO 27000
BS ISO/IEC 27000 – Definiciones y Vocabulario DIS publicado. Consulta concluida.
BS ISO/IEC 27001 – Sistema de Gestión de Publicada en Octubre del 2005,
Seguridad de Informacion – Requerimientos basada en la norma BS 7799-2
BS ISO/IEC 27002 – Código de Practica para Publicada en 2007, pero idéntica a
Gestión de la Seguridad de Informacion ISO 17799:2005
BS ISO/IEC 27003 – Guía de Implementación 2008/2009. Status no disponible.
BS ISO/IEC 27004 – Métricas y Mediciones CD publicado. Consulta interna en
realización.
BS ISO/IEC 27005 – Gestión de Riesgos de DIS publicado. Consulta concluida.
Seguridad de Informacion Actualmente disponible: BS 7799-3,
publicada en Marzo 2006.
BS ISO/IEC 27006 – Requisitos para Organismos Publicada en Marzo 2007.
que proveen auditoria y certificación en Sistemas de
Gestión de Seguridad de la Informacion
27007…...27011 Reservado para futuros desarrollos
27
27

28. La Norma ISO 27001 Contents slide
2
8
Lo que es?
La norma ISO 27001 fue preparada para proveer un
modelo para:
• establecer,
• implementar,
• operar,
• monitorear,
• analizar,
• mantener y
• mejorar un
Sistema de Gestión de Seguridad de Información.
28
28

29. La Norma ISO 27001 Contents slide
2
9
Definiciones Claves
Integridad
Confidencialidad Disponibilidad
29
29

30. PDCA - IT Service Management
Requerimientos Gestión de Servicios
Resultados del
del Negocio Negocio
Responsabilidades de la Alta Dirección
Requerimientos
Del Cliente Satisfacción del
Cliente
PLAN
Planificar la Gestión
Solicitudes de de Servicios
Cambios de Nuevo/cambiado
Servicios servicio
DO
Implementar
Otros procesos e.j la Gestión ACT
negocios, clientes De Servicios Mejora Otros procesos e.j.
proveedores, Continua negocios, clientes
proveedores,
Mesa de Ayuda CHECK
Monitorear, Satisfacción del
Medir y Equipo y personas
Verificar
Otros equipos e.j.
Seguridad,
Operaciones TI
30
30

31. Controles y Objetivos
Cláusulas del sistema de gestión de seguridad de la información (SGSI) – En
este se define el proceso de administración, cumplimiento y seguimiento del sistema
de gestión de seguridad de la información (SGSI).
El mismo se conforma de 5 Issues con 92 cláusulas.
Objetivos de control – En este se analiza el nivel de cumplimiento que se tiene
sobre los controles recomendados por la Norma ISO 27001.
La norma presenta 11 objetivos de control, 39 objetivos de control y 133
controles.
31
31

32. Contents slide
La Norma ISO 27001 3
2
Estructura – Detalle del “Plan”
Alcance y Limites
Definición del Modelo
Definición de la Identificación de
Definición del de Evaluación de
Alcance y Limites del Riesgos de
Sistema
Política de ISMS
Riesgo
Gestión de Seguridad de la Informacion
Declaración de
Analice y Evaluación de Riesgos
Aplicabilidad
Identificación y Gestión de la
Selección de
evaluación de las aprobación de los
Controles y
opciones de tratamiento riesgos residuales
Objetivos
de riesgos propuestos
Autorización de la Administración para la
implementación y operación del ISMS
32
32

33. La Norma ISO 27001 Contents slide
3
3
Estructura – Cláusulas
Sección 4: Sistema de Gestión de Seguridad de Información
Sección 5: Responsabilidad de la Administración
Sección 6: Auditoria Interna
Sección 7: Revisión Gerencial
Sección 8: Mejora del Sistema
33
33

34. La Norma ISO 27001 Contents slide
3
4
Dominios de la ISO27001:2005
Security policy
Organizing
Compliance Information
Security
Business Continuity
Management Integridad Confidencialidad Asset Management
Información
Information Security Human Resources
Incident Management Security
Disponibilidad
Systems Acquisition, Physical &
Development & Environmental
Maintenance Security
Communications
Access Control & Operations
Management
34
34

35. La Norma ISO 27001 Contents slide
3
5
Evaluación de Riesgos
Gestión del
Riesgo:
Actividades
coordinadas
para
direccionar y
controlar una
Organización
con relación
al riesgo.
35
35

36. Sistema de Gestión de Seguridad
de la Información (SGSI)
Un Sistema de Gestión de la Seguridad de la Información basado
en ISO 27001 está formado por una serie de documentos que
pueden clasificarse en una pirámide de cuatro niveles.
La documentación debe incluir los registros de las decisiones de
la dirección, asegurar que se puedan seguir los indicios de las
decisiones de la dirección y las políticas, así como permitir que
los resultados registrados sean reproducibles.
La documentación de un SGSI deberá incluir:
Documentos de Nivel 1 Documentos de Nivel 2 Documentos de Nivel 3 Documentos de Nivel 4
• Documentos que aseguran • Instrucciones, checklists y • Documentos que
• Alcance del SGSI que se realicen de forma formularios: documentos proporcionan una evidencia
• Política y objetivos de eficaz la planificación, que describen cómo se objetiva del cumplimiento
seguridad operación y control de los realizan las tareas y las de los requisitos del SGSI;
procesos de seguridad de actividades específicas están asociados a
• Metodología de evaluación la información y describen relacionadas con la documentos de los otros
de riesgos cómo medir la efectividad seguridad de la tres niveles como output
de los controles. información. que demuestra que se ha
• Plan de tratamiento del cumplido lo indicado en los
riesgo: mismos.
• Declaración de
aplicabilidad (SOA)
• Procedimientos relativos al
nivel 1
Control de la documentación
36
36

37. Integración
NTP – ISO/IEC 17799:2004
SOX
ISO 20000 / ITIL BS 25999
CERT HIPPA
COBIT
SAS 70 PCI
37
37

38. OTRAS NORMAS RELACIONADAS
38
38

39. 3
9
SISTEMA DE GESTIÓN DE
SERVICIOS DE TI
ISO 20000:2006
39
39

40. Definiciones
Gestión de Servicios TI
La gestión de Servicios TI para soportar una o más áreas de
negocios
ISO/IEC 20000
El primer estándar global que apunta específicamente a gestión
de servicios IT
40
40

41. The Service Management
Process
Service Delivery
Capacity Service Level Management Information Security
Management Management
Service Reporting
Service Continuity Budgeting and
and Availability Accounting for IT
Management Services
Control
Configuration Management
Change Management
Business
Relationship
Release Management Incident Management Management
Problem Management Supplier
Management
Release Resolution Relationship
41
41

42. Beneficios de la Norma
• La implementación provee control, mayor eficiencia y
oportunidades de mejora
• Transformar departamentos enfocados en tecnologías en
unos enfocados en servicios.
• Asegurar que los servicios IT están alineados y satisfacen los
requerimientos de la empresa.
• Mejorar la credibilidad y disponibilidad del sistema.
• Proveer las bases para acordar niveles de servicio y la
habilidad de medir la calidad de los servicios IT.
42
42

43. ISO 20000:2006 – Sistema de Gestión de Servicios de TI
 Debido a mayor necesidad actual y futura de la infraestructura
informática y informaciones que las organizaciones proveen;
 O suceso de las organizaciones depende, cada vez mas, de
servicios de TI con mas calidad y menos costo;
Fuerte interacción con otros aspectos de sistemas de gestión
 Posicionamiento BSI:
- BSI tiene una participación de 42% de todo el mercado
mundial de certificación en ISO20000.
43
43

44. 4
4
GESTIÓN EN LA CONTINUIDAD
DEL NEGOCIO
ISO 25999:2007
44
44

45. Continuidad del Negocio 4
5
Definición
“La gestión de la continuidad del negocio es un proceso
de gestión holístico que identifica amenazas potenciales
a la organización y sus impactos a la operación.
Provee una estructura para mantener la continuidad
(resistencia a ser amenazas) organizacional con la
capacidad para la efectiva respuesta salvaguardando los
intereses de las principales partes interesadas,
reputación, marca y activos de valor”
Fuente: BS 25999-1
45
45

46. Definiciones
• BS 25999-1
Códigos de Prácticas para la Gestión de Continuidad del Negocio (
Parte que substituirá el actual PAS 56).
• BS 25999-2
Especificación para Gestión de Continuidad de Negocio.
( No está siendo certificada por el momento)
46
46

47. Historia
• Publicación de la PAS 56 en 2003
• Demostró que la Gestión de la Continuidad del Negocio
es una disciplina;
• Nuevo comité técnico establecido en 2005 para dar
respuesta a la consulta y desarrollar la BS 25999
• La publicación del borrador de la BS 25999-1 en Agosto
del 2006 para comentarios
• Publicación de la BS 25999-1 “Código de Practica” en
Noviembre del 2006 con amplio acuerdo en lo que
serían las mejores prácticas;
• Retiro de la PAS 56 con la publicación de la BS 25999;
47
47

48. Ciclo de Vida de la Continuidad
del Negocio : P-D-C-A
Understanding
the
organization
Exercising, BCM Determining
maintaining
and Programme BCM
Management Options
reviewing
Developing
and
implementin
g a BCM
response
48
48

49. Gestión de la Continuidad del Negocio 4
9
Qué es?
Mejorar de forma pro-activa la capacidad de recuperación de la
Mejora en recuperación organización contra la interrupción de sus actividades que
Imposibilitarían alcanzar sus objetivos claves.
Recuperar la habilidad Definir un método sistemático para recuperar la
habilidad de proveer productos y servicios críticos
de entregar productos a un nivel acordado dentro de un tiempo definido
y servicios después de la interrupción.
Gestión de la Probar la capacidad para administrar la interrupción
del negocio y proteger la reputación y marca de la
Interrupción del Negocio Organización.
Source: BS 25999-1
49
49

50. BS 25999-1:2006 - 50
Contenido
1. Alcance y Aplicación
2. Términos y Definiciones
3. Gestión de Continuidad del Negocio – Visión General
4. Política de Gestión de Continuidad del Negocio
5. Gestión del Programa de Continuidad del Negocio
50
50

51. BS 25999-1:2006 - 51
Contenido
6. Entendiendo la Organización
7. Determinando Estrategias de Continuidad del Negocio
8. Desarrollo e Implementación de Respuestas a BCM
9. Ejercitando, Manteniendo y Analizando el plan de BCM
10. Fijando el BCM en la Cultura de la Organización
51
51

52. Sinopsis
BS 25999 Códigos de Prácticas para Gestión de Continuidad de Negocio.
 Gerenciamiento de Programa de Continuidad de Negocios
papeles y Responsabilidad
 Entendiendo su negocio y organización en el contexto de BCM
Evaluación de riesgo
Identificando factores críticos.
 Determinando las opciones de su BCM
Monitoreando para minimizar impactos con incidentes
Evaluando sus opciones de estrategia de producto/servicio y opciones
de continuidad para diferentes elementos.
52
52

53. Epilogo
BS 25999 Códigos de Prácticas para Gestión de Continuidad de
Negocio.
 Desarrollando e Implementando el BCP
Plan de gestión de incidentes
Plan de continuidad de negocio
 Realizando ejercicios de BC, mantenimiento, y auditoria.
 Introduciendo el BCM en la cultura organizacional.
53
53

54. Contents slide
5
Muchas Gracias!!! 4
Nombre: Maximiliano M. Canosa
Posición: Lead Auditor ISO 27001 by BSI
Teléfono: (54 911) 6045-9337
Email: Maximiliano.Canosa@bsibrasil.com.br
http://www.bsibrasil.com.br
Web: http://www.i-prot.com
54
54