SGSI: Sistemas de Gestión de la Seguridad de la Información
ISO 27000: Aspectos Clave Fundamentales Compromiso y apoyo de la Dirección de la organización. Definición clara de un alcance apropiado. Concienciación y formación del personal. Evaluación de riesgos adecuada a la organización. Compromiso de mejora continua. Establecimiento de políticas y normas.
ISO 27000: Aspectos Clave Fundamentales Organización y comunicación. Gestión adecuada de la continuidad de negocio, de los incidentes de seguridad, del cumplimiento legal y de la externalización. Integración del SGSI en la organización.
ISO 27000: Aspectos Clave Factores de éxito La concienciación del empleado por la seguridad. Principal objetivo a conseguir. Realización de comités a distintos niveles (operativos, de dirección, etc.) con gestión continua de no conformidades, incidentes de seguridad, acciones de mejora, tratamiento de riesgos…
ISO 27000: Aspectos Clave Factores de éxito Creación de un sistema de gestión de incidencias que recoja notificaciones continuas por parte de los usuarios (los incidentes de seguridad deben ser reportados y analizados). Hay que tener en cuenta que: La seguridad absoluta no existe, se trata de reducir el riesgo a niveles asumibles. La seguridad no es un producto, es un proceso.
ISO 27000: Aspectos Clave Factores de éxito La seguridad no es un proyecto, es una actividad continua y el programa de protección requiere el soporte de la organización para tener éxito. La seguridad debe ser inherente a los procesos de información y del negocio.
ISO 27000: Aspectos Clave Riesgos Exceso de tiempos de implantación: con los consecuentes costes descontrolados, desmotivación, alejamiento de los objetivos iniciales, etc. Temor ante el cambio: resistencia de las personas. Discrepancias en los comités de dirección. Delegación de todas las responsabilidades en departamentos técnicos.
ISO 27000: Aspectos Clave Riesgos No asumir que la seguridad de la información es inherente a los procesos de negocio. Planes de formación y concienciación inadecuados. Calendario de revisiones que no se puedan cumplir. Definición poco clara del alcance. Exceso de medidas técnicas en detrimento de la formación, concienciación y medidas de tipo organizativo. Falta de comunicación de los progresos al personal de la organización.
ISO 27000: Aspectos Clave Consejos básicos Mantener la sencillez y restringirse a un alcance manejable y reducido: un centro de trabajo, un proceso de negocio clave, un único centro de proceso de datos o un área sensible concreta; una vez conseguido el éxito y observados los beneficios, ampliar gradualmente el alcance en sucesivas fases.
ISO 27000: Aspectos Clave Consejos básicos Comprender en detalle el proceso de implantación: iniciarlo en base a cuestiones exclusivamente técnicas es un error frecuente que rápidamente sobrecarga de problemas la implantación; adquirir experiencia de otras implantaciones, asistir a cursos de formación o contar con asesoramiento de consultores externos especializados. Gestionar el proyecto fijando los diferentes hitos con sus objetivos y resultados.
ISO 27000: Aspectos Clave Consejos básicos La autoridad y compromiso decidido de la Dirección de la empresa -incluso si al inicio el alcance se restringe a un alcance reducido- evitarán un muro de excusas para desarrollar las buenas prácticas, además de ser uno de los puntos fundamentales de la norma.
ISO 27000: Aspectos Clave Consejos básicos La certificación como objetivo: aunque se puede alcanzar la conformidad con la norma sin certificarse, la certificación por un tercero asegura un mejor enfoque, un objetivo más claro y tangible y, por lo tanto, mejores opciones de alcanzar el éxito. Eso sí, la certificación es la "guinda del pastel", no es bueno que sea la meta en sí misma. El objetivo principal es la gestión de la seguridad de la información alineada con el negocio.
ISO 27000: Aspectos Clave Consejos básicos No reinventar la rueda: apoyarse lo más posible en estándares, métodos y guías ya establecidos, así como en la experiencia de otras organizaciones. Servirse de lo ya implementado: otros sistemas de gestión (como ISO 9001 para la calidad o ISO 14001 para medio ambiente) ya implantados en la organización son útiles como estructura de trabajo, ahorrando tiempo y esfuerzo y creando sinergias; es conveniente pedir ayuda e implicar a responsables y auditores internos de otros sistemas de gestión.
ISO 27000: Aspectos Clave Consejos básicos Reservar la dedicación necesaria diaria o semanal: el personal involucrado en el proyecto debe ser capaz de trabajar con continuidad en el proyecto. Registrar evidencias: deben recogerse evidencias al menos tres meses antes del intento de certificación para demostrar que el SGSI funciona adecuadamente. No precipitarse en conseguir la certificación.
ISO 27000: Aspectos Clave Consejos básicos Mantenimiento y mejora continua: tener en consideración que el mantenimiento y la mejora del SGSI a lo largo de los años posteriores requerirán también esfuerzo y recursos.
Otros Estándares - Normas ISO del SC27 - ISO/IEC 20000 - ITIL - NIST Serie 800 - CobiT - UNE 71502 - BS 7799-3 - PAS 99 - BS 25999 - BS 25777 - COSO / Sarbanes-Oxley
Otros Estándares: ITIL VISIÓN INICIAL: Las infraestructuras informáticas se limitaban a dar servicios de soporte, equiparables con el otro material de oficina. VISIÓN ACTUAL: Los servicios TI representan una parte sustancial de los procesos de negocio. “Algo de lo que es a menudo responsable el advenimiento de ubicuas redes de información”.
Otros Estándares: ITIL Los objetivos de la gestión de servicios TI son: Proporcionar una adecuada gestión de la calidad Aumentar la eficiencia Alinear la infraestructura TI con los procesos de negocio Reducir los riesgos asociados a los Servicios TI Generar negocio
Otros Estándares: ITIL ITIL nace como un código de buenas prácticas dirigidas a alcanzar esas metas mediante: Un enfoque sistemático del servicio TI centrado en los procesos y procedimientos El establecimiento de estrategias para la gestión operativa de la infraestructura TI
Otros Estándares: ITIL ITIL es una Biblioteca de Infraestructura de Tecnologías de la Información que consta de 10 libros centrales (actualmente 30 libros complementarios que cubren desde temas como el cableado hasta la gestión de la continuidad del negocio) cubriendo las dos principales áreas de Soporte del Servicio y Prestación del Servicio. Hoy ITIL ha sido reestructurado agrupando libros centrales en dos, cubriendo las áreas de Soporte del Servicio y Prestación del Servicio, con el fin de eliminar la duplicidad y mejorar la navegación.
Otros Estándares: ITIL ITIL comprende los siguientes planes de gestión: Gestión de Incidentes Gestión de Problemas Gestión de Configuraciones Gestión de Cambios Gestión de Versiones Gestión de Niveles de Servicio Gestión Financiera Gestión de la Capacidad Gestión de la Continuidad del Servicio Gestión de la Disponibilidad Gestión de la Seguridad
Otros Estándares: ITIL – GS* Problema: “Desde el advenimiento de la ubicuas redes de comunicación y en especial Internet, los problemas asociados a la seguridad de la información se han agravado considerablemente y nos afectan prácticamente a todos” *GS: Gestión de la Seguridad
Otros Estándares: ITIL - GS La información es consustancial al negocio y su correcta gestión debe apoyarse en tres pilares fundamentales: Confidencialidad: la información debe ser sólo accesible a sus destinatarios autorizados. Integridad: la información debe ser correcta y completa. Disponibilidad: debemos de tener acceso a la información cuando la necesitamos.
Otros Estándares: ITIL - GS Solución: “La Gestión de la Seguridad debe, por tanto, velar por que la información sea correcta y completa, esté siempre a disposición del negocio y sea utilizada sólo por aquellos que tienen autorización para hacerlo”
Otros Estándares: ITIL - GS Funciones de la Gestión de la Seguridad: Interrelaciones: Debe existir una estrecha relación entre la gestión de la seguridad y los diferentes procesos TI de la organización. Objetivos: Se conozcan los estándares de seguridad asociados a cada servicio Se establezcan y cumplan los requisitos de seguridad necesarios para el correcto funcionamiento del negocio.
Otros Estándares: ITIL - GS Funciones de la Gestión de la Seguridad: Monitorización: todo el proceso debe ser controlado y monitorizado (seguimiento). Objetivos: Se cumplan los niveles de seguridad establecidos en los SLAs (Service Level Agreement: Acuerdo de Nivel de Servicio), OLAs (Operational Level Agreement: Acuerdo de Nivel Operacional) y UCs (Underpinning Contract: Contrato de Apoyo). El personal esté correctamente informado sobre las políticas y protocolos de seguridad Se cumpla y se mejora periódicamente el plan de Seguridad.
Otros Estándares: ITIL - GS Funciones de la Gestión de la Seguridad: Política de Seguridad: fundamental para establecer los alcances y buenas prácticas de seguridad dentro de la organización, según el nivel de seguridad de la misma. Objetivos: Los objetivos de las políticas de seguridad deben estar alineados con las del negocio en su conjunto. Las políticas deben coordinarse con todos los procesos TI de la organización. Las políticas de seguridad establecer y asignar recursos, y junto con ello sus responzables.
Otros Estándares: ITIL - GS Funciones de la Gestión de la Seguridad: Planificación: diseñar un plan de seguridad adecuado para la organización (alcance, estrategia, visión, nivel de seguridad, etc). Objetivos: Elaborar un plan de seguridad que recoja las necesidades de los clientes, los protocolos de acceso a la información, etc. El plan de Seguridad debe colaborar con la gestión de niveles de servicio en la elaboración de los SLAs, Ucs, etc.
Otros Estándares: ITIL - GS Funciones de la Gestión de la Seguridad: Implementación: hacer lo que se planificó. Objetivos: Aplicar medidas de seguridad establecidas en la política y el plan de seguridad Formar al personal respecto a los procedimientos de seguridad y acceso a la información Colaborar en la resolución de incidentes relaciones con la seguridad
Otros Estándares: ITIL - GS Funciones de la Gestión de la Seguridad: Mantención: supervisión de los procesos de seguridad. Objetivos: Hacer cumplir los estándares de seguridad acordados con los clientes y proveedores internos/externos. Mantener equipos y procedimientos actualizados Crear cultura de levantamiento de RFCs (peticiones de cambio) para mejorara los niveles de seguridad o para adecuarlos a nuevos desarrollos tecnológicos
Otros Estándares: ITIL - GS Funciones de la Gestión de la Seguridad: Evaluación: revisar indicadores de los procesos del plan de gestión (auditoría de seguridad externas para complementar evaluación interna). Objetivos: Garantizar que se cumplan los planes y procedimientos establecidos Informar a los clientes y organización TI de posibles vulnerabilidades o errores procedimentales.
Otros Estándares: ITIL - GS Los principales objetivos de la Gestión de la Seguridad se resumen en: Diseñar una política de seguridad, en colaboración con clientes y proveedores correctamente alineada con las necesidades del negocio. Asegurar el cumplimiento de los estándares de seguridad acordados. Minimizar los riesgos de seguridad que amenacen la continuidad del servicio.
Otros Estándares: ITIL - GS Cosas a considerar: Al establecer la seguridad como una prioridad en sí misma limitaremos las oportunidades de negocio. Se debe conocer en profundidad el negocio y los servicios que presta la organización TI para establecer protocolos de seguridad. Una vez comprendidos cuales son los requisitos de seguridad del negocio, la Gestión de la Seguridad debe supervisar que estos se hallen convenientemente plasmados en los SLAs correspondientes para garantizar su cumplimiento. La Gestión de la Seguridad debe tener en cuenta los riesgos generales a los que está expuesta la infraestructura TI, aunque no figuren en un SLA, para asegurar, en la medida de lo posible, que no representan un peligro para la continuidad del servicio. La evaluación de riesgos debe ser a priori, no se debe esperar a que aparezcan de improvisto.
Otros Estándares: ITIL - GS Los principales beneficios de una correcta Gestión de la Seguridad: Se evitan interrupciones del servicio causadas por virus, ataques informáticos, etcétera. Se minimiza el número de incidentes. Se tiene acceso a la información cuando se necesita y se preserva la integridad de los datos. Se preserva la confidencialidad de los datos y la privacidad de clientes y usuarios. Se cumplen los reglamentos sobre protección de datos. Mejora la percepción y confianza de clientes , proveedores y usuarios en lo que respecta a la calidad del servicio.
Otros Estándares: ITIL - GS Las principales dificultades a la hora de la implementación: No existe el suficiente compromiso de todos los miembros de la organización TI con el proceso. Se establecen políticas de seguridad excesivamente restrictivas que afectan negativamente al negocio. No se dispone de las herramientas necesarias para monitorizar y garantizar la seguridad del servicio (firewalls, antivirus, ...). El personal no recibe una formación adecuada para la aplicación de los protocolos de seguridad. Falta de coordinación entre los diferentes procesos lo que impide una correcta evaluación de los riesgos.
Otros Estándares: ITIL - GS Continuará…
FIN SGSI druete@unab.cl