Introducción a ISO 27001 Presentación Inicial de Consultoría. Sistema de Seguridad de la Información, Imprescindible en las Organizaciones Actuales . Presentación Inicial de Consultoría. Introducción a ISO 27001

Nuestra estrategia del “DESARROLLO COMPETITIVO” Intedya es una compañía global especializada en la CONSULTORÍA, AUDITORÍA, FORMACIÓN y las soluciones tecnológicas especializadas en la gestión de la CALIDAD, EL MEDIOAMBIENTE, LA SEGURIDAD ALIMENTARIA, LABORAL Y DE LA INFORMACIÓN, tanto  las empresas y como entidades públicas y privadas del cualquier tipo. Nuestra estrategia del “DESARROLLO COMPETITIVO” se basa en nuestra experiencia en consultoría, para ayudar a los clientes a rendir al máximo nivel y, de esta forma, crear valor sostenible para sus clientes, proveedores, accionistas y la sociedad de la que forman parte Mantenemos estrecho colaboración con todas las entidades de referencia en nuestro sector, Institutos y Entidades de Normalización y/o Certificación, secretarías, instituciones y ministerios gubernamentales, Asociaciones Sectoriales, etc. www.intedya.com

ISO 27001 Antecedentes La norma BS 7799 de BSI apareció por primera vez en 1995, con objeto de proporcionar a cualquier empresa -británica o no- un conjunto de buenas prácticas para la gestión de la seguridad de su información. Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adoptó por ISO, sin cambios sustanciales, como ISO 17799 en el año 2000. La serie de Normas ISO 27000 apareció en 2005, tomando como base la norma británica BS 7799-2 de 2002 y dando lugar al estándar ISO/IEC 27001:2005. Actualmente la versión del estándar certificable es ISO 27001:2013.

ISO 27001 ¿Qué es? El ISO/IEC 27000 es un conjunto de estándares desarrollados por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña. La serie de normas ISO 27001 constan de varias normas: ISO 27000: Fundamentos y vocabulario: presenta al usuario los conceptos. ISO 27001: Requisitos para un Sistema de Gestión de la Información (SGSI). NORMA CERTIFICABLE. ISO 27002: Guía de Buenas prácticas. No certificable. ISO 27003: Guía de Implementación. No certificable. ISO 27004: Guía para Medición de la Idoneidad de la implantación. No certificable. ISO 27005: Guía para el Análisis de Riesgos. No certificable www.intedya.com

ISO 27001 ¿Por qué es importante? La ISO/IEC 27001 especifica los requisitos para el establecimiento de controles de seguridad, con el fin de proteger todo aquello que es impotante para la organización desde el punto de vista de seguridad de la información, sus activos. La adopción de un Sistemas de Gestión de Seguridad de la Información (SGSI) debería ser fruto de una decisión estratégica de una organización. Lograr la certificación de un SGSI bajo la norma ISO/IEC 27001 supone un aval ante clientes y proveedores en materia de seguridad de la información y abrirá nuevas opciones de negocio en mercados nacionales e internacionales.

ISO 27001 Beneficios para la propia Organización La implantación y certificación de un sistema de gestión de gestión de seguridad de la información, de acuerdo a ISO 27001, aporta las siguientes ventajas y beneficios: Eficiencia en la gestión de la empresa, al tomarse medidas para minimizar los riesgos asociados a la gestión de la información. Solvencia empresarial, por disponer de un sistema que garantizar la confidencialidad, integridad y disponibilidad de la información.. Continuidad, como consecuencia de la implantación de planes de continuidad de negocio que evitan paradas no deseadas de la actividad empresarial. Mejora de la imagen de la empresa, al evidenciar su compromiso con la seguridad de la información propia y de clientes. www.intedya.com

ISO 27001 Ventajas para el Cliente Al demostrar un compromiso por la seguridad de la información ya que la una de las principales preocupaciones a la hora de confiar un proyecto a una empresa, es la confidencialidad de la información compartida. Al trabajar de acuerdo a un estándar reconocido en el mercado.

ISO 27001 …TODOS Sectores de Aplicación Los sistemas de gestión de seguridad de la información, basados en la ISO 27001, abarcan todo tipo de organizaciones (empresas, organismos y entes públicos, entidades sin ánimo de lucro) : Alimentación, Madera, Papel, Edición y artes gráficas, Química, Productos plásticos, Extractivas y fabricación de hormigón, cemento y productos similares, Productos metálicos, Maquinaria y automoción, Electricidad y Electrónica, Naval, Construcción y actividades relacionadas, Mantenimiento de vehículos, Comercialización y servicios varios, Hostelería, Transporte, Informática y telecomunicaciones, Actividades financieras y seguros, Formación, Sanitario, Medioambiental, Textil, Público, Farmacia, Automoción, Servicios,…, independientemente de su tamaño, actividad,… …TODOS

ISO 27001 Requisitos generales La organización debe realizar la Evaluación de riesgos, definiendo la metodología empleada. Formular un plan de tratamiento de riesgos que identifique las acciones que se implantaran para manejar y minimizar dichos riesgos. Asignar responsables de la seguridad de la información y medios necesarios para garantizarla. Asegurar la seguridad de la información en el servicio a terceros y en el intercambio de la información.

ISO 27001 Requisitos documentales Política de Seguridad. Acuerdos de confidencialidad. Inventario de Activos, propiedad de los activos. Plan de mantenimiento de Equipos. Procedimiento de Gestión del Cambio. Se deben realizar copias de back-up o respaldo de la información comercial y software esencial. Procedimiento para el control de servicio de redes. Procedimiento de manejo de la información. Se deben registrar las actividades del administrador y operador del sistema. Política de control de acceso en base a los requerimientos de seguridad y comerciales. La asignación de claves se debe controlar a través de un proceso de gestión formal. …

1.- Objeto y Campo de Aplicación. 2.- Normas para Consulta. ISO 27001 La Norma: Apartados 0.- Introducción. 1.- Objeto y Campo de Aplicación. 2.- Normas para Consulta. 3.- Vocabulario.

ISO 27001 La Norma: Apartado 4 (I) Creación y gestión del SGSI Sistema de Gestión de Seguridad de la Información Creación y gestión del SGSI Política, Objetivo, Alcance, Procedimientos, … Definir metodología para el análisis de riesgos Identificación de riesgos, análisis y valoración Selección Objetivos de Control y Controles

ISO 27001 La Norma: Apartado 4 (II) Sistema de Gestión de Seguridad de la Información Elaboración de la Declaración de aplicabilidad Control de documentos Control de registros www.intedya.com

ISO 27001 La Norma: Apartado 5 Responsabilidad de la Dirección Compromiso de la Dirección. Provisión de recursos Para establecer, implementar, operar, supervisar, revisar,mantener y mejorar el SGSI Mantener la seguridad adecuada mediante la aplicación correcta de lso controles implantados Mejora del SGSI Concienciación, formación y capacitación. Determinar la competencias necesarias para el personal encargado y relacionado con el SGSI. www.intedya.com

ISO 27001 La Norma: Apartado 6 Auditorías internas Determinar si los objetivos de control, los controles, los procesos y los procedimientos cumple: Requisitos de la norma Legislación aplicable Resquisitos de seguridad Revisar mantenimiento. Revisar resultado del sistema www.intedya.com

ISO 27001 La Norma: Apartado 7 Revisión del SGSI por la Dirección Planificación Datos iniciales de la revisión Resultados de las auditorías internas, cambios en vulnerabilidades o amenzas, ... Resultados de la revisión Mejora de la eficacia del SGSI, actualziaciones de la evaluación de riesgos y del plan de tratamiento de riesgos, modificaciones en requisitos del negocio, seguridad, procesos, requisitos legales, … www.intedya.com

ISO 27001 La Norma: Apartado 8 Mejora del SGSI Mejora continua. Acción correctiva. Acción preventiva. www.intedya.com

ISO 27001 La Norma: Anexo A (I) Objetivos de Control y Controles A.5 Política de seguridad A.6 Aspectos organizativos de la seguridad de la información A.7 Gestión de activos A.8 Seguridad ligada a los recursos humanos A.9 Seguridad física y ambiental www.intedya.com

ISO 27001 La Norma: Anexo A (II) Objetivos de Control y Controles A.10 Gestión de comunicaciones y operaciones A.11 Control de acceso A.12 Adquisición, desarrollo y mantenimiento de los sistemas de información A.13 Gestión de incidentes de seguridad de la información www.intedya.com

ISO 27001 La Norma: Anexo A (III) Objetivos de Control y Controles A.14 Gestión de la continuidad de negocio A.15 Cumplimiento www.intedya.com

ISO 27001 Casos de éxito: A.7.1.1 Inventario de activos y A.7.1.3 Uso aceptable de los activos Control de los Registros Requisito: Conseguir y mantener una protección adecuada de los acrivos de la organización. Situación de partida: Empresa de mantenimiento informático que dispone de portátiles para la realización del trabajo de sus técnicos en las instalaciones del cliente. Los técnicos los utilizan sin establecerse condiciones específicas de mantenimiento y responsabilidad. Solución: El desarrolla un procedimeinto para la asignación de un propietario para cada uno de los portátiles y la definición de unas condiciones de uso tanto fuera de las instalaciones como una vez devuelto. Esto garantiza que los equipos estarán siempre en condiciones óptimas de uso.. www.intedya.com

ISO 27001 Casos de éxito: A.8.3.2 Devolución de activos y A.8.3.3 Retirada de los derechos de acceso Requisito: Asegurar que los empleados, contratistas y terceros abandonan la organización o cambian de puesto de trabajo de una manera ordenada. Situación de partida: Empresa dedicada a la prestación de servicios legales y de consultoría con dos oficinas y trabajando sobre una aplicación alojada en Internet a la que tiene acceso todo el personal tanto desde las oficinas como desde los portatiles de la empresa que utilizan en visitas a clientes. Solución: El consultor propuso la definición de un protocolo de Baja en la Organización, para que además de proceder a la retirada de activos fisicos como los portátiles, se proceda a la baja en todos los sistemas informáticos tanto internos como externos: intranet, aplicaciones web, redes sociales, correo electrónico.

ISO 27001 Casos de éxito: A.10.7.2 Retirada de soportes Requisito: Evitar la revelación, modificación, retirada o destrucción no autorizada de los activos, y la interrupción de las actividades de la organización. Situación de partida: Empresa de formación que realiza copias de seguridad en soporte CD/DVD y que los elimina cuando se realizan nuevas copias. Solución: El consultor propuso la definición de un protocolo de eliminación y destrucción de soportes digitales que afecta a CD/DVD y también a Discos Duros y ordenadores obsoletos, con objeto de garantizar personal no autorizado puede acceder a la información una vez que salgan esos soporte de la seguridad establecida en la organización: empresas de reciclado, empresas de limpieza, ...

ISO 27001 Casos de éxito: A.11.4.5 Segregación de las redes Requisito: Prevenir el acceso no autorizado a los servicios en red. Situación de partida: Empresa de trabajo temporal que dispone de servicio de red inalámbirica en sus instalaciones para que todo el personal fijo y eventual pueda acceder a la Red. Solución: Se propuso la segmentación de la red para garantizar la seguridad del acceso a la red corporativa al personal autorizado y ofrecer de forma segura el servicio inalámbrico al pesonal eventual. Uso de VLAN y Trunking.

ISO 27001 Casos de éxito: A.12.5.1 Procedimientos de control de cambios Requisito: Mantener la seguridad del software y de la información de las aplicaciones. Situación de partida: Empresa de consultoría con software propio destinado a la gestión de proyectos en la que se van realizando actualizaciones continuas en función de las necesidades de la organización Solución: Se propuso la definición de un procedimiento para documentar las pruebas de verificación de las nuevas actualizaciones de software en un instalación de desarrollo (equipos y redes diferentes) previas a la puesta en producción.

ISO 27001 Casos de éxito: A.14.1.3 Desarrollo e implementación de planes de continuidad que incluyan la seguridad de la información Requisito: Deben desarrollarse e implementarse planes para mantener o restaurar las operaciones y garantizar la disponiblidad de la información en el nivel y en el tiempo requeridos, después de una interrupción o un fallo de los procesos de negocio críticos. Situación de partida: Empresa de e-learing con alumnos a nivel mundial y una única plataforma de formación Solución: Se propone hacer un Plan de Contingencia para los casos en los que se produzca caida de servicio por parte del proveedor de servicio e-learning. Se definen las condiciones de inicio y restauración del Plan, sus características, … y las condiciones de verificación.

Desarrollo Competitivo (Competitive development)