1. Situación actual y perspectivas de la ISO 27001
2. Conceptos y Definiciones de Seguridad de la Información
3. La familia de normas ISO 27000
4. Claves de Éxito en la Seguridad de la Información
4 / 23 © Copyright 2012 All rights reserved. Bureau Veritas Certification ISO/IEC 27001 – versión 1
► El mercado actual
En la actualidad las empresas necesitan y demandan:
z Criterios de Seguridad de los procesos y servicios equiparables
internacionalmente
z Cumplimiento Legal en cuanto a privacidad
z Comunicación clara a la sociedad de la fiabilidad y seguridad de sus
servicios
z Innovación Tecnológica constante
z Diferenciación de la competencia
z Mayor formación y competencia técnica de sus profesionales
z Los procesos tecnológicos ya no pueden seguir siendo “cajas negras”
► Perspectivas de futuro
z Consolidación plena de la certificación ISO 27001 y otras relacionadas
(ISO 20000)
z Requisito en licitaciones con AA.PP. y organismos internacionales.
z Requisito diferenciador entre empresas privadas.
z Uso en otros sectores “no tecnológicos” (transporte, biosanitario,
investigación…)
z Orientación estratégica de las organizaciones a gestionar los riesgos.
z Consolidación de la cultura de la prevención.
z Mayor grado de regulación:
• Esquema Nacional de Seguridad
• Plan Nacional de Protección de Infraestructuras Críticas
2. Conceptos y Definiciones de
Seguridad de la Información
Algunos datos...
8 / 23 © Copyright 2012 All rights reserved. Bureau Veritas Certification ISO/IEC 27001 – versión 1
►
ACTIVO:
Recurso del sistema de información o relacionado con
éste, necesario para que la organización funcione correctamente y
alcance los objetivos propuestos por su dirección.
►
AMENAZA:
Evento que puede desencadenar un incidente en la
organización,produciendo daños o pérdidas materiales o
inmateriales en sus activos.
►
RIESGO:
Posibilidad de que una amenaza se materialice.
►
IMPACTO:
Consecuencia sobre un activo de la materialización de
una amenaza.
►
CONTROL:
Práctica, procedimiento o mecanismo que reduce el
nivel de riesgo.
Seguridad Informática.
Son medidas encaminadas a proteger el hard, soft y
comunicaciones de los equipos informáticos.
NO gestiona
Contempla aspectos:
• Físicos (instalaciones)
• Telecomunicaciones (protocolos seguros, encriptación,
firewall)
• De acceso al sistema.
• Copias de Seguridad
• No las personas, No los contratos, No clasifica la
información
• …
10 / 23 © Copyright 2012 All rights reserved. Bureau Veritas Certification ISO/IEC 27001 – versión 1
Seguridad de la Información.
Son medidas encaminadas a
proteger la información en función
de los riesgos existentes
, independientemente del soporte en el
que se encuentre, contra cualquier amenaza, de tal manera que
podamos
asegurar la continuidad de las actividades de la
empresa
, minimizar el perjuicio que se pudiera causar y maximizar
el rendimiento del capital invertido.
Se caracteriza por preservar, al menos:
•
Confidencialidad
•
Integridad
•
Disponibilidad
12 / 23 © Copyright 2012 All rights reserved. Bureau Veritas Certification ISO/IEC 27001 – versión 1
1989 1990 (Fast Track) Revisión periódica (5 años) Código de prácticas para usuarios Centro de Seguridad de Informática Comercial del Reino Unido (CCSC/DTI) BS 7799 ISO/IEC 17799 :2000 ISO/IEC 17799 :2005 PD0003 Código de prácticas para la gestión de la seguridad de la información Normal Internacional Revisión y acercamiento a: • ISO 9001 • ISO 14000 BS 7799-2 :2002 BS 7799-2 Revisión conjunta de las partes 1 y 2 BS 7799-2 :1999 ISO/IEC 27001 :2005 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007
Certificable
ISO/IEC 27002 :2007Historia de la Normas
BS 7799-1 :1999La serie ISO 27000
ISO/IEC 27000:2009. Fundamentos y vocabulario
ISO/IEC 27001:2005. Requisitos de los Sistemas de Gestión de Seguridad de la Información
ISO/IEC 27002:2005. Buenas prácticas para la Gestión de Seguridad de la Información.
ISO/IEC 27003:2010. Guía de implantación de un SGSI
ISO/IEC 27004:2009. Métricas e indicadores de eficiencia y efectividad de
los controles
ISO/IEC 27005:2011. Gestión del riesgo en Seguridad de la información
ISO/IEC 27006:2011 Requisitos de acreditación de las entidades de certificación de SGSI
ISO/IEC 27799:2008 Aplicación ISO 27002 en sector sanitario
4. Claves de Éxito
en la Seguridad de la Información
¾
Evidencias de la participación activa de la
Dirección.
Comité de seguridad, etc.
¾
Concienciación, formación y capacitación
del personal.
No sólo en la implantación
inicial sino también en el mantenimiento y la
identificación de nuevos riesgos a gestionar.
¾
Sólido enfoque a la Mejora continua
.
Adaptación a la evolución de los sistemas y
sus amenazas. Aprendizaje de los errores
propios o ajenos.
¾
Mantenimiento del SGSI.
Poner medios
(personal, material, tiempo).
16 / 23 © Copyright 2012 All rights reserved. Bureau Veritas Certification ISO/IEC 27001 – versión 1
¾
Cultura de gestión del riesgo.
Debe estar
presente en todas las actividades de la
organización, de manera que los riesgos se
tengan en cuenta a lo largo del desarrollo de
cualquier proyecto.
¾
Asegurar la eficacia de los controles.
Deben
ser acordes a las características de los riesgos
y de la organización.
¾
Integración con otros Sistemas de Gestión
como ISO 9001 o ISO 20000. Simplifica y
agiliza la implantación.
18 / 23 © Copyright 2012 All rights reserved. Bureau Veritas Certification ISO/IEC 27001 – versión 1
Certificación de la norma ISO 27001
► Compromiso con la cultura preventiva y proactiva de gestión del riesgo
► Se asegura la existencia de la conformidad con un catálogo de seguridad
reconocido internacionalmente
► Diferenciación en el mercado
► Validación y consolidación de los procesos de continuidad del negocio
► Se demuestra credibilidad en la protección de la privacidad a socios,
ciudadanos y clientes
► Auditoría imparcial y externa
► Certificación reconocida internacionalmente
► La importancia de la certificación acreditada
z El proceso de certificación acreditado es idéntico al de ISO 9001
z Revisión técnica por un organismo independiente
z Ciclo de 3 años: Inicial (Fase I y Fase II) + 2 visitas de seguimiento.
z Criterios definidos para los auditores: competencia, experiencia y formación
z Reconocimiento del certificado entre diferentes entidades de certificación
acreditadas.
Bureau Veritas Certification opera con acreditación
20 / 23 © Copyright 2012 All rights reserved. Bureau Veritas Certification ISO/IEC 27001 – versión 1
Valor añadido de BV Certification
► Experiencia: Bureau Veritas Certification es líder mundial con más de 60.000
empresas certificadas en 100 países.
► Reconocimiento: Bureau Veritas Certification está reconocida por más de 35
entidades de acreditación nacionales e internacionales en todo el mundo.
► Red: Estamos presentes en más de 140 países. Esta presencia global significa
que nuestros clientes pueden recibir un beneficio doble, experiencia internacional combinada con un profundo conocimiento el entorno local.
► Comprensión del negocio: Cercanía con nuestros socios, enfocados en ayudar
a mejorar su negocio: más de 4.800 auditores especializados y capacitados
con la única misión de prestar un servicio de certificación con alto valor añadido.
► Servicios combinados: Bureau Veritas Certification ofrece la posibilidad de
realizar certificaciones combinadas en los referenciales más reconocidos,
aportando consistencia, optimización y eficiencia (ISO 20000, BS25999, …)
► Licenciatarios IRCA: Formadores autorizados por el organismo internacional
de auditores de sistemas de gestión para diferentes normas, entre ellas ISO 27001 e ISO 20000 (autorización iTSMF/APMG)
► Algunas referencias de primer nivel en ISO 27001
22 / 23 © Copyright 2012 All rights reserved. Bureau Veritas Certification ISO/IEC 27001 – versión 1