MÉXICO COSTA RICA PANAMÁ COLOMBIA ECUADOR BRASIL PERÚ URUGUAY CHILE ARGENTINA Implementación efectiva de un SGSI ISO 27001. Rodrigo Baldecchi Q. Gerente Corporativo de Calidad 04-SEP-14 ÍNDICE 1. Encuadre general. 2. La intención y el control. 3. Alcance. 4. Roadmap. 5. Implementación. 6. Política de SI. 7. Organización. 8. Riesgo. 9. Matriz SOA. 10. Incidentes de SI. 11. Plan de Continuidad del negocio. 12. Medición y mejora. 13. Cambio de versión de la norma. 2 2 www.sonda.com 14. Preguntas. Presentación ISO 27001 en congreso CIGRAS Encuadre general La información es un activo esencial y es decisiva para la viabilidad de una organización. Adopta diferentes formas, impresa, escrita en papel, digital, transmitida por correo, mostrada en videos o hablada en conversaciones. Debido a que está disponible en ambientes cada vez más interconectados, está expuesta a amenazas y vulnerabilidades. La seguridad de la información es la protección de la información contra una amplia gama de amenazas; para minimizar los daños, ampliar las oportunidades del negocio, maximizar el retorno de las inversiones y asegurar la continuidad del negocio. Se va logrando mediante la implementación de un conjunto adecuado de políticas, procesos, procedimientos, organización, controles, hardware y software y, lo más importante, mediante comportamientos éticos de las personas. 3 3 www.sonda.com Presentación ISO 27001 en congreso CIGRAS La intención y el control El aumento del control sobre las actividades de las personas. ¿Es posible controlar las intenciones de las personas? Por lo tanto, se requiere ir más lejos… 4 4 www.sonda.com Presentación ISO 27001 en congreso CIGRAS Sistemas de gestión Para ISO (International Organization for Standardization) un sistema de gestión queda definido por un proceso de 4 etapas, creado por Walter Andrew Shewhart (1891 – 1967) y popularizado por William Edwards Deming (1900 – 1993), Planificar (Plan), Implementar (Do), Medir (Check) y Mejorar (Act). Planificar Implementar Medir Mejorar 5 5 www.sonda.com Presentación ISO 27001 en congreso CIGRAS Conceptos generales de un SGSI ISO 27001 es un Sistema de Gestión de la Seguridad de la Información (SGSI). La seguridad de la información queda definida por tres atributos: a) Confidencialidad; b) Integridad; c) Disponibilidad. La seguridad de la información (SI) es la protección de la información contra una amplia gama de amenazas respecto a: i) Minimizar daños; ii) Oportunidades del negocio; iii) Retorno de la inversión; iv) Continuidad del negocio; v) Cultura ética. El SGSI garantiza la SI mediante una estructura de buenas prácticas, definidas por: a) Gestión de riesgos; b) Políticas; c) Procesos; d) Procedimientos; e) Controles; f) Revisiones; g) Mejoras. 6 6 www.sonda.com Presentación ISO 27001 en congreso CIGRAS Conceptos básicos de SI La Seguridad de la Información consiste en mantener: Confidencialidad: Información disponible exclusivamente a personas autorizadas. Integridad: Mantenimiento de la exactitud y validez de la información, protegiéndola de modificaciones o alteraciones no autorizadas. Contra la integridad la información puede parecer manipulada, corrupta o incompleta. Disponibilidad: Acceso y utilización de los servicios sólo y en el momento de ser solicitado por una persona autorizada. Seguridad de la información Confidencialidad 7 www.sonda.com Integridad Disponibilidad Presentación ISO 27001 en congreso CIGRAS Alcance Por ejemplo, el alcance del SGSI queda cubierto por los procesos de las siguientes áreas: Facility • Espacio físico; energía eléctrica; aire acondicionado; protección contra incendios; accesos… Administración • Monitoreo; accesos lógicos; bases de datos; aplicativos… Explotación/Respaldo • Mallas de procesos; almacenamiento de información… Comunicaciones • Redes de datos; seguridad lógica; monitoreo equipos de comunicaciones; enlaces… SAP • Administración de sistemas SAP. 8 8 www.sonda.com Presentación ISO 27001 en congreso CIGRAS Roadmap ETAPA I Documentación ETAPA II Implementación Capacitación formal en el SGSI Difundir Documentar requisitos normativos Capacitar Publicar documentación del SGSI Marzo - Mayo ETAPA III Análisis crítico ETAPA IV Certificación Auditorías Internas Precertificación Mejoras Certificación Implementar Septiembre Octubre Junio - Agosto Noviembre 2014 9 9 www.sonda.com Presentación ISO 27001 en congreso CIGRAS Implementación Organización Gap Activos Gap Comunicac iones Gap SAP Calidad Gap Política Explotació n/Respaldo Calidad Requisitos Administra ción Calidad Facility Calidad ISO 27001 Servicios de Data Center & Cloud Calidad Calidad Gap Cumplimiento Oficial de Seguridad 10 www.sonda.com Gap Calidad Gap Calidad Gap Gap Calidad … Gap Calidad … Calidad RRHH (Gap) (Gap) (Gap) (Gap) (Gap) Responsable Responsable Responsable Responsable Responsable 10 Presentación ISO 27001 en congreso CIGRAS Matriz de responsabilidades Áreas Rol Nombre Responsabilidades Calidad Oficial de seguridad de SONDA Marcelo Aravena M. 1.- Hacer el gap análisis. Es decir, comparar, mediante entrevistas a los roles elegidos, lo que actualmente se hace en las áreas del alcance, respecto a lo que se debe hacer, según ISO 27001. 2.- Garantizar que los requisitos de la norma ISO 27001, en función del gap análisis, queden correctamente implementados en las áreas dentro del alcance. Se preocupa del ¿qué se debe hacer? 3.- Elaborar la documentación del SGSI. 4.- Dedicación prioritaria a este proyecto. 5.- En régimen, es el responsables de auditar el SGSI, de las Revisiones Gerenciales, del CSI y de la relación con el organismo de certificación externo. G. Servicios de Data Center Gerente de área Sergio Rademacher L. 1.- Definir el alcance. Es decir, las áreas y los sistemas. 2.- Aprobar la documentación del SGSI. Seguridad Oficial de Seguridad Data Center Jacob Delgado S. 1.- Definir el ¿Cómo? Se implementará los procedimientos del SGSI. 2.- En régimen, debe asegurar el cumplimiento del modelo. Es decir, cuida que se haga lo que está declarado en los procedimientos. 11 11 www.sonda.com Presentación ISO 27001 en congreso CIGRAS Matriz de responsabilidades Áreas Facility Administración Rol Nombre Jefe Data Center Quilicura Miguel Soto Jefe Data Center Teatinos y Santa Isabel José M. Arriagada Supervisor de Base de Datos Freddy Espinoza Supervisor de administración Unix Tomás Jiménez Supervisor de administración Microsoft Cristián Leiva Supervisor de sistemas de virtualización. Richard Cáceres Responsabilidades Entregan al OSI de Calidad la información y la evidencia de lo que actualmente se hace, de tal manera de determinar el gap análisis. 12 12 www.sonda.com Presentación ISO 27001 en congreso CIGRAS Definición de política 13 13 www.sonda.com Presentación ISO 27001 en congreso CIGRAS Política de seguridad de la información Política general de SI. Política de SI por dominio. 14 14 www.sonda.com Presentación ISO 27001 en congreso CIGRAS Organización Comité de seguridad de la Información (CSI) (A 6.1.2 ó A 6.1.3) “Se deben mantener los contactos apropiados con las autoridades pertinentes.” Deben estar representadas todas las áreas de la empresa. G. General; G. Negocios; G. Logística; G. Personas; G. Contraloría; D. Legal; G. Calidad; OSI. Oficial de seguridad de la información. Área de calidad. Auditores internos en calidad y seguridad de la información. Revisiones Gerenciales Políticas Procesos y procedimientos 15 15 www.sonda.com Presentación ISO 27001 en congreso CIGRAS Riesgo operacional ¿Qué es el riesgo operacional? El Comité de Basilea II lo define como: “el riesgo de pérdidas debido a la inadecuación o a fallas en los procesos, personal y sistemas internos o por causa de eventos externos” ¿Qué es la gestión de riesgo operacional? Más allá de la definición de riesgo operacional, lo importante es contar con un proceso de gestión de riesgos operativos o riesgos operacionales. Este proceso de riesgo operacional es el que debería garantizar la buena gestión de los riesgos según los estándares internacionales. Según el Comité de Basilea II, se entiende por “gestión” de riesgo operacional al proceso de “identificación, evaluación, seguimiento y control” del riesgo operacional. Conclusión: La “gestión de riesgo" es un proceso esencial en la empresa. 16 16 www.sonda.com Presentación ISO 27001 en congreso CIGRAS Gestión de riesgo - Metodología Productos o servicios Procesos - Activos Amenazas Vulnerabilidades Probabilidad de ocurrencia Impacto Nivel de riesgo > 2 Tratamiento del riesgo • • • • Mitigar Aceptar Transferir Eliminar Proyecto Nuevo nivel de riesgo ≤ 2 Medición de la eficacia 17 www.sonda.com IMPACTO Matriz de Riesgo Muy Alto 3 3 4 5 5 Alto 3 3 3 4 5 Moderado 2 3 3 3 4 Bajo 1 2 3 3 3 Mínimo 1 1 2 3 3 Probable Muy probable Extremada mente probable Extremada Muy mente improbable improbable PROBABILIDAD 17 Presentación ISO 27001 en congreso CIGRAS Gestión de riesgo - Evolución (#) riesgos aceptados 18 www.sonda.com Presentación ISO 27001 en congreso CIGRAS Matriz SOA Declaración de aplicabilidad (SOA: Statement of Applicability) Se construye una tabla con el dominio, control, justificación de la exclusión, documento. 19 19 www.sonda.com Presentación ISO 27001 en congreso CIGRAS Incidentes de Seguridad de la Información Definir cuáles serán tratados. Por ejemplo, los incidentes mayores. (Como se trata de un tema de cambio cultural, la recomendación es ir desde lo simple a lo complejo.) Procedimiento de incidentes de SI. Tratamiento. 20 20 www.sonda.com Presentación ISO 27001 en congreso CIGRAS Plan de continuidad del negocio Alcance. BIA. Gestión de riesgo. Estrategias de continuidad. Plan de Continuidad. Pruebas. Mejoras. 21 21 www.sonda.com Presentación ISO 27001 en congreso CIGRAS Auditorías internas Preparación de auditores. Calendario. Ejecución del calendario. Tratamiento de hallazgos. Mejoras. SGSI ISO 27001 PROGRAMA DE AUDITORÍAS AÑO 2014 FACILITIES Auditorías Internas Revisión Gerencial Auditoría de Pre-certificación Auditoría de Vigilancia Auditoría de re-certificación AI RG AP AV AR Ger. Datacenter/Ger. Calidad Aprobado por Fecha Realizada Programada No realizada 1-mar-14 Indicador general Enero Requisitos Normativos 06 4 Sistema de Gestión de Seguridad de la Información 4.1 Requisitos Generales 4.2 Establecer y manejar el SGSI 4.2.1 Establecer el SGSI 4.2.2 Implementar y operar el SGSI 4.2.3 Monitorear y revisar el SGSI 4.2.4 Mantener y mejorar el SGSI 4.3 Requisitos de documentación 4.3.1 General 4.3.2 Control de documentos 4.3.3 Control de registros 13 20 Febrero 27 03 10 17 Marzo 24 03 10 17 Abril 24 14 21 Mayo 28 05 12 19 Junio 26 02 09 16 Julio 23 30 07 14 21 Agosto 28 04 11 18 Septiembre 25 01 08 15 22 Octubre 29 06 13 20 Noviembre 27 03 10 17 Diciembre 31 07 24 01 AI9 RG RG AR AR AI RG AI RG AI9 RG RG AR AR AI RG AI RG AI9 RG RG AR AR AI RG AI RG AI9 RG RG AR AR AI RG AI RG AI9 RG RG AR AR AI RG AI RG AI9 RG RG AR AR AI RG AI RG AI9 RG RG AR AR AI RG AI RG AI9 RG RG AR AR AI RG AI RG AI9 RG RG AR AR AI RG AI RG AI9 RG RG AR AR AI RG AI RG AI9 RG RG AR AR AI RG AI RG AI9 RG RG AR AR AI RG AI RG AI9 RG RG AR AR AI RG AI RG AI9 RG RG AR AR AI RG AI RG AI9 RG RG AR AR AI RG AI RG AI9 RG RG AR AR AI RG AI RG AI9 RG RG AR AR AI RG AI RG AI9 RG RG AR AR AI RG AI RG AI9 RG RG AR AR AI RG AI RG AI9 RG RG AR AR AI RG AI RG AI9 RG RG AR AR AI RG AI RG AI9 RG RG AR AR AI RG AI RG AI9 RG RG AR AR AI RG AI RG AI9 RG RG AR AR AI RG AI RG 08 15 22 29 5 Responsabilidad de la gerencia 5.1 Compromiso de la gerencia 5.2 Gestión de recursos 5.2.1 Provisión de recursos 5.2.2 Capacitación, conocimiento y capacidad 6 Auditorías Internas SGSI Procedimiento de auditorías internas Plan de auditorías internas Tratamiento de no-conformidades 7 Revisión Gerencial 7.1 General 7.2 Insumo de la revisión 7.3 Resultado de la revisión 8 Mejoramiento del SGSI 8.1 Mejoramiento continuo 8.2 Acción correctiva 8.3 Acción preventiva 22 9 Objetivos de control y controles Anexo A de la norma 22 www.sonda.com Presentación ISO 27001 en congreso CIGRAS Revisiones gerenciales La alta dirección debe revisar el SGSI, según la planificación definida, según conveniencia, suficiencia y efectividad. Estado de las acciones, en función de las RG anteriores. Los cambios internos y externos relevantes para el SGSI. Desempeño de: NC y acciones correctivas. Mediciones e indicadores. Resultado de auditorías internas y externas. Cumplimiento de los objetivos de la SI. Comentarios de partes interesadas. Resultado de la evaluación y tratamiento de riesgo. Oportunidades para la mejora continua. Acta que evidencie las acciones y los acuerdos de la RG. 23 23 www.sonda.com Presentación ISO 27001 en congreso CIGRAS El punto de partida de la seguridad de la información Un cierto número de controles puede ser considerado un buen punto de partida para implementar la seguridad de la información. Estos están basados en requisitos legales esenciales o que se consideren práctica habitual de la seguridad de la información. Protección de los datos y la privacidad de la información personal. Protección de los registros de la información. Derechos de la propiedad intelectual. Documentación de la política de seguridad de la información. Asignación de responsabilidades. Concienciación, formación y capacitación en seguridad de la información. Vulnerabilidad técnica. Gestión de incidentes de seguridad. Gestión de continuidad del negocio. 24 www.sonda.com Presentación ISO 27001 en congreso CIGRAS Recomendaciones ¿Cómo implementar buenas prácticas? Diferencia entre el “qué se debe hacer” y el “cómo se hace” Establecer acuerdos. El rol de las personas Actitudes Aptitudes Los ámbitos Predisponen (para bien o para mal) Relacionan y mezclan niveles. Que sean armónicos y no disonantes… Los procesos Procedimientos Las relaciones entre los procesos La implementación 25 25 www.sonda.com Presentación ISO 27001 en congreso CIGRAS Cambio de versión de la norma ISO 27001 ISO 27001:2005 ISO 27001:2013 8 puntos clásicos. Anexo SL 11 dominios 14 dominios 133 controles 113 controles Notas Garantizar la coherencia entre las futuras y actuales normas de sistemas de gestión. Favorecer la integración de sistemas de gestión. Facilitar a los usuarios la comprensión y entendimiento de las normas de gestión. Las principales modificaciones se ven reflejadas en la estructura y el contenido de los controles que conforman el Anexo “A”, todo como resultado de un proceso de fusión, exclusión e incorporación de nuevos controles de seguridad. 26 26 www.sonda.com Presentación ISO 27001 en congreso CIGRAS Estructura del nuevo estándar 27 27 www.sonda.com Presentación ISO 27001 en congreso CIGRAS Dominios ISO 27001 ISO 27001:2005 (11 dominios; 133 controles) ISO 27001:2013 (14 dominios; 113 controles) A.5 Política de seguridad. A.5 Política de seguridad. A.6 Organización de la seguridad de la información. A.6 Organización de la seguridad de la información. A.7 Gestión de activos. A.7 Seguridad de los RRHH. A.8 Seguridad de los RRHH. A.8 Gestión de activos. A.9 Seguridad física y del ambiente. A.9 Control de accesos. A.10 Gestión de comunicaciones y operaciones. A.10 Criptografía. A.11 Control de acceso. A.11 Seguridad física y ambiental. A.12 Adquisición, desarrollo y mantenimiento de sistemas de información. A.12 Seguridad en las operaciones. A.13 Gestión de incidentes de seguridad de la información. A.13 Transferencia de información. A.14 Gestión de la continuidad del negocio. A.14 Adquisición de sistemas, desarrollo y mantenimiento. A.15 Cumplimiento. A.15 Relación con proveedores. A.16 Gestión de los incidentes de seguridad. A.17 Continuidad del negocio. A.18 Cumplimiento con requerimientos legales y contractuales. 28 www.sonda.com 28 Presentación ISO 27001 en congreso CIGRAS Documentos del SGSI Requisito Descripción Alcance del SGSI Ámbito de la organización que queda sometido al SGSI, incluyendo una identificación clara de las dependencias, relaciones y límites que existen entre el alcance y aquellas partes que no hayan sido consideradas. Política y objetivos de seguridad Documento de contenido genérico que establece el compromiso de la dirección y el enfoque de la organización en la gestión de la seguridad de la información. Procedimientos y controles del SGSI Aquellos procedimientos que regulan el propio funcionamiento del SGSI. Declaración de aplicabilidad: (SOA -Statement of Applicability) Documento que contiene los objetivos de control y los controles contemplados por el SGSI, basado en los resultados de los procesos de evaluación y tratamiento de riesgos, justificando inclusiones y exclusiones. Metodología de evaluación de riesgos Descripción de la forma como se realizará la evaluación de las amenazas, vulnerabilidades, probabilidades de ocurrencia e impactos en relación a los activos de información dentro del alcance definido, y los criterios de aceptación de riesgo. Informe de evaluación y plan de tratamiento de riesgos Estudio resultante de aplicar la metodología de evaluación anteriormente mencionada a los activos de información de la organización. Plan de tratamiento de los riesgos. Plan de continuidad del negocio Documento que identifica los planes para enfrentar diferentes escenarios. Las pruebas, los análisis del resultado de las pruebas y las acciones de mejoras del plan. Procedimientos documentados Todos los necesarios para asegurar la planificación, operación y control de los procesos de seguridad de la información, así como para la medida de la eficacia de los controles implantados. Registros Evidencia objetiva del funcionamiento del SGSI. 29 29 www.sonda.com Presentación ISO 27001 en congreso CIGRAS Tel (56-2) 657 50 00 Fax (56-2) 657 54 10 Teatinos 500 / Santiago / CHILE www.SONDA.com Rodrigo Baldecchi [email protected] FIN 30 www.sonda.com 30 Presentación ISO 27001 en congreso CIGRAS