Post on 18-Oct-2015
transcript
Gobierno de las TICsCalidad y Seguridad en las TICs
AENOR
Carlos Manuel Fernndez.
CISA, CISM
AENOR-Direccin de Desarrollo
Gerente de TI
AGENDA
Introduccin en las TICs.
Teora de Caos- Actividades de AENOR.
MOTOR- Conocimiento.
AENOR
UNE ISO 20000-1. SGSTI.
ISO 15504 (ISO 12207). Factoras de Software.
UNE ISO 27001- SGSI.
Futuro. Conclusiones.
Asociacin privada
Sin nimo de lucro
Constitucin: 1986
Real decreto 2200/95
AENOR Corporacin
AENOR INTERNACIONAL (9 filiales)
AENOR Mxico (10 aos en Mxico DF y Delegaciones)
Introduccin en TICs
AENOR
DF y Delegaciones)
Multisectorial
Normalizacin . UNE-ISO.
Certificacin productos, servicios, sistemas de gestin y personal
Servicios de Formacin
Direccin de Desarrollo (Laboratorio de TICs)
ISO 27002 ISO 27002 ISO 27002 ISO 27002 Gua de controles
ISO 27001 S.G. ISO 27001 S.G. ISO 27001 S.G. ISO 27001 S.G. Seguridad de la
BS25999 (1 y 2)BS25999 (1 y 2)BS25999 (1 y 2)BS25999 (1 y 2)
Gestin de continuidad de
negocio
ISO 15504 ISO 15504 ISO 15504 ISO 15504
IT GovernanceIT GovernanceIT GovernanceIT Governance
Normas con relacin con TICs
TICs
AENOR
ISO 20000ISO 20000ISO 20000ISO 20000----2 2 2 2 Gua de buenas
prcticasISO 19770 ISO 19770 ISO 19770 ISO 19770
SAMISO 20001ISO 20001ISO 20001ISO 20001----1 1 1 1
S.G. STI
Seguridad de la Informacin ISO 15504 ISO 15504 ISO 15504 ISO 15504
SPiCE
ISO 12207 ISO 12207 ISO 12207 ISO 12207 Ciclo de vida de desarrollo de software
TICs
BCM 25999Bussines Continuity Management.
BSI standard
IT GovernanceGobierno de las TIC. Norma Australiana
SPICE ISO 15504SAM
ISO 19770SGSTI
ISO 20000-1
Proyectos Procesos / Servicios
Actividades TICs (1 de 2)(1 de 2)(1 de 2)(1 de 2)
AENOR
SPICE ISO 15504Modelo de Evaluacin, Mejora y Capacidad de Software
ISO 19770Software Asset Management
SGSI ISO 27001
Sistema de Gestin Seguridad de la Informacin
ISO 27002Gua de Controles
ISO 12207Ciclo de Vida de Desarrollo de Software
ISO 20000-1Sistema de Gestin Servicios IT
ISO 20000-2Gua de Buenas Prcticas
Adicionalmente:
Certificacin Accesibilidad TIC Sitios WEB.
Infraestructura CPD
Buenas Prcticas Comercio Electrnico
Software Original
PDCA
SGSTIISO 20000-1
SGSIISO 27001
(Motor)(Motor)(Motor)(Motor)
ISO.. ISO..
GUIA
S
DE
M
E
T
Motor- Conocimiento. (2 de 2)(2 de 2)(2 de 2)(2 de 2)
AENOR
ISO27002ISO 20000-2
(ITIL)
LIBRERAINFRAESTRUCTURA
CPD?
((((Conocimiento)Conocimiento)Conocimiento)Conocimiento) IMPLANTACION
R
I
C
A
S
Informe Penteo (2006): Slo un 21% de las cas gestionan el dpto. de SI con criterios de negocio
31 % gestionan el dpto. de SI slo con criterios tecnolgicos
48 % gestionan con criterios hbridos
Conclusiones: La Direccin de las cas. Tiene una percepcin ms positiva de los CIOs que siguen criterios de Negocio. Les dan el rol de lderes contribuidores
Gestin de las TICs con criterios de Negocio
Calidad en el servicio TICs y de la ingeniera del Software
AENOR
que siguen criterios de Negocio. Les dan el rol de lderes contribuidores de negocio en un 58%
La Gestin de las TICs mejora el posicionamiento del dpto. de SI y del CIO
En un futuro los CIOS ms gestores y menos tecnlogos
(Encuesta a: 85 Directores de TICs, 36 Dir. Generales y 12 Presidentes)
Alcance: Que un proveedor de servicios de TI (CPD) provea servicios gestionados de una calidad aceptable para sus clientes
Se basa: en ITIL es un estndar internacional , que es un conjunto de buenas prcticas en la Gestin del Servicio de TI, desarrollado por la Office of Goverment Comerce (UK)
Beneficios de ISO 20000-ITIL: Maximizar la Calidad del servicio
UNE -ISO 20000 Sistemas de Gestin de Servicios TI
AENOR
Maximizar la Calidad del servicio
Alinear los servicios de TI a las necesidades del negocio
Reducir Costes
Aumentar la satisfaccin del Cliente
Visin clara de la capacidad del departamento de TI
Minimizar el tiempo de ciclo de cambios y mejorar resultados en base a mtricas
Toma de decisiones en base a indicadores de negocio y de TI
ISO 20000-parte 2(Procesos-Gua)
P
A
Planificar la implementacin y prestacin de la Gestin de servicios
Implementar los objetivos y plan de gestin de los servicios
Certificacin SGSTI (ISO 20000-1): MODELO PDCA Plan-Do-Check-Act
AENOR
D
CRevisar plan de gestin de los servicios y requisitos de los serviciosRevisin por Direccin Auditoras Internas, etc.
Mejorar la eficacia y la eficiencia de la prestacin y gestin de los servicios
Adoptar las acciones correctivasAdoptar las acciones preventivas
Manual de SGSTI
Poltica(s), alcance
Nivel 1
Documentacin del SGSTI
AENOR
Procedimientos
Registros
Describe procesos - quin, qu, cundo,)
Describe las tareas y las actividades especficas y cmo se realizan
Proporciona las pruebas objetivas del cumplimiento con las exigencias del SGSTI
Nivel 2
Nivel 3
Nivel 4
Instrucciones de trabajo,listas de comprobacin,
formularios, etc.
Procesos de control
Gestin del nivel de servicio
Informacin del servicio
Gestin de la Seguridad de la Informacin
Elaboracin de presupuestos y contabilidad de los servicios de TI
Gestin de la capacidad
Gestin de la continuidad y disponibilidad del servicio
Procesos de Provisin del Servicio
Alcance de UNE ISO/IEC 20000
AENOR
Gestin de la configuracin Gestin del cambio
Proceso de entrega
Gestin de la entrega
Procesos de resolucin
Gestin del incidente
Gestin del problema
Procesos de relaciones
Gestin de relaciones de negocio
Gestin de suministradores
Fte: ISO / IEC 20000. Gua de Bolsillo. itSMF
Est formada por dos partes bajo el mismo ttulo: Tecnologas de la Informacin Gestin del Servicio UNE-ISO/IEC 20000-1. Parte1: Especificacin
Promueve la adopcin de un marco de procesos de gestin, para una provisin de servicios gestionados que estn en lnea con: las necesidades del negocio
con los requisitos de los clientes
UNE ISO/IEC 20000
AENOR
Motor
UNE-ISO/IEC 20000-2. Parte 2: Cdigo de prcticas Gua y recomendaciones relativas a las buenas prcticas de la Gestin del Servicio
Esta parte debera usarse junto con la parte 1 de la norma ISO/IEC 20000 relativa a las especificaciones
Conocimiento
PR
O
V
E
E
D
O
R
E
S
Probar
CLIENTE(tctico)
Gestin del Account
Gestin del Nivel de servicio
Construir
G
e
s
t
i
n
d
e
S
e
g
u
r
i
d
a
d
Gestin de Continuidad
Gestin de Capacidad
Gestin Financiera
Gestin de Disponibilidad
CMDBGestin de Cambios
USUARIO(operacional)
Diseo y Gestin del Servicio
E
n
t
r
e
g
a
d
e
S
e
r
v
i
c
i
o
s
Peticin Cambio RfC
IPW : Workflow de implementacin de procesos
AENOR
P
R
O
V
E
E
D
O
R
E
S
Fuente: IPW . Quint Wellington Redwood
Gestin de Entrega
Produccin
Gestin de Problemas
Gestin de Incidencias
Gestin de Configuracin
S
e
r
v
i
c
e
D
e
s
k
SERVICIO
S
e
r
v
i
c
i
o
s
d
e
S
o
p
o
r
t
e
ISO/IEC 15504-SPCEFactoras de Software
Estndar Internacional para Evaluar Procesos de Software
Objetivo: Procesos de Mejora Continuada
AENOR
Procesos de Mejora Continuada
Determinacin de la Capacidad (madurez en CMMI)
mbito: Los procesos incluyen adquisicin, proveedor, desarrollo, operacin, mantenimiento, soporte y organizacin. (ISO 12207)
El modelo de evaluacin
Dos dimensiones de modelo para procesos y capacidad de procesos Dimensin de Procesos
Categora de Procesos
Procesos (P1, , Pn) CL5CL5
AENOR
Procesos (P1, , Pn)
Dimensin de la Capacidad
Niveles de Capacidad (CL1, , CL5)
Atributos de Capacidad de Procesos
CL5CL4CL3CL2CL1CL0CL0
ENG.1 ENG.2...ORG.6
CL1CL2CL3CL4CL5
Cada proceso recibe un nivel de capacidadEsto hace referencia a un modelo continuado
ISO/IEC 15504 PRM: modelo procesos de referencia
AdquisicinPreparacin para la adquisicinSeleccin del proveedorAcuerdo contractualMonitorizacin del proveedorAceptacin del cliente
GestinAlineacin de la organizacinGestin de la organizacinGestin de proyectosGestin de la calidadGestin de riesgos Medida
Mejora de ProcesosEstablecimiento de procesosEvaluacin de procesos
SuministroOferta del proveedorEntrega del productoSoporte a la aceptacin del producto
SoporteAseguramiento de la CalidadVerificacinValidacinRevisionesAuditoras Evaluacin de ProductoDocumentacinGestin de la ConfiguracinGestin de la resolucin de problemas Gestin de las peticiones de cambios
AENOR
IngenieraCaptura de requisitosAnlisis de requisitos del sistemaDiseo de la arquitectura del sistemaAnlisis de requisitos de softwareDiseo de softwareConstruccin del softwareIntegracin del softwarePruebas del softwareInstalacin del softwareIntegracin del sistemaPruebas del sistemaMantenimiento de software y de
sistema
Evaluacin de procesosMejora de procesos
Soporte a la aceptacin del producto Gestin de las peticiones de cambios
Recursos e Infraestructura
Gestin de recursos humanosFormacinGestin del conocimientoInfraestructura
ReusoGestin de elementos reusablesGestin del programa de reusoIngeniera de dominio
PRIMARIOS
SOPORTE
ORGANIZACIONALES
OperacinUso operacionalSoporte al cliente
Niveles de Capacidad y Atributos de los Procesos
Nivel 4 PredeciblePA.4.1 Medida del procesoPA.4.2 Control del proceso
Nivel 5 OptimizadoPA.5.1 Innovacin de los procesosPA.5.2 Optimizacin de los procesos
PredecibleEl proceso es definido consistentemente en sus lmites definidos.
OptimizadoEl proceso se mejora continuamente para cumplir los objetivos de negocio relevantes actuales y proyectadas.
AENOR
Nivel 1 RealizadoPA.1.1 Realizacin del proceso
Nivel 2 GestionadoPA.2.1 Gestin de la realizacin PA.2.2 Gestin productos resultantes
Nivel 3 EstablecidoPA.3.1 Definicin de los procesosPA.3.2 Aplicacin del proceso
Nivel 0 Incompleto IncompletoEl proceso no est implementado o falla en alcanzar su propsito.
RealizadoSe implementa el proceso y alcanza los objetivos del proceso.
GestionadoEl proceso es gestionado y los productos resultantes se establecen, controlan y mantienen.
definidos. EstablecidoSe utiliza un proceso definido basado en un proceso estndar.
Calificacin de los Atributos
La capacidad de los atributos de procesos de asigna mediante calificaciones
Los atributos se evalan segn un esquema de 4 tipos de calificaciones:
AENOR
4 tipos de calificaciones: N - No alcanzado 0 - 15%
P - Parcialmente alcanzado >15 - 50%
L - Ampliamente Alcanzado >50 - 85%
F - Completamente Alcanzado >85 - 100%
Niveles de Madurez de una organizacin
Parte 7 de la ISO/IEC 15504: requisitos para Organizational Maturity levels (publicacin final en Octubre 2008)
Pathfinder: Ejemplo internacionalmente
AENOR
Pathfinder: Ejemplo internacionalmente acordado
Organization Maturity levels
Nivel 0 Organizacin- Inmadura
Nivel 1 Organizacin- Bsica
Nivel 2 Organizacin- Gestionada
AENOR
Nivel 3 Organizacin- Efectiva
Nivel 4 Organizacin- Predecible
Nivel 5 Organizacin- Optimizada
Modelo de Madurez de una Organizacin (ejemplo)
AENOR
Conjunto de procesos por nivel: los bsicos y los extendidos (IN en el mbito
de la OU (Organizational Unit))
Modelo de Madurez de una Organizacin-ISO 12207- (ejemplo)
AENOR
Modelo de Madurez de una Organizacin (ejemplo)
AENOR
La certificacin de los Sistemas de Gestin
Seguridad de la
AENOR
Seguridad de la Informacin.
La solucin a los Riesgos
Empresariales
AENOR
Factores que influyen en la Seguridad de los SI:
Actualmente: Nueva York y en los 80s : Mainframe Ciudad de vila. Magerit
Amplio uso de la Tecnologa.
Interconectividad de los sistemas. Sistemas abiertos y distribuidos.
AENOR
y distribuidos.
Cambios muy rpidos en las TICs.
Ataques a Organizaciones. Tema atractivo?.
Factores externos: Legislacin .etc...(Information Security Governance. 2006. IT Governance Institute).
Riesgos Empresariales En el World Economic Forums Annual DAVOS meeting-, SWISS RE
informa de su estudio encuesta a nivel mundial (60 entrevistas a senior executives en : USA, Francia, Alemania, Italia , Japn y Reino Unido-Dic-2005 ).
El riesgo de los Ordenadores-SI- y las TICs, ocupa el primer lugar en 3 pases (Japn, Reino Unido y USA), y en el top three de los otros pases, para sus negocios.
AENOR
pases, para sus negocios.
Como herramienta primordial para mitigar estos riesgos de SI indican el Control Interno Informtico. SWISS RE. SGSI- ISO 27001- y ISO 27002. (Fuente: AENOR- Carlosmf)
Informe de riesgos en las TICs
Uno de cada 5 empleados deja a su familia y amigos usar sus porttiles corporativos para acceder a Internet. (21%)
Uno de cada diez confiesa que baja algn tipo de contenido que no debiera mientras est en el trabajo.
AENOR
contenido que no debiera mientras est en el trabajo. Dos tercios admiten tener conocimientos muy limitados en materia de seguridad.
Un 5% dice que tienen acceso a areas de la red corporativa que no deberan tener.
Fuente: McAffee.
PDCA
SGSITISO 20000-1
SGSIISO 27001
SISTEMAS DE GESTIN DETICs
(Motor)
(Conocimiento)ISO.. ISO..
GUIAS
DE
I
M
E
T
R
AENOR
ISO27001 ISO 20000-2(ITIL)LIBRERA
INFRAESTRUCTURACPD
?
(Conocimiento)I
MPLANTACION
R
I
CA
S
Certificacin de Sistemas de Gestin de la Seguridad de la Informacin-SGSI-
En que consiste?Establecer y reordenar la Seguridad de los Sistemas de
Informacin en concordancia con los PlanesEstratgicos de la Organizacin y con sus Polticas deSeguridad.
AENOR
Un nuevo Ciclo de Mejora Continua: SGSIuna Gestin eficaz de la Seguridad de los SI permite
garantizar:la Confidencialidad,la Integridad yla Disponibilidad de los Sistemas de Informacin.
QU PRESERVAR?Cada organizacin tiene que preservar 3 CARACTERSTICAS
asociadas a la informacin:
DISPONIBILIDAD CONFIDENCIALIDAD
AENO
R
AENOR
DISPONIBILIDAD CONFIDENCIALIDAD
INTEGRIDAD
Asegurar que la informacin es accesible solo para
aquellos autorizados a tener acceso.
Garantizar la exactitud y completitud de la
informacin y los mtodos de su proceso
Asegurar que los usuarios autorizados
tienen acceso cuando lo requieran a la
informacin y sus activos asociados.
DEFINICION DE SISTEMA DE GESTION DE SI
Aquella parteparte deldel sistemasistema generalgeneral dede gestingestin quecomprende la poltica, la estructura organizativa, losprocedimientos, los procesos, y los recursosnecesarios para implantar la gestin de la seguridadde la informacin.
AENOR
de la informacin.
Es la herramienta de que dispone la Direccin paraimplantar las polticas y objetivos de Seguridad de laInformacin.
1 Poltica de Seguridad de Informacin
2 Estructura organizativa de la SI
6 Gestin de comunicaciones y operaciones
7 Control de accesos
ISO IEC 27002
P
A
Definir poltica de seguridad
Establecer alcance del al SGSI
Realizar anlisis de riesgos
Seleccionar los controles
Implantar plan de gestin de riesgos
Implantar el SGSI
Implantar los controles
Certificacin SGSI-UNE ISO 27001MODELO PDCA Plan-Do-Check-Act
AENO
R
AENOR
2 Estructura organizativa de la SI
3 Clasificacin y control de activos
4 Seguridad ligada al personal
5 Seguridad fsica y del entorno
7 Control de accesos
8 Desarrollo y mantenimiento de sistemas
9 Gestin de Incidentes de Seguridad
10. Gestin Continuidad de Negocio-----------------------------------------------------------
11 Conformidad y Cumplimiento legislacin
D
C
Revisar internamente el SGSI
Realizar auditorias internas del SGSI
Adoptar las acciones correctivas
Adoptar las acciones preventivas
S.G.S.I.
Activos de SISistemas de informacin (aplicativos)SoftwareHardware
Anlisis y Gestin de riesgos
R=F(X1,X2,X3,Xn)Integridad (X1)Confidencialidad (X2)Disponibilidad (X )
Riesgo Residual
Activo1-------R1
Activo2-------R2
Procesos
AENOR
HardwareTelecomunicaciones
Personas
Disponibilidad (X3)Amenazas (X4)Vulnerabilidades (X5)Impacto Econmico (X6)XN
AplicandoISO 27002
(Seleccin de Controles)
Objeto yAlcanceEsta norma especifica los requisitos para establecer,implantar, documentar y evaluar un SGSI de acuerdocon la ISO 27002.
NORMA ISO 27001: Especificaciones para los Sistemas de Gestin de la
Seguridad de la Informacin
AENOR
con la ISO 27002.Especifica los requisitos de los controles de seguridadde acuerdo con las necesidades de las organizaciones,independientemente de su tipo, tamao o rea deactividad.
Cada rea o dominio tiene asociados uno o varios objetivos de seguridad
NORMA ISO/IEC 27002: OBJETIVOS Y CONTROLES
Para cada objetivo se definen, a su vez, uno o ms controles de seguridad cuya implantacin debe traducirse en la consecucin del objetivo de seguridad asociado
11 REAS
AENOR133 CONTROLES
11 REAS
39 OBJETIVOS CONTROL
Caracterstica de SGSI
Este Sistema proporciona mecanismos para lasalvaguarda:De los Activos de Informacin.De los Sistemas que los procesan.
AENOR
De los Sistemas que los procesan.En concordancia con las polticas de Seguridady planes estratgicos de la Organizacin.Es la herramienta de que dispone la Direccin para implantar las polticas yobjetivos de Seguridad de la Informacin: integridad, confidencialidad ydisponibilidad.
Factores crticos para el xito Una seguridad orientada al negocio
Implementar la Seguridad en consonancia con la cultura de la empresa
Apoyo visible y compromiso de la Direccin.
Buen entendimiento de los requisitos de seguridad, de la evaluacin y gestin de los riesgos.
Convencer de la necesidad de la seguridad a directivos y
AENOR
Convencer de la necesidad de la seguridad a directivos y empleados.
Proveer formacin y guas sobre polticas y normas a toda la organizacin.
Un sistema de medicin para evaluar el rendimiento de la gestin de la seguridad y sugerir mejoras.
VENTAJAS DE CERTIFICAR LAS ACTIVIDADES DE SI -1/1
Con respecto al Negocio: Integrar la gestin de la seguridad de la informacin con
otras modalidades de gestin empresarial Mejorar la imagen confianza y competitividad
empresarial. La organizacin que desarrolle un SGSI segnla norma, tendr ventajas de reconocimiento por los
AENOR
la norma, tendr ventajas de reconocimiento por losorganismos que certifican los sistemas.
Comprobar su compromiso con el cumplimiento de lalegislacin: proteccin de datos de carcter personal,servicios sociedad de informacin, comercio electrnico,propiedad intelectual, etc...
Dar satisfaccin a accionistas y demostrar el valor aadidode las actividades de seguridad de la informacin en laempresa
Resumen de Beneficios de SGSI en las Organizaciones
AENOR
Estado Actual. Un buen presagio.
La Seguridad de los SI en los procesos de Negocio.
Ingeniera de la Seguridad de los Sistemas de Informacin. Mediante un ciclo de mejora continua.
AENOR
continua.
Reordenar nuestro Sistema de SSI.
Interface con otros Sistemas. SDLC (Ciclo de Vida del Software), etc..
Bibliografa del Conocimiento en SSI
MAGERIT: Metodologa de anlisis y gestin de riesgos de los sistemas de informacin de las Administraciones Pblicas. www.csi.map.es/csi/pgm5m20.htm
Seguridad de las Tecnologas de la Informacin. AENOR. 2003. Varios Autores:Eduardo Fdez. Medina, Roberto Moya, Mario Piattini, etc..www.aenor.es
Seguridad Informtica para empresas y particulares.
AENOR
Seguridad Informtica para empresas y particulares. 2004. Mc Graw Hill y Panda.Gonzalo Alvrez Maran y Pedro Pablo Prez. Revisin: Pedro Bustamante.
NIST Special Publication SP 800-12: An Introduction to Computer Security.The NISTHandbook. National Institute of Standards and Technology.
http://csrc.nist.gov/publications/nistpubs/800-12/ Information Security Governance: Guidance for Boards of Directors and
Executive Management. IT Governance Institute. Control Objectives for Information and Related Technology (Cobit) .
www.isaca.org/cobit.htm Implementing Information Security (dbased on ISO 27001 / ISO 17799) , Van
Hauren Publishing.
CUESTIONARIOPRELIMINAR Y SOLICITUD
INFORME
AUDITORA DEL SISTEMAFASE II
INFORME
AUDITORAS DE
INFORME
VISITA PREVIAFASE I
ANLISIS DE LA DOCUMENTACIN(MANUAL, PROCEDIMIENTOS)
FASE I
REGISTRO SISTEMA DE GESTIN
Diagrama de Flujo del Proceso de Certificacin
AENORAENOR 42
AUDITORAS DE SEGUIMIENTOANUALES
AUDITORAS DERENOVACIN
AUDITORA EXTRAORDINARIACONCESIN DEL
CERTIFICADO
PLAN DE ACCIONESCORRECTORAS
1 mes
SISTEMA DE GESTINSERVICIOS TECNOLOGAS
DE INFORMACIN
Un Nuevo Reto en las TICs:
La Gestin Integrada (PDCA) de las TICs
alineadas con el Negocio.
Certificaciones en TICs: La solucin a sus Riesgos
AENOR
solucin a sus Riesgos Empresariales
Muchas Gracias, estamos a su disposicin en:
AENOR Carlos Manuel Fdez.
Gerente de TIcmfernandez@aenor.es
91-4326004