Los SGSI en e-business & e-commerce: status y futuro Seguridad en e-business y en e-commerce

Los SGSI en e-business & e-commerce: status y futuro

Seguridad en e-business y en e-commerce

Carlos Manuel FERNÁNDEZ SÁNCHEZ. CISA, CISM

Gerente de TI.

1. Introducción: AENOR. La hoja de ruta en la gestión de las TICs

2. Los SGSI en e-business & e-commerce

3. Certificación SGSI

4. Conclusiones: El tiempo de los procesos en las TICs

Índice

INTRODUCCION

1 – AENOR - N+C en TICs

• Asociación privada (Asociación

de Asociaciones)

• Sin ánimo de lucro

• Constitución: 1986

• Real decreto 2200/95

• AENOR Corporación

• AENOR INTERNACIONAL (9

filiales)

• AENOR México (10 años en

México DF y Delegaciones)

• Multisectorial

• Normalización . Única entidad en

España.

• Certificación productos, servicios,

sistemas de gestión y personal

1 – Normas con relación con TICs

ISO 20000-2 Guía de buenas prácticas ISO 19770 SAM ISO 20001-1 ISO 27002 Guía de controles ISO 27001 S.G. Seguridad de la Información BS25999 (1 y 2) Gestión de continuidad de negocio ISO 15504 SPiCE IT Governance ISO 12207 Ciclo de vida de desarrollo de

TICs

1 – Hoja de Ruta en TICs

IT Governance

Gobierno de las TIC. ISO/IEC 38500

IT Governance

Gobierno de las TIC. ISO/IEC 38500

SPICE – ISO 15504

Modelo de Evaluación, Mejora y Capacidad de Software

SPICE – ISO 15504

Modelo de Evaluación, Mejora y Capacidad de Software

SAM

ISO 19770

Software Asset Management

SAM

ISO 19770

Software Asset Management

SGSI

ISO 27001

Sistema de Gestión Seguridad de la Información

SGSI

ISO 27001

Sistema de Gestión Seguridad de la Información

ISO 27002

ISO 27002 ISO 12207

Ciclo de Vida de Desarrollo de Software

ISO 12207

Ciclo de Vida de Desarrollo de Software

SGSTI

ISO 20000-1

Sistema de Gestión Servicios IT

SGSTI

ISO 20000-1

Sistema de Gestión Servicios IT

ISO 20000-2 Guía de Buenas Prácticas ISO 20000-2 Guía de Buenas Prácticas

Procesos de Ingeniería del Software

Procesos / Servicios de TI

Adicionalmente:

• Certificación Accesibilidad TIC Sitios WEB.

•Infraestructura CPD

• Buenas Prácticas Comercio

ISO 24762

Guidelines for information and communications

technology disaster recovery service

ISO 24762

Guidelines for information and communications

technology disaster recovery service

1 – Hoja de Ruta en TICs

PDCA SGSTI ISO 20000-1 ISO27002 ISO 20000-2 (ITIL) LIBRERÍA INFRAESTRUCTURA CPD ? SGSI ISO 27001 (Motor) (Conocimiento) ISO.. ISO.. G UI A S D E I M P L A N T A CI M E T R I C A S

2 - Gestión de las TICs con criterios de Negocio.

Calidad en el servicio TICs

• Informe Penteo (2006):

Sólo un 21% de las cías gestionan el dpto. de SI con criterios de

negocio

31 % gestionan el dpto. de SI sólo con criterios tecnológicos

48 % gestionan con criterios híbridos

• Conclusiones:

La Dirección de las cías. Tiene una percepción más positiva de los

CIOs que siguen criterios de Negocio. Les dan el rol de líderes contribuidores de negocio en un 58%

La Gestión de las TICs mejora el posicionamiento del dpto. de SI y del

CIO

En un futuro los CIOS más gestores y menos tecnólogos

(Encuesta a: 85 Directores de TICs, 36 Dir. Generales y 12

2 - Factores que influyen en la Seguridad de los SI

•

Actualmente: Nueva York y en los 80´s : Mainframe –Ciudad de

Ávila.

Magerit

•

Amplio uso de la Tecnología.

•

Interconectividad de los sistemas. Sistemas abiertos y distribuidos.

•

Cambios muy rápidos en las TICs.

•

Ataques a Organizaciones. Tema atractivo?.

•

Factores externos: Legislación .etc...

2 – Riesgos Empresariales

•

En el World Economic Forums Annual –DAVOS meeting-,

SWISS RE informa de su estudio – encuesta a nivel mundial

(60 entrevistas a senior executives en : USA, Francia,

Alemania, Italia , Japón y Reino Unido-Dic-2005 ).

•

El riesgo de los Ordenadores-SI- y las TICs, ocupa el primer

lugar en 3 países (Japón, Reino Unido y USA), y en el top three

de los otros países, para sus negocios.

•

Como herramienta primordial para mitigar estos riesgos de SI

indican el Control Interno Informático. SWISS RE.

SGSI- ISO 27001- y ISO 27002.

2 - Informe de riesgos en las TICs

•

Uno de cada 5 empleados deja a su familia y amigos usar sus

portátiles corporativos para acceder a Internet. (21%)

•

Uno de cada diez confiesa que baja algún tipo de contenido que no

debiera mientras está en el trabajo.

•

Dos tercios admiten tener conocimientos muy limitados en materia

de seguridad.

•

Un 5% dice que tienen acceso a áreas de la red corporativa que no

deberían tener.

2 - Sistemas de Gestión

de la Seguridad de la Información

-SGSI-¿En que consiste?

Establecer y reordenar la Seguridad de los Sistemas de

Información en concordancia con los Planes Estratégicos de la

Organización y con sus Políticas de Seguridad.

Un nuevo Ciclo de Mejora Continua: SGSI

Una Gestión eficaz de la Seguridad de los SI permite garantizar:

la Confidencialidad,

la Integridad y

2 - Sistemas de Gestión

de la Seguridad de la Información

-SGSI-¿Qué preservar?

Cada organización tiene que preservar 3 CARACTERÍSTICAS

asociadas a la información:

DISPONIBILIDAD

CONFIDENCIALIDAD

INTEGRIDAD

Asegurar que la información es accesible solo para aquellos autorizados a tener acceso.

Asegurar que los usuarios autorizados tienen acceso cuando lo requieran a la información y sus activos asociados.

2 - Sistemas de Gestión

de la Seguridad de la Información

-SGSI-1 Política de Seguridad de Información 2 Estructura organizativa de la SI 3 Clasificación y control de activos 4 Seguridad ligada al personal 5 Seguridad física y del entorno

6 Gestión de comunicaciones y operaciones 7 Control de accesos

8 Desarrollo y mantenimiento de sistemas 9 Gestión de Incidentes de Seguridad 10. Gestión Continuidad de Negocio ---11 Conformidad y Cumplimiento legislación

ISO IEC 27002 “P” “D” “C” “A ”

Definir política de seguridad Establecer alcance del al SGSI Realizar análisis de riesgos Seleccionar los controles

Implantar plan de gestión de riesgos Implantar el SGSI

Implantar los controles

Revisar internamente el SGSI

Realizar auditorias internas del SGSI Adoptar las acciones correctivas

Adoptar las acciones preventivas

2 - Fraude Online. Tipología

Internet Crime Complaint Center

2 - Decálogo de Medidas contra el Fraude Online

1.- Consejos para las organizaciones

1.- Sea consciente que la seguridad es un aspecto crítico para su negocio 2.- Cuente los recurso de seguridad como inversión y no como gasto 3.- Conozca sus debilidades.

4.- Actualice el Software de Antivirus y de Cortafuegos

5.- Vigile los accesos y tráfico de información de sus Sistemas de Información.

6.- Manténgase atento a movimientos sospechosos en su entorno (Ingeniería Social) 7.- Establezca políticas claras de acceso a la información.

8.- Ponga en marcha un plan de formación interna de seguridad 9.- Rodéese de profesionales de la seguridad

10.- Instale una cultura de la seguridad en su organización

2.- Consejos para particulares

Ver Informe de fraude online 2007 y primer semestre 2008

3.- Decálogo contra fugas de información

2 - SGSI

Activos de SI Sistemas de información (aplicativos) Software Hardware Telecomunicaciones Personas Análisis y Gestión de riesgos R=F(X₁,X₂,X₃,X_n) Integridad (X₁) Confidencialidad (X₂) Disponibilidad (X₃) Amenazas (X₄) Vulnerabilidades (X₅) Impacto Económico (X ) Riesgo Residual Activo₁---R’₁ Activo₂---R’₂ Aplicando ISO 27002 (Selección de

Procesos

2- NORMA ISO 27001. Especificaciones para los Sistemas de Gestión de la

Seguridad de la Información

INDICE UNE-ISO/IEC 27001:2007

1 Objeto y Alcance

2 Referencias Normativas

3 TÉRMINOS Y DEFINICIONES

4 SGSI

5 Responsabilidad de Dirección.

6 Auditorías Internas

7 REVISIÓN DEL SGSI por la Dirección

8 Mejora del SGSI

9 BIBLIOGRAFÍA

Anexo A: Objetivos de Control y Controles

Anexo B: Principios de OCDE.

2 - NORMA ISO/IEC 27002: OBJETIVOS Y CONTROLES

• Cada área o dominio tiene asociados uno o varios objetivos de

seguridad

• Para cada objetivo se definen, a su vez, uno o más controles de

seguridad cuya implantación debe traducirse en la consecución del objetivo de seguridad asociado

11 ÁREAS

39 OBJETIVOS CONTROL

2 – ESTADO ACTUAL. UN BUEN PRESAGIO

• La Seguridad de los SI en los procesos de Negocio.

• Ingeniería de la Seguridad de los Sistemas de Información.

Mediante un ciclo de mejora continua.

• Reordenar nuestro Sistema de SSI.

• Interface con otros Sistemas. SDLC (Ciclo de Vida del Software),

3 – Diagrama de Flujo del Proceso de Certificación

CUESTIONARIO PRELIMINAR Y SOLICITUD CUESTIONARIO PRELIMINAR Y SOLICITUD INFORME AUDITORÍA DEL SISTEMA FASE II AUDITORÍA DEL SISTEMA FASE II INFORME AUDITORÍAS DE SEGUIMIENTO ANUALES AUDITORÍAS DE SEGUIMIENTO ANUALES AUDITORÍAS DE RENOVACIÓN AUDITORÍAS DE RENOVACIÓN INFORME PLAN DE ACCIONES CORRECTORAS 1 mes PLAN DE ACCIONES CORRECTORAS 1 mes VISITA PREVIA FASE I VISITA PREVIA FASE I ANÁLISIS DE LA DOCUMENTACIÓN (MANUAL, PROCEDIMIENTOS) FASE I ANÁLISIS DE LA DOCUMENTACIÓN (MANUAL, PROCEDIMIENTOS) FASE I REGISTRO SISTEMA DE GESTIÓN SERVICIOS TECNOLOGÍAS DE INFORMACIÓN REGISTRO SISTEMA DE GESTIÓN SERVICIOS TECNOLOGÍAS DE INFORMACIÓN

4 – BIBLIOGRAFIA DEL CONOCIMIENTO

• MAGERIT: Metodología de análisis y gestión de riesgos de los sistemas de información de las

Administraciones Públicas. www.csi.map.es/csi/pgm5m20.htm

• Seguridad de las Tecnologías de la Información. AENOR. 2003. Varios Autores: Eduardo Fdez.

Medina, Roberto Moya, Mario Piattini, etc.. www.aenor.es

• Seguridad Informática para empresas y particulares. 2004. Mc Graw Hill y Panda. Gonzalo

Alvárez Marañón y Pedro Pablo Pérez. Revisión: Pedro Bustamante.

• NIST Special Publication SP 800-12: An Introduction to Computer Security.The NIST Handbook.

National Institute of Standards and Technology. http://csrc.nist.gov/publications/nistpubs/800-12/

• Information Security Governance: Guidance for Boards of Directors and Executive

Management. IT Governance Institute.

• Control Objectives for Information and Related Technology (Cobit) . www.isaca.org/cobit.htm

• Implementing Information Security (dbased on ISO 27001 / ISO 17799) , Van Hauren

4 - El tiempo de los Procesos en las TICs

• 80´s (mecanizar operaciones)

• 90´s (Help Desk y control presupuestario)

• Finales 90´s (E-Commerce y marketplace)

• XXI- (ITIL, CMMI, COBIT, ISO, etc..) : definir, medir y analizar: Ciclo

Mejora Continua. Los procesos en TICs:incrementando el desarrollo de

productos e innovación)

• CIOs se convierten en CPOs (Chief Process Officers) integrados con los

objetivos del negocio.

4 - Fin de la presentación

Un Nuevo Reto en las TICs:

“La Gestión Integrada (PDCA) de

las TICs alineadas con el

Negocio”.

Fin de la presentación