Post on 05-Jul-2015
ACELERAR PARA SER MÁS LÍDERES
Caso Práctico:Proyecto de Certificación ISO 27001
21 Junio 2.006
Telefónica Empresas Servicios desde la RED – Servicios de Seguridad Gestionada
2Telefónica Empresas Servicios desde la RED – Servicios de Seguridad Gestionada
ACELERAR PARASER MÁS LÍDERES
01 La Problemática …
02 ¿Qué es un Sistema de Gestión?
03 ¿Qué es un SGSI?
04 ¿Por qué un SGSI?
05 ¿Qué es la Norma ISO/IEC 27.001?
06 Motivación y Compromiso de Telefónica Soluciones
07 Metodología y Ciclo de Implantación de un SGSI
08 El Proyecto
09 Recomendaciones
10 El Compromiso de Telefónica Soluciones
11 Alcance del SGSI
Índice
3Telefónica Empresas Servicios desde la RED – Servicios de Seguridad Gestionada
ACELERAR PARASER MÁS LÍDERES
La Problemática …
¿Cómo “medir” el nivel de riesgo “soportado” por mi organización? ¿Está dentro de los niveles “aceptables”?¿En qué áreas (activos) existen “mayores” oportunidades de mejora?
A la hora de contratar un servicio ¿cómo “medir” qué Proveedor cuenta con una mejor gestión de la seguridad de la información? ¿Es “compatible” con mi gestión de la seguridad?
Los problemas de la Seguridad de la Información rara vez se centran en aspectos de carácter técnico exclusivamente, sino de gestión: “Cómo alinear la tecnología con los objetivos de la organización”
01
4Telefónica Empresas Servicios desde la RED – Servicios de Seguridad Gestionada
ACELERAR PARASER MÁS LÍDERES
¿Qué es un Sistema de Gestión?
Un sistema que:
— Establece e Implanta unos procesos que permiten a una organización realizar un producto/servicio conforme a unas especificaciones dadas
— Mide y Evalúa los resultados obtenidos frente a los objetivos marcados
— Incorpora un proceso de revisión para asegurar que los problemas que puedan surgir se detectan y se corrigen, y que permite identificar oportunidades de mejora– UNE-EN ISO 9001:2000 Sistemas de Gestión de la Calidad: Requisitos
– UNE-EN ISO 14001:2004, Sistemas de Gestión Medioambiental: Especificaciones y directrices para su utilización
– …
02
5Telefónica Empresas Servicios desde la RED – Servicios de Seguridad Gestionada
ACELERAR PARASER MÁS LÍDERES
¿Qué es un Sistema de Gestión de Seguridad de la Información (SGSI)?
Un SGSI es un sistema de gestión que comprende la política, la estructura organizativa, los procedimientos, los procesos y los recursos necesarios para implantar la gestión de la seguridad de la informaciónSe puede implantar un SGSI atendiendo a múltiples criterios y estándares, entre los que destacan:— BS 7799-2:2002— UNE 71502:2004— ISO/IEC 27.001
Estas normas se basan en el código de buenas prácticas y objetivos de control ISO 17799Por seguridad de la información, ISO 17799 se centra en la preservación de las características de confidencialidad, integridad y disponibilidad de la misma. Adicionalmente, pueden considerarse otras propiedades, como autenticación, no repudio, trazabilidad, etc.
03
6Telefónica Empresas Servicios desde la RED – Servicios de Seguridad Gestionada
ACELERAR PARASER MÁS LÍDERES
¿Por qué un SGSI?
El hecho de implantar un SGSI no prueba que una organización sea 100 % segura. La seguridad completa no existe. No obstante, la adopción de un SGSI proporciona innegablemente ventajas:
Aspecto organizaciona
l
Compromiso: el registro de las actividades permite garantizar y demostrar la eficacia de los esfuerzos desarrollados para asegurar la organización en todos sus niveles y probar la diligencia razonable de sus administradores.
Aspectolegal
Conformidad con requisitos legales: el registro permite demostrar que la organización observa todas las leyes y normativas aplicables al alcance.
Aspecto funcional
Gestión de los riesgos: obtención de un mejor conocimiento de los sistemas de información, sus debilidades y los medios de protección. Garantiza también una mejor disponibilidad de los materiales y datos.
Aspecto comercial
Credibilidad y confianza: los socios, los accionistas y los clientes se tranquilizan al constatar la importancia que la organización concede a la protección de la información. Una certificación también puede brindar una diferenciación sobre la competencia y en el mercado. Algunas licitaciones ya comienzan a pedir un sistema de gestión certificado.
Aspecto financiero
Reducción de los costes vinculados a los incidentes y posibilidad de disminución de las primas de seguro.
Aspecto humano
Mejora la sensibilización del personal hacia la seguridad y a sus responsabilidades en la organización.
04
7Telefónica Empresas Servicios desde la RED – Servicios de Seguridad Gestionada
ACELERAR PARASER MÁS LÍDERES
¿Qué es la Norma ISO/IEC 27.001?
La norma “ISO/IEC 27001:2005 – Information Technology- Security techniques - Information Security ManagementSystems-Requirements”, es la evolución certificable del código de buenas prácticas ISO 17799 (Futura ISO 27.002)¿Qué aporta la certificación ISO 27001?— La certificación ISO 27001 avala la adecuada implantación,
gestión y operación de todo lo relacionado con la implantación de un SGSI, siendo la norma más completa que existe en lo relativo a la implantación de controles, métricas e indicadores que permiten establecer un marco adecuado de gestión de la seguridad de la información para las organizaciones.
¿Qué relación tiene con la BS7799? sustituye a la BS 7799- 2: 2002. Los Certificados BS 7799-2 tendrán que adaptarse a los requisitos la norma ISO 27.001.Integración con otros Sistemas de Gestión— Entre las ventajas que ofrece, al ser un estándar ISO, se
encuentran las facilidades que ofrece de integración con otros sistemas de gestión vigentes en la empresa, por ejemplo ISO 9001 e ISO 14001.
05
8Telefónica Empresas Servicios desde la RED – Servicios de Seguridad Gestionada
ACELERAR PARASER MÁS LÍDERES
Motivación de Telefónica Soluciones para la Certificación
Formalizar y acreditar una realidad: la gestión de la seguridad del CDG de Tres Cantos
Gestionar el riesgo de la manera más eficiente
Ofrecer a nuestros clientes una base sobre la que éstos puedan certificar sus servicios
Ser pioneros en la adopción de estándares de seguridad
Ofrecer una medida contrastable en la gestión de la seguridad
Proceso de mejora continua
06
9Telefónica Empresas Servicios desde la RED – Servicios de Seguridad Gestionada
ACELERAR PARASER MÁS LÍDERES
Metodología y Ciclo de Implantación de un SGSI
Establecer el SGSI
Monitorizar y Revisar el SGSI
Implantar y Operar el SGSI
Mantener y Mejorar el SGSI
Planificar
HacerActuar
Comprobar
•Definir el alcance del SGSI•Definir la política del SGSI•Identificar los riesgos•Gestionar los riesgos•Seleccionar los controles ISO 17799:2005
•Desarrollar procedimientos de monitorización•Revisar regularmente el SGSI•Revisar los niveles de riesgo•Auditar internamente el SGSI
•Definir e implantar plan de gestión de riesgos•Implantar controlesseleccionados y susindicadores•Implantar el Sistema de Gestión
• Implantar las mejoras•Adoptar acciones preventivas y correctivas•Comunicar acciones y resultados•Verificar que las mejoras cumplen su objetivo
07
10Telefónica Empresas Servicios desde la RED – Servicios de Seguridad Gestionada
ACELERAR PARASER MÁS LÍDERES
El Proyecto08
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 321 Planificación y estudio del Proyecto2 Formación SGSIs3 Análisis y Gestión de Riesgos4 Auditoría previa5 Plan de Gestión del Riesgo - Selección de los Controles6 Desarrollo e Implantación del SGSI7 Auditoría Interna8 Implantar Plan de Acciones Correctivas9 Auditoría de Certificación10 Certificado
Tarea# Febrero Marzo Abril MayoOctubre Noviembre Diciembre Enero
12/5/2006
13-14/3/2006
20-21/4/2006
El proyecto completo ha durado unos 7 meses, con una dedicación directa de 3 consultores, a parte de la dedicación a tiempo parcial de las áreas afectadas por el alcance
11Telefónica Empresas Servicios desde la RED – Servicios de Seguridad Gestionada
ACELERAR PARASER MÁS LÍDERES
Recomendaciones
Contar con el apoyo de la Alta Dirección
Concienciación (formación, campañas informativas, etc.) y participación de todos los empleados
Acotar bien el alcance, que afecte a pocas personas/procesos (críticos). Es más sencillo crecer de un “núcleo certificado”, que certificar el todo desde cero
Preferible enfoque “Práctico” frente a “Perfeccionista”: Adaptar la Norma a la Empresa, no la Empresa a la Norma
Trabajar con un objetivo (fecha) definido de Certificación
09
12Telefónica Empresas Servicios desde la RED – Servicios de Seguridad Gestionada
ACELERAR PARASER MÁS LÍDERES
El Compromiso de Telefónica Soluciones
Hemos obtenido el certificado ISO 27.001, por la entidad de certificación Applus+, con fecha 12 de mayo de 2006
Somos la primera empresa española certificada en la Norma ISO 27.001
Estamos en proceso de certificar otro SGSI - portal del empleado (RRHH)
Ampliaremos la certificación al resto de CDG de Telefónica Soluciones, y al resto de servicios prestados
Estamos trabajando para obtener la certificación ISO 20.000 (ITIL, BS 15.000)
10
13Telefónica Empresas Servicios desde la RED – Servicios de Seguridad Gestionada
ACELERAR PARASER MÁS LÍDERES
Alcance del SGSI
“Los Sistemas de Gestión de la Seguridad de la Información relativos a las actividades de control, monitorización y mantenimiento de las infraestructuras e instalaciones generales, necesarios para la adecuada prestación de servicios a clientes, así como de la información derivada del funcionamiento de los mismos, del Centro de Datos Gestionado de Telefónica Soluciones, situado en la Avda. de los Artesanos 26, en Tres Cantos, Madrid”
11
14Telefónica Empresas Servicios desde la RED – Servicios de Seguridad Gestionada
ACELERAR PARASER MÁS LÍDERES
Suministro eléctrico
Protección contra incendios
Seguridad
Climatización
Gestión 24x7
Suministro eléctricoSuministro eléctrico
Protección contra incendios
Seguridad
Climatización
Gestión 24x7