Curso SGSI

  • 9,696 views
Uploaded on

Curso de Seguridad de la información

Curso de Seguridad de la información

More in: Business , Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
No Downloads

Views

Total Views
9,696
On Slideshare
0
From Embeds
0
Number of Embeds
7

Actions

Shares
Downloads
1
Comments
8
Likes
46

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Seguridad de la información Según las normas ISO 27001 e ISO 27002…la información y elconocimiento son los activosmás importantes de unaorganización.
  • 2. ANTES DE EMPEZAR… MOVILES CASOS PRACTICOS DESCANSOS PREGUNTAS
  • 3. ANTES DE EMPEZAR… PRESENTACIONES MONITOR ……… ASISTENTES 1. NOMBRE 2. DEPARTAMENTO/FUNCIONES 3. CONOCIMIENTOS PREVIOS 4. EXPECTATIVAS DEL CURSO
  • 4. Seguridad de la información1- Introducción
  • 5. ¿Qué es la información? Conjunto de datos procesados en poder de una organización e independientemente de la forma en que se guarde o transmita (escrita, representada mediante diagramas o impresa en papel, almacenada electrónicamente, proyectada en imágenes, enviada por fax o correo, o, incluso, transmitida de forma oral en una conversación presencial o telefónica),
  • 6. ¿Por qué es necesaria la seguridad de la información?La información y los procesos, sistemas y redes que lasoportan, son importantes activos de negocio. Ladefinición, consecución, mantenimiento, y mejora de laseguridad de la información pueden ser esenciales paramantener su competitividad, rentabilidad,cumplimiento con la legislación, imagen…Las organizaciones y sus sistemas de información y redesse enfrentan, con amenazas de seguridad procedentes deuna amplia variedad de fuentes, incluyendo fraudesbasados en informática, espionaje, sabotaje, vandalismo,incendios o inundaciones. Las causas de daños comoataques por código malicioso, de intrusión y dedenegación de servicios se están volviendo cada vez máscomunes, ambiciosos y sofisticados.
  • 7. ¿QUÉ PROTEGER? ¿DE QUIÉN? ¿CÓMO PROTEGERLO? 8 7 1 SEGURIDAD DE LA INFORMACIÓN PROTEGIDO POR:6 2 5 3 4 ISO 27001 SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
  • 8. ¿Qué es exactamente la seguridad de la información?La seguridad de la información es la preservación de laconfidencialidad, integridad y disponibilidad de la misma y de lossistemas implicados en su tratamiento dentro de una organización.Estos tres factores se definen como:•Confidencialidad: acceso a la información por parte únicamente dequienes estén autorizados.•Integridad: mantenimiento de la exactitud y completitud de lainformación y sus métodos de proceso.•Disponibilidad: acceso a la información y los sistemas de tratamientode la misma por parte de los usuarios autorizados cuando lo requieran
  • 9. Seguridad de la información2- Preguntas y respuestassobre el SGSI y la norma 27001
  • 10. ¿Qué es un SGSI?•Un SGSI es un Sistema de Gestión de la Seguridad de la Información.Esta gestión debe realizarse mediante un proceso sistemático,documentado y conocido por toda la organización. Podríaconsiderarse, por analogía con una norma tan conocida como la ISO9000, como el sistema de calidad para la seguridad de la información.•El propósito de un sistema de gestión de la seguridad de lainformación no es garantizar la seguridad – que nunca podrá serabsoluta- sino garantizar que los riesgos de la seguridad de lainformación son conocidos, asumidos, gestionados y minimizados porla organización de una forma documentada, sistemática, estructurada,continua, repetible, eficiente y adaptada a los cambios que seproduzcan en la organización, los riesgos, el entorno y las tecnologías.
  • 11. Si la seguridad total no existe, ¿qué diferencia aporta un SGSI?Un SGSI es el modo más eficaz de conseguir minimizar los riesgos,asegurar la continuidad adecuada de las actividades de negocio hastaen los casos más extremos y de adaptar la seguridad a los cambioscontinuos que se producen en la organización y en su entorno.Aunque nunca logremos la seguridad total, nos acercamos a ellamediante una mejora continua. Es más apropiado hablar en términosde riesgo asumible en lugar de seguridad total, ya que no sería lógicoque el gasto en seguridad sea mayor que los impactos potenciales delos riesgos que pretende evitar.
  • 12. ¿Qué es la norma ISO 27001? • Es un estándar ISO que proporciona un modelo para establecer, implementar, utilizar, monitorizar, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI). Se basa en un ciclo de vida PDCA (Plan-Do-Check-Act; o ciclo de Deming) de mejora continua, al igual que otras normas de sistemas de gestión (ISO 9001 para calidad, ISO 14001 para medio ambiente, etc.). Es un estándar certificable, es decir, cualquier organización que tengaimplantado un SGSI según este modelo puede solicitar una auditoría externapor parte de una entidad acreditada y, tras superar con éxito la misma, recibirla certificación en ISO 27001
  • 13. ¿En qué consiste la gestión del riesgo y el ciclo de vida PDCA?•Mediante la gestión del riesgo se identifican, evalúan y corrigen aniveles razonables y asumibles en coste todos los riesgos enseguridad que podrían afectar a la información.•PDCA son las siglas en inglés del conocido como ciclo de Deming:Plan-Do-Check-Act (Planificar-Hacer-Verificar-Actuar).•En la fase PLAN se realiza la evaluación de las amenazas, riesgos eimpactos. En la fase DO, se seleccionan e implementan los controlesque reduzcan el riesgo a los niveles considerados como aceptables yen CHECK y ACT se cierra y reinicia el ciclo de vida con la recogidade evidencias y readaptación de los controles según los nuevosniveles obtenidos y requeridos.•Es un proceso cíclico sin fin que permite la mejor adaptación de laseguridad al cambio continuo que se produce en la organización y suentorno.
  • 14. ¿Cuál es el origen de ISO 27001?•Su origen está en la norma de BSI (British Standards Institution)BS7799-Parte 2, norma que fue publicada por primera vez en 1998 yya era un estándar certificable desde entonces. Tras la adaptaciónpertinente, ISO 27001 fue publicada el 15 de Octubre de 2005.¿Puedo certificar mi organización en ISO 17799?•ISO 27002 es un conjunto de buenas prácticas de seguridad de lainformación que describe 133 controles aplicables. No es certificable,al igual que su norma antecesora BS 7799-1, y la aplicación total oparcial en cada organización se realiza de forma totalmente libre y sinnecesidad de una supervisión regular externa.•La norma que sí es certificable es ISO 27001, como también lo fue suantecesora BS 7799-2
  • 15. ¿Qué es un estándar?•Es una publicación que recoge el trabajo en común de los comités defabricantes, usuarios, organizaciones, departamentos de gobierno yconsumidores y que contiene las especificaciones técnicas y mejoresprácticas en la experiencia profesional con el objeto de ser utilizadacomo regulación, guía o definición para las necesidades demandadaspor la sociedad y tecnología.•Los estándares ayudan a aumentar la fiabilidad y efectividad demateriales, productos, procesos o servicios que utilizan todas laspartes interesadas (productores, vendedores, compradores, usuarios yreguladores).•En principio, son de uso voluntario, aunque la legislación y lasreglamentaciones nacionales pueden hacer referencia a ellos.
  • 16. ¿Es ISO 27001 compatible con ISO 9001?•ISO 27001 ha sido redactada de forma análoga a otros estándares,como ISO 9001 (Calidad), ISO 14001 (Medio Ambiente) y OHSAS18001 (prevención de riesgos), con el objetivo, entre otros, de facilitara las organizaciones la integración de todos ellos en un solo sistemade gestión. La propia norma incluye en su anexo C una tabla decorrespondencias de ISO 27001:2005 con ISO 9001:2000 e ISO14001:2004 y sus semejanzas en la documentación necesaria parafacilitar la integración.•Es recomendable integrar los diferentes sistemas, en la medida quesea posible y práctico. En el caso ideal, es posible llegar a un solosistema de gestión y control de la actividad de la organización, que sepuede auditar en cada momento desde la perspectiva de la seguridadde la información, la calidad, el medio ambiente o cualquier otra.
  • 17. La serie 27000•A semejanza de otras normas ISO, la 27000 es realmente una serie de estándares. Los rangos denumeración reservados por ISO van de 27000 a 27019 y de 27030 a 27044.ISO 27000: En fase de desarrollo; su fecha prevista de publicación es Noviembre de 2008. Contendrátérminos y definiciones que se emplean en toda la serie 27000. La aplicación de cualquier estándarnecesita de un vocabulario claramente definido, que evite distintas interpretaciones de conceptostécnicos y de gestión. Esta norma está previsto que sea gratuita, a diferencia de las demás de laserie, que tendrán un coste.ISO 27001: Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y contiene losrequisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS7799-2:2002 y es la norma con arreglo a la cual se certifican por auditores externos los SGSI de lasorganizaciones. Sustituye a la BS 7799-2, habiéndose establecido unas condiciones de transiciónpara aquellas empresas certificadas en esta última. En su Anexo A, enumera en forma de resumenlos objetivos de control y controles que desarrolla la ISO 27002:2005 (nueva numeración de ISO17799:2005 desde el 1 de Julio de 2007), para que sean seleccionados por las organizaciones en eldesarrollo de sus SGSI; a pesar de no ser obligatoria la implementación de todos los controlesenumerados en dicho anexo, la organización deberá argumentar sólidamente la no aplicabilidad delos controles no implementados. Desde el 28 de Noviembre de 2007, esta norma está publicada enEspaña como UNE-ISO/IEC 27001:2007 y puede adquirirse online en AENOR. Otros países dondetambién está publicada en español son, por ejemplo, Colombia , Venezuela y Argentina. El original eninglés y la traducción al francés pueden adquirirse en ISO.org.
  • 18. La serie 27000•ISO 27002: Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005como año de edición. Es una guía de buenas prácticas que describe los objetivos de control ycontroles recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39objetivos de control y 133 controles, agrupados en 11 dominios. La norma ISO27001 contiene unanexo que resume los controles de ISO 27002:2005. En España, aún no está traducida(previsiblemente, a lo largo de 2008). Desde 2006, sí está traducida en Colombia (como ISO 17799)y, desde 2007, en Perú (como ISO 17799; descarga gratuita). El original en inglés y su traducción alfrancés pueden adquirirse en ISO.org.ISO 27003: En fase de desarrollo; su fecha prevista de publicación es Mayo de 2009. Consistirá enuna guía de implementación de SGSI e información acerca del uso del modelo PDCA y de losrequerimientos de sus diferentes fases. Tiene su origen en el anexo B de la norma BS7799-2 y en laserie de documentos publicados por BSI a lo largo de los años con recomendaciones y guías deimplantación.ISO 27004: En fase de desarrollo; su fecha prevista de publicación es Noviembre de 2008.Especificará las métricas y las técnicas de medida aplicables para determinar la eficacia de un SGSIy de los controles relacionados. Estas métricas se usan fundamentalmente para la medición de loscomponentes de la fase “Do” (Implementar y Utilizar) del ciclo PDCA.
  • 19. La serie 27000ISO 27005: En fase de desarrollo; su fecha prevista de publicación es Mayo de 2008. Consistirá enuna guía de técnicas para la gestión del riesgo de la seguridad de la información y servirá, por tanto,de apoyo a la ISO27001 y a la implantación de un SGSI. Recogerá partes de ISO/IEC TR 13335.ISO 27006: Publicada el 1 de Marzo de 2007. Especifica los requisitos para la acreditación deentidades de auditoría y certificación de sistemas de gestión de seguridad de la información. Es unaversión revisada de EA-7/03 (Requisitos para la acreditación de entidades que operancertificación/registro de SGSIs) que añade a ISO/IEC 17021 (Requisitos para las entidades deauditoría y certificación de sistemas de gestión) los requisitos específicos relacionados con ISO27001 y los SGSIs. Es decir, ayuda a interpretar los criterios de acreditación de ISO/IEC 17021cuando se aplican a entidades de certificación de ISO 27001, pero no es una norma de acreditaciónpor sí misma. En España, esta norma aún no está traducida. El original en inglés puede adquirirse enISO.org.ISO 27007: En fase de desarrollo; su fecha prevista de publicación es Mayo de 2010. Consistirá enuna guía de auditoría de un SGSI.ISO 27011: En fase de desarrollo; su fecha prevista de publicación es Enero de 2008. Consistirá enuna guía de gestión de seguridad de la información específica para telecomunicaciones, elaboradaconjuntamente con la ITU (Unión Internacional de Telecomunicaciones).
  • 20. La serie 27000ISO 27031: En fase de desarrollo; su fecha prevista de publicación es Mayo de 2010. Consistirá enuna guía de continuidad de negocio en cuanto a tecnologías de la información y comunicaciones.ISO 27032: En fase de desarrollo; su fecha prevista de publicación es Febrero de 2009. Consistirá enuna guía relativa a la ciberseguridad.ISO 27033: En fase de desarrollo; su fecha prevista de publicación es entre 2010 y 2011. Es unanorma consistente en 7 partes: gestión de seguridad de redes, arquitectura de seguridad de redes,escenarios de redes de referencia, aseguramiento de las comunicaciones entre redes mediantegateways, acceso remoto, aseguramiento de comunicaciones en redes mediante VPNs y diseño eimplementación de seguridad en redes. Provendrá de la revisión, ampliación y renumeración de ISO18028.ISO 27034: En fase de desarrollo; su fecha prevista de publicación es Febrero de 2009. Consistirá enuna guía de seguridad en aplicaciones.ISO 27799: En fase de desarrollo; su fecha prevista de publicación es 2008. Es un estándar degestión de seguridad de la información en el sector sanitario aplicando ISO 27002 (actual ISO 27002).Esta norma, al contrario que las anteriores, no la desarrolla el subcomité JTC1/SC27, sino el comitétécnico TC 215
  • 21. Tengo un firewall, actualizo regularmente el antivirus y realizo copias de backup. ¿Qué aporta un SGSI a mi organización?•Estas medidas no son más que unos pocos controles técnicos que,por sí mismos, no significan que se esté gestionando la seguridad. UnSGSI implica que la organización ha estudiado los riesgos a los queestá sometida toda su información, ha evaluado qué nivel de riesgoasume, ha implantado controles (no sólo tecnológicos, sino tambiénorganizativos) para aquellos riesgos que superan dicho nivel, hadocumentado las políticas y procedimientos relacionados y ha entradoen un proceso continuo de revisión y mejora de todo el sistema.•El SGSI da así la garantía a la organización de que los riesgos queafectan a su información son conocidos y gestionados. No se debeolvidar, por tanto, que no hay seguridad total sino seguridadgestionada.
  • 22. ¿Qué tiene que ver ISO 27001 con ISO 27002?• ISO 27002 es un conjunto de buenas prácticas en seguridad de lainformación. Contiene 133 controles aplicables (en relación a la gestión de lacontinuidad de negocio, la gestión de incidentes de seguridad, control deaccesos o regulación de las actividades del personal interno o externo, entreotros muchos), que ayudarán a la organización a implantar medidas quereduzcan sus riesgos en cuanto a seguridad de la información. Su origen estáen la norma de BSI (British Standards Institution) BS7799-Parte 1, que fuepublicada por primera vez en 1995. No es certificable.• ISO 27001 contiene un anexo A, que considera los controles de la norma ISO27002 para su posible aplicación en el SGSI que implante cada organización(justificando, en el documento denominado “Declaración de Aplicabilidad”, losmotivos de exclusión de aquellos que finalmente no sean necesarios). ISO27002 es para ISO 27001, por tanto, una relación de controles necesarios paragarantizar la seguridad de la información.
  • 23. ¿Qué aporta la ISO 27001 a la seguridad de la información de una organización?•Ayuda a la organización a gestionar de una forma eficaz laseguridad de la información, evitando las inversiones innecesarias,ineficientes o mal dirigidas que se producen por contrarrestaramenazas sin una evaluación previa, por desestimar riesgos, por lafalta de contramedidas, por implantar controles desproporcionados yde un coste más elevado del necesario, por el retraso en las medidasde seguridad en relación a la dinámica de cambio interno de la propiaorganización y del entorno, por la falta de claridad en la asignaciónde funciones y responsabilidades sobre los activos de información,por la ausencia de procedimientos que garanticen la respuestapuntual y adecuada ante incidencias o la propia continuidad delnegocio, etc.
  • 24. ¿ISO 27001 tiene que ver sólo con la seguridad informática de una organización?  La información crítica de una organización está presente en los sistemas informáticos, pero también en papel, en diferentes tipos de archivos y soportes, se transmite a terceros, se muestra en diversos formatos audiovisuales, se comparte en conversaciones telefónicas y reuniones y está presente en el propio conocimiento y experiencia de los trabajadores. ISO 27001 propone un marco de gestión de la seguridad de toda la información de la organización. La presencia masiva de sistemas informáticos en el tratamiento de la información llevaa menudo a centrar la atención sólo en la informática, dejando así expuesta informaciónesencial para las actividades del negocio.• La evaluación de riesgos previa a la implantación de controles debe partir de unanálisis de los impactos que podría suponer para la organización la pérdida de laconfidencialidad, la integridad o la disponibilidad de cualquier parte de su información.Esto es un estudio en términos de negocio, independiente del soporte de la información.• La aplicación posterior de controles considera temas como los aspectos organizativos,la clasificación de la información, la inclusión de la seguridad en las responsabilidadeslaborales, la formación en seguridad de la información, la conformidad con los requisitoslegales o la seguridad física, además de controles propiamente técnicos.
  • 25. ¿Quién debe promover la implantación de ISO 27001 en la organización?•La Dirección de la organización debe liderar el proceso. Teniendo encuenta que los riesgos que se intentan minimizar mediante un SGSIson, en primera instancia, riesgos para el negocio, es la Direcciónquien debe tomar decisiones. Además, la implantación de ISO 27001implicará cambios de mentalidad, de sensibilización, deprocedimientos y tareas, etc., y la Dirección es la única que puedeintroducirlos en la organización.•Sin el apoyo decidido de la Dirección, según la propia ISO 27001indica, no es posible la implantación ni la certificación de la norma enla organización.
  • 26. ¿Cual es la documentación del SGSI?La documentación del SGSI deberá incluir:• Política y objetivos de seguridad.• Alcance del SGSI.• Procedimientos y controles que apoyan elSGSI.• Descripción de la metodología deevaluación del riesgo.• Informe resultante de la evaluación delriesgo.• Plan de tratamiento de riesgos.• Procedimientos de planificación, manejoy control de los procesos de seguridad de lainformación y de medición de la eficacia delos controles.• Registros.• Declaración de aplicabilidad (SOA-Statement of Applicability-).• Procedimiento de gestión de toda ladocumentación del SGSI
  • 27. ¿Cuales son los puntos de la ISO 27001?Evidentemente, el paso previo a intentar la certificación es laimplantación en la organización del sistema de gestión de seguridad dela información según ISO 27001. Este sistema deberá tener un historialde funcionamiento demostrable de al menos tres meses antes desolicitar el proceso formal de auditoría para su primera certificación. ISO 27001 exige que el SGSI contemple los siguientes puntos: • Implicación de la Dirección. • Alcance del SGSI y política de seguridad. • Inventario de todos los activos de información. • Metodología de evaluación del riesgo. • Identificación de amenazas, vulnerabilidades e impactos. • Análisis y evaluación de riesgos. • Selección de controles para el tratamiento de riesgos. • Aprobación por parte de la dirección del riesgo residual. • Declaración de aplicabilidad. • Plan de tratamiento de riesgos. • Implementación de controles, documentación de políticas, procedimientos e instrucciones de trabajo. • Definición de un método de medida de la eficacia de los controles y puesta en marcha del mismo. • Formación y concienciación en lo relativo a seguridad de la información a todo el personal. • Monitorización constante y registro de todas las incidencias. • Realización de auditorias internas. • Evaluación de riesgos periódica, revisión del nivel de riesgo residual, del propio SGSI y de su alcance. • Mejora continua del SGSI.
  • 28. ¿Aporta un retorno de inversión la certificación en ISO27001 de la organización?Como cualquier otro proyecto de la organización,la certificación requiere de una inversión de mayoro menor importancia en función de las prácticasactuales en seguridad. El retorno de la inversiónes realmente efectivo en el tiempo, considerando,entre otras razones, que con ISO 27001:•Se aprovecha el hecho comprobado de que el coste de la implementación de controles apropiadosde seguridad puede ser hasta 7 veces menor cuando se consideran al principio del diseño eimplantación de las soluciones de negocio.•Las inversiones en tecnología se ajustan a unas necesidades y prioridades conocidas de un entornocontrolado. Se evitan compras innecesarias y sobredimensionadas o la necesidad inesperada deproductos.•Muchos errores se evitan gracias a los controles adoptados; los que se detectan regularmente sesolucionan con medidas de coste razonable y sin causar daños, y los que finalmente se producen sesolucionan y controlan mediante procedimientos establecidos.•Se asegura la continuidad de negocio en el tiempo mínimo requerido ante cualquier incidencia, porgrave que sea.•Se evita la fuga de información esencial a competidores y medios públicos que pueda perjudicar elcrecimiento, pérdida de competitividad y reputación de la organización en el mercado en el queparticipa.•Es una buena herramienta para el aprovechamiento de nuevas oportunidades de negocio.•Se demuestra a clientes, proveedores, inversores, al mercado y a la sociedad en general un altonivel de concienciación en la protección de la información y conformidad y cumplimento de lalegalidad
  • 29. ¿Qué tipo de organizaciones se están certificando en ISO 27001?• El estándar se puede adoptar por la mayoría de los sectorescomerciales, industriales y de servicios de pequeñas, medianas ograndes entidades y organizaciones: finanzas, aseguradoras,telecomunicaciones, servicios públicos, minoristas, sectores demanufactura, industrias de servicios diversos, sector del transporte yadministraciones públicas entre otros.• En la actualidad destaca su presencia en organizaciones dedicadasa servicios de tecnologías de la información, como prueba delcompromiso con la seguridad de los datos de sus clientes.
  • 30. ¿Cómo se relaciona ISO 27001 con otros estándares de seguridad de la información?•Ciertamente, existen otros estándares relacionados con seguridad dela información (COBIT, COSO, NIST, ITIL, TickIT, ISO 22.000, etc.),que la enfocan desde diferentes puntos de vista como a controles deseguridad, buen gobierno, gestión de servicios TI, seguridad deproducto…•La organización debería considerar cuál es la mejor opción enrelación a sus necesidades.
  • 31. Quiero implantar ISO 27001, ¿por dónde empiezo?Si está planteándose abordar ISO 27001 en su organización, puede empezar por:• Recopilar información en páginas Web y asistir a eventos informativos.• Comprar las normas ISO 27001 e ISO 27002 en los sitios oficiales; p. ej., ISO (http://www.iso.org),AENOR (http://www.aenor.es) en España.• Realizar un curso de formación, de los muchos que hay en el mercado, de introducción a la norma,a su implantación y su auditoría.•Hacer un "gap analysis" (análisis diferencial) inicial de su estado actual con los controles de ISO17799. Aunque no sea un análisis exhaustivo, proporciona una idea aproximada de la distancia quele separa de la conformidad con la norma y el camino que habrá que recorrer.• En muchos casos, es necesario contratar los servicios de una organización consultoraespecializada que le ayude algunas fases del proceso. Sin embargo, recuerde que las decisiones denegocio no deben ser trasladadas a nadie externo a la organización.• Deberá pasar por todas las tareas propias de implantación de un SGSI: definición de política,determinación del alcance, análisis de riesgos, tratamiento de riesgos, etc.• Paralelamente, formar y concienciar a todo el personal.• Una vez implantado el sistema y en funcionamiento, deberá recopilar evidencias al menos durantetres meses antes de pasar a la auditoría de certificación. Precisamente, son esas evidencias yregistros históricos los que indican al auditor externo que el sistema de gestión funciona de maneraadecuada.• Para certificar su sistema frente a ISO 27001, debe ponerse en contacto con una o variasentidades de certificación acreditadas para pedir formalmente la visita de auditoría (sus tarifas yoferta de servicios pueden diferir). Ofrecen, adicionalmente, un servicio añadido de “pre-auditoria”muy recomendable para afrontar con garantías una primera certificación en la norma.
  • 32. ¿Existe algún producto que cubra los principales aspectos de seguridad de la información?No. Por influencia de la publicidad y las campañas de venta agresivas,es un error común pensar que el nivel de seguridad dependeexclusivamente del presupuesto dedicado a la compra de productosrelacionados.La seguridad exige de un plan de gestión del riesgo continuado,políticas adecuadas a cada organización y una seguridad establecidaen base a múltiples y diferentes barreras. Siempre hay que recordarque la seguridad no es un producto sino un proceso.
  • 33. ¿En qué ayuda a las organizaciones la auditoría de certificación?•Supone la oportunidad de recibir la confirmación por parte de unexperto ajeno a la organización de que se está gestionandocorrectamente la seguridad de la información.•Añade un factor de tensión y de concentración en un objetivo a todoslos miembros del proyecto y de la organización en general, lo queredunda en beneficio de la implantación del sistema. Da una señal almercado de que la organización en cuestión es confiable y esgestionada transparentemente.•Es el requisito indispensable para acceder a la certificación y poderutilizar el sello de certificación junto al de la propia organización.
  • 34. ¿Obliga mi certificación a la de mis organizaciones de servicio externas (outsourcing)?•No necesariamente. ISO27001 indica los controles a considerar paraservicios de outsourcing desde el ámbito de su organización(requisitos contractuales, niveles de servicio, obligaciones legales,auditoría, etc.).•La seguridad de los sistemas de información que están fuera delámbito es responsabilidad de la organización externa, que debecumplir regularmente con los compromisos contractuales exigidos porel cliente
  • 35. ¿Alguien puede obligarme a certificarme en ISO 27001?Como obligación legal, a día de hoy, no. Sin embargo, como en todarelación comercial, el cliente puede exigir a su proveedor ciertascondiciones previas para ser considerado siquiera como opción decontratación.Hay administraciones públicas que están empezando a exigircertificados de este tipo a las organizaciones que quieran acceder aconcursos públicos de productos o servicios relacionados consistemas de información. Igualmente, es previsible que organizacionesprivadas comiencen en algún momento a exigírselo a sus proveedoressiempre que vaya a haber algún tipo actividad relacionada coninformación sensible.
  • 36. ¿Cómo es el proceso de certificación?El proceso de certificación puede resumirse en las siguientesfases:•Solicitud por parte del interesado a la entidad de certificación ytoma de datos por parte de la misma.•Respuesta en forma de oferta por parte de la entidad certificadora.•Compromiso.•Designación de auditores, determinación de fechas yestablecimiento conjunto del plan de auditoría.•Pre-auditoría: opcionalmente, puede realizarse una auditoríaprevia que aporte información sobre la situación actual y orientemejor sobre las posibilidades de superar la auditoría real.•Fase 1 de la auditoría: revisión del alcance, política de seguridad,Dirección, análisis de riesgos, declaración de aplicabilidad yprocedimientos clave.•Fase 2 de la auditoría: revisión de las políticas, auditoría de laimplantación de los controles de seguridad y verificación de laefectividad del sistema.•Certificación: acciones correctivas en caso de no conformidadesgraves, revisión y emisión de certificado en caso de informefavorable.•Auditoría de seguimiento: auditoría semestral o anual demantenimiento.•Auditoría de re-certificación: cada tres años, una auditoría decertificación formal completa.
  • 37. ¿Quién acredita a las entidades certificadoras?•Cada país tiene una entidad de acreditación (algunos, varias) que seencarga de supervisar que las entidades de certificación (las que,finalmente, auditan y certifican los sistemas de gestión de lasorganizaciones) están capacitadas para desempeñar su labor y seajustan a los esquemas establecidos. En España, es ENAC (EntidadNacional de Acreditación; http://www.enac.es) quien tiene esta misión.•También se da el caso de entidades certificadoras que expidencertificados bajo esquema de acreditación de una entidad deacreditación extranjera. En ISO 27001, se da frecuentemente el casocon UKAS (entidad nacional de acreditación del Reino Unido), por elorigen inglés de la norma y su corta vida aún como ISO
  • 38. Seguridad de la información Activos. Evaluación y gestión del riesgo
  • 39. Pasos para la Evaluación y gestión del riesgoA) Identificar los riesgos 1) Identificar los activos dentro del alcance del SGSI, así como los propietarios de estos activos 2) Identificar las amenazas a estos activos 3) Identificar las vulnerabilidades que podrían ser explotadas por las amenazas 4) Identificar los impactos que pueden tener en los activos, las pérdidas de la confidencialidad, integridad y disponibilidad
  • 40. A1) Gestión de activosResponsabilidad sobre los activosInventario de activosTodos los activos deberían ser claramente identificados ydebería prepararse y mantenerse un inventario de todos losactivos importantes.Propiedad de los activosToda la información y los activos asociados con losrecursos para el tratamiento de la información deberíanser propiedad de una parte designada de la organizaciónUso aceptable de los activosLas reglas de uso aceptable de la información y de losactivos asociados con los recursos para el tratamiento dela información, deberían ser identificadas, documentadase implantadas.
  • 41. A1) Gestión de activosTipos de activosActivos de información: ficheros y bases de datos, contratos y acuerdos, documentación del sistema, información de investigación, manuales de los usuarios, material de formación, procedimientos operativos o de soporte, planes de continuidad, configuración del soporte de recuperación, pistas de auditoria e información archivada;Activos de software: aplicaciones de software, software del sistema, herramientas y utilidades de desarrollo;Activos físicos: equipo informático, equipo de comunicaciones, medios desmontables (removible) y otro equipo;Servicios: servicios informáticos y de comunicaciones, utilidades generales, por ejemplo calefacción, iluminación, energía y aire acondicionado;Personas y sus cualificaciones, perfiles y experiencia; EjemploIntangibles, tales como la reputación e imagen de la organización.
  • 42. Evaluación y gestión del riesgoB) Analizar y evaluar los riesgos 1) valorar los impactos en el negocio de la organización que podrían provocar los fallos de seguridad, teniendo en cuenta las consecuencias de una pérdida de confidencialidad, integridad o disponibilidad de los activos. 2) valorar la posibilidad realista de ocurrencia de fallos de seguridad a luz de las amenazas y las vulnerabilidades, y los impactos asociados con los activos y los controles actualmente implantados. 3) estimar los niveles de riesgo 4) determinar si los riesgos son aceptables o requieren de un tratamiento, a partir del criterio de aceptación de riesgos establecido
  • 43. Evaluación y gestión del riesgoC) Identificar y evaluar las opciones de tratamiento de los riesgos Las posibles acciones incluyen: 1) la aplicación de los controles adecuados; 2) el conocimiento y aceptación objetiva de los riesgos, que proporciona una clara conformidad con las políticas de la organización y los criterios de aceptación de los riesgos 3) el evitar los riesgos; y 4) transferir los riesgos asociados al negocio a otras partes, por ejemplo a aseguradoras, suministradores.
  • 44. Evaluación y gestión del riesgoD) Seleccionar los objetivos de los controles y los controles parael tratamiento de los riesgos. Los objetivos de los controles y los controles deben ser seleccionados e implantados para cumplir con los requisitos identificados por el análisis de riesgo y el proceso de tratamiento del riesgo. Esta selección debe tener en cuenta el criterio de aceptación de riesgos, así como los requisitos legales, regulatorios y contractuales. Los objetivos del control y los controles listados en el Anexo A de la norma ISO 27001 deben ser seleccionados como parte de este proceso y de una manera adecuada para cubrir los requisitos identificados. Los objetivos del control y los controles listados en el Anexo A norma ISO 27001 no tienen carácter exhaustivo, y pueden seleccionarse también otros objetivos del control otros controles listados en el Anexo A.
  • 45. Evaluación y gestión del riesgoE) La obtención de la aprobación por parte de la Dirección delos riesgos residuales propuestos.F) La obtención de la autorización por parte de la Direcciónpara implantar y poner en marcha el SGSI.G) La preparación de una declaración de aplicabilidad. Ejemplo Se debe preparar una declaración de aplicabilidad que incluya lo siguiente: 1) Los objetivos de control y los controles seleccionados y las razones de esta selección; 2) Los objetivos de control y los controles actualmente implantados la exclusión de cualquier control objetivo del control y de cualquier control en el anexo A y la justificación para dicha exclusión. NOTA: La declaración de aplicabilidad proporciona un resumen de las decisiones relativas al tratamiento del riesgo. La justificación de las exclusiones proporciona una comprobación cruzada de que no se han omitido controles de una manera inadvertida.
  • 46. Seguridad de la informaciónLa norma ISO 17799:2005
  • 47. Estructura de la norma ISO 17799:2005 La norma contiene 11 capítulos de controles de seguridad que contienen untotal de 39 categorías principales de seguridad y un capítulo introductorio sobre valoración y tratamiento del riesgo. Cada categoría principal de seguridad contiene: a) un objetivo del control objetivo que establece que es lo que se quiere conseguir; y b) uno o más controles que pueden ser aplicados para conseguir el objetivo del control. En total 133 controles a aplicar
  • 48. Estructura de la norma ISO 17799:2005 Cada capítulo contiene un número de Categorías principales de seguridad. Los once capítulos (acompañados del número de Categorías principales de seguridad incluidos dentro de cada capítulo) son los siguientes:a) Política de seguridad (1);b) Organización de la seguridad de la información (2);c) Gestión de activos (2);d) Seguridad ligada a los Recursos Humanos (3); NOTA: El orden de los capítulos dee) Seguridad física y del entorno (2); la norma no implica orden de importancia. En función de lasf) Gestión de comunicaciones y operaciones (10); circunstancias, todos los capítulos pueden ser importantes, por lo tantog) Control de acceso (7); cada organización que aplique estah) Adquisición de sistemas de información. Desarrollo y norma debería identificar que capítulos le son aplicables, como mantenimiento (6); son de importantes y su aplicación ai) Gestión de incidentes de seguridad de la información cada proceso de negocio. Además, el orden de la lista de controles de (2); esta norma no implica orden dej) Gestión de la continuidad del negocio (1); prioridad salvo cuando así se indica.k) Conformidad (3).
  • 49. Política de seguridadPolítica de Seguridad de la InformaciónDefinición: Manual que aporta una serie de recomendaciones y líneas de actuación para distinguirentre el uso correcto de los sistemas de información y el indebido.Objetivo: Dirigir y dar soporte a la gestión de la seguridad de la información de acuerdo a los requisitosdel negocio y a la legislación y regulación aplicablesDocumento de Política de Seguridad de la InformaciónUn documento de política de seguridad de la información debería ser aprobado por la Dirección ydebería ser publicado y comunicado a todos los empleados y terceras partes.Revisión de la política de seguridad e la informaciónLa política de seguridad de la información se deberíarevisar a intervalos planificados o en el caso de que se Proceso de autorización de recursos para el tratamiento de laproduzcan cambios significativos para asegurar la información (6.1.4) Uso aceptable de los activos (7.1.3)idoneidad, adecuación y la eficacia de la continuidad Extracción de pertenencias (9.2.7) Derechos de propiedad intelectual (IPR) (15.1.2) Controles contra el código malicioso (10.4) ¿Cómo? Ejemplos del contenido Correo electrónico y Envío de mensajes (10.8.4) Sistemas de información del negocio (10.8.5) Política de puesto de trabajo despejado y pantalla limpia (11.3.3) Política de uso de los servicios de red (11.4.1) •Políticas de Sistema de gestión de contraseñas (11.5.3) Seguridad de la Ejemplo Ordenadores y comunicaciones móviles (11.7.1) Teletrabajo (11.7.2) Proceso disciplinario (8.2.3) información Seguridad de los equipos fuera de los locales de la organización (9.2.5
  • 50. 6 Organización de la seguridad de la informaciónOrganización internaComisión de gestión de la seguridad de la informaciónCoordinación de la seguridad de la informaciónAsignación de responsabilidades sobre Seguridad de la InformaciónProceso de autorización de recursos para el tratamiento de la informaciónAcuerdos de confidencialidadContactos con grupos de interés especialRevisión independiente de la seguridad de la informaciónPartes externasIdentificación de riesgos relativos a partes externasDireccionamiento de la seguridad en el trato con los clientesDireccionamiento de la seguridad en contratos con terceros
  • 51. Coordinación de la seguridad de la informaciónLas actividades relativas a la seguridad de la información deberíanser coordinadas por representantes de las diferentes partes de laorganización con los correspondientes roles y funciones de trabajoCooperación y colaboración de: •Directivos •Personal de seguridad •Usuarios •Seguros •Administrativos •Asuntos legales •Diseñadores de aplicaciones •Recursos humanos •Consultores •TI •Auditores •Gestión del riesgo •Etc.¿Cómo? •Nombramiento de un director de seguridad de la información que coordine éstas actividades
  • 52. Asignación de responsabilidades sobre Seguridad de la Información Deberían definirse claramente todas las responsabilidades de seguridad de la información.¿Cómo? •Organigrama Ejemplo •Manual de funciones o •Perfil de los puestos de trabajoProceso de autorización de recursos para eltratamiento de la informaciónDebería definirse e implantarse un proceso de autorización parala gestión de cada nuevo recurso de tratamiento de lainformación.¿Cómo? •Procedimiento •Tabla Recursos/Autorizaciones
  • 53. Acuerdos de confidencialidadDeberían identificarse y revisarse de una manera regular losrequisitos de los acuerdos de confidencialidad o no revelación quereflejen las necesidades de la organización para la protección de lainformación¿Cómo? •Acuerdos de confidencialidad EjemploContacto con las autoridadesDeberían mantenerse contactos adecuados con las autoridadesque corresponda¿Cómo? •Tabla de autoridades, teléfonos y persona de contacto •Banco de España •Bomberos •Proveedores •Etc.
  • 54. Contacto con grupos de interés especialSe deberían mantener contactos apropiados con grupos de interésespecial u otros foros especialistas en seguridad y asociacionesprofesionales.¿Cómo? •Tabla de identificación de grupos especiales •Banco de España •Revistas sectoriales •Foros de seguridad •EtcRevisión independiente de la seguridad de lainformaciónLa gestión de la seguridad de la información (por ejemplo objetivosdel control, controles, políticas, procedimientos para seguridad de lainformación) debería revisarse de una manera independiente aintervalos planificados¿Cómo? •Auditoría interna •Revisión por la dirección
  • 55. Identificación de riesgos relativos a partes externasDeberían identificarse los riesgos de la información de laorganización y de los dispositivos de tratamiento de la informaciónasí como la implantación de los controles adecuados antes degarantizar el acceso¿Cómo? •Procedimiento Ejemplo •Tabla/registro de identificación, evaluación y control de partes externasDireccionamiento de la seguridad en el trato con losclientesTodos los requisitos de seguridad que se hayan identificado deberíanser dirigidos antes de dar acceso a los clientes a los activos o a lainformación de la seguridad¿Cómo? •Utilización de los sistemas anteriormente descritos
  • 56. Gestión de activosClasificación de la informaciónLa información debería ser clasificada para indicar la necesidad,las prioridades y el grado esperado de protección cuando semaneja la información.La información tiene varios grados de sensibilidad y criticidad.Algunos puntos pueden requerir un nivel de protección adicionalo un manejo especial.Se debería utilizar un esquema de clasificación de lainformación para definir un conjunto adecuado de niveles deprotección y comunicar la necesidad de medidas especiales detratamientoMarcado y tratamiento de la informaciónDebería desarrollarse un conjunto adecuado deprocedimientos para marcar y tratar la información deacuerdo con el esquema de clasificación adoptado por laorganización.
  • 57. Seguridad ligada a los Recursos HumanosPrevio a la contrataciónFunciones y responsabilidades Investigación de antecedentes Términos y condiciones de contrataciónDurante la contrataciónGestión de responsabilidades Concienciación, educación y formación en seguridad de la información Proceso disciplinarioFinalización o cambio de puesto de trabajoFinalización de responsabilidades Retorno de activos Retirada de los derechos de acceso
  • 58. Funciones y responsabilidadesLas funciones y responsabilidades de seguridad para los empleados,contratista y usuarios de tercera parte deberían ser definidas ydocumentadas de acuerdo con la política de seguridad de lainformación de la organización. ¿Cómo? •Manual de funciones o •Perfil de los puestos de trabajo Investigación de antecedentes La comprobación de los antecedentes de todos los candidatos al puesto de trabajo, los contratistas o los usuarios de tercera parte deberían ser llevadas a cabo de acuerdo con la legislación aplicable, las reglamentaciones y éticas y de una manera proporcional a los requisitos de negocio, la clasificación de la información a la que se accede y los riesgos considerados.¿Cómo? •Referencias •Curriculum Vitae •Confirmación de las certificaciones académicas •Comprobaciones crediticias y de antecedentes
  • 59. Seguridad física y del entornoÁreas seguras Perímetro de seguridad físicaDeberían utilizarse perímetros de seguridad (barreras talescomo muros, puertas de entrada con control a través detarjeta, o mesas de recepción tripuladas) para proteger lasáreas que contienen la información y los recursos detratamiento de la información.Controles físicos de entradaLas áreas seguras deberían estar protegidas por controles deentrada adecuados para asegurar que únicamente se permiteel acceso al personal autorizado.Seguridad de oficinas, despachos y recursosSe debería diseñar y aplicar la seguridad física para lasoficinas, despachos y recursos.
  • 60. Seguridad física y del entornoProtección contra las amenazas externas y del entornoSe deberían diseñar y aplicar una protección físicacontra el daño por fuego, inundación, terremoto,explosión, malestar social y otras formas dedesastres naturales o provocados por el hombre..Trabajo en áreas segurasSe debería diseñar e implantar la protección física y lasdirectrices para trabajar en las áreas seguras.Áreas de acceso público, de carga y descargaDeberían controlarse los puntos de acceso tales como lasáreas de carga y descarga y otros puntos donde puedaacceder personal no autorizado, y si es posible, dichos puntosdeberían estar aislados de los recursos de tratamiento de lainformación para evitar accesos no autorizados.
  • 61. Seguridad física y del entornoSeguridad de los equiposInstalación y protección de equiposLos equipos deberían estar situados o protegidos para reducirlos riesgos de las amenazas y los riesgos del entorno asícomo de las oportunidades de accesos no autorizados.Instalaciones de suministroLos equipos deberían estar protegidos de los fallos deenergía y de otras interrupciones causadas por fallos en lasinstalaciones de suministro.Seguridad del cableadoEl cableado eléctrico y de telecomunicaciones quetransmite datos o los servicios de soporte de la informacióndebería estar protegido de interceptación o daño.
  • 62. Seguridad física y del entornoMantenimiento de los equiposLos equipos deberían ser mantenidos de una manera correctapara asegurar su continúa disponibilidad y su integridadSeguridad de los equipos fuera de los locales de la organizaciónSe deberían aplicar medidas de seguridad a los equipos fuerade los locales de la organización, teniéndose en cuenta losdiferentes riesgos de trabajar fuera de los locales de laorganización.Seguridad en la reutilización o eliminación de equiposTodos los elementos del equipo que contengan medios dealmacenamiento deberían ser comprobados para asegurarque todo dato sensible y software bajo licencia se ha borradoo sobrescrito, previamente a su eliminación.Extracción de pertenenciasLos equipos, la información o el software no deberíansacarse fuera de las instalaciones sin previa autorización.
  • 63. Gestión de incidentes en la seguridad de la informaciónNotificación de eventos y puntos débiles de la seguridad dela informaciónComunicación de los eventos de seguridad de la informaciónLos eventos de seguridad de la información deberíancomunicarse mediante canales adecuados de gestión lo antesposible.Comunicación de puntos débiles de seguridadTodos los trabajadores, contratistas y usuarios de terceros delos sistemas y servicios de información deberían estarobligados a anotar y comunicar cualquier punto débil quehayan observado o que sospechen que exista en los sistemaso servicios.
  • 64. CumplimientoCumplimiento de los requisitos legalesObjetivo: Evitar quebrantamientos de las leyes o incumplimientos de cualquierobligación legal, reglamentaria o contractual o de cualquier requisito deseguridad.Identificación de la legislación aplicableTodos los requisitos pertinentes, tanto legales como reglamentarios ocontractuales, y el enfoque de la organización para cumplirlos deberían definirseexplícitamente, documentarse y mantenerse actualizados para cada sistema deinformación y la organización.Derechos de propiedad intelectual (IPR)Deberían implementarse procedimientos adecuados para garantizar elcumplimiento de los requisitos legales, reglamentarios y contractuales acerca deluso de materiales con respecto a los cuales puedan existir derechos de propiedadintelectual y acerca del uso de productos de software exclusivo.
  • 65. CumplimientoProtección de los registros de la organizaciónLos registros importantes deberían estar protegidos contra la pérdida, destruccióny falsificación de acuerdo con los requisitos legales, reglamentarios, contractualesy empresariales.Protección de datos y privacidad de la información personalDebería garantizarse la protección de datos y la privacidad según se requiera enla legislación, las normativas y, si fuera aplicable, las cláusulas contractualespertinentes.
  • 66. Seguridad de la información RSI X- Continuidad del Negocio
  • 67. Gestión de la continuidad del negocioAspectos de seguridad de la información en la gestión de la continuidaddel negocioObjetivo: Reaccionar a la interrupción de las actividades empresariales y proteger losprocesos críticos de negocio de los efectos de desastres o de fallos importantes de lossistemas de información, así como garantizar su oportuna reanudación.Debería implementarse un proceso de gestión de la continuidad del negocio para minimizarlos efectos sobre la organización y poder recuperarse de pérdidas de activos de información(como resultado, por ejemplo, de desastres naturales, accidentes, fallos de los equipos yacciones intencionadas) hasta un nivel aceptable mediante una combinación de controlespreventivos y de recuperación. Este proceso debería identificar los procesos críticos denegocio e integrar los requisitos de gestión de seguridad de la información para lacontinuidad del negocio con otros requisitos de continuidad relacionados con aspectos talescomo las actividades, el personal, los materiales, el transporte y las instalaciones.
  • 68. Gestión de la continuidad del negocioInclusión de la seguridad de la información en el proceso de gestión dela continuidad del negocioDebería desarrollarse y mantenerse un proceso controlado para la continuidad del negocioen toda la organización que trate los requisitos de seguridad de la información necesariospara la continuidad del negocio de la organización.Continuidad del negocio y evaluación de riesgosDeberían identificarse los eventos que provocan interrupciones en los procesos de negocio,así como la probabilidad y los efectos de dichas interrupciones y sus consecuencias conrespecto a la seguridad de la información.Desarrollo e implementación de planes de continuidad que incluyanseguridad de la informaciónDeberían desarrollarse e implementarse planes para mantener o restaurar las actividades ygarantizar la disponibilidad de la información en el nivel y la escala temporal requeridosdespués de una interrupción o un fallo de los procesos críticos de negocio.
  • 69. Gestión de la continuidad del negocioMarco de referencia para la planificación de la continuidad del negocioSe debería mantener un único marco de referencia para los planes de continuidaddel negocio para asegurar que todos los planes son consistentes, para dirigir deuna manera coherente los requisitos de seguridad de la información, y paraidentificar prioridades para las pruebas y el mantenimiento.Pruebas, mantenimiento y reevaluación de los planes de continuidad delnegocioLos planes de continuidad del negocio deberían probarse y actualizarseperiódicamente para garantizar que están al día y que son efectivos.
  • 70. GESTIÓN DE LA CONTINUIDAD DE NEGOCIO Comité de Seguridad Propietario del Plan de Continuidad Todo el personal Identificar y Incidente que ha priorizar procesos 1 provocado 13 críticos interrupci ón Identificar los activos que ¿ Existe plan No Sí intervienen en los de procesos 2 contingencia? Identificar eventos que puedan provocar Solucionar incidente interrupciones 3 14 Evaluar probabilidad e impacto 4 Actuar segú n plan continuidad Sí 15 ¿ Es significativo? No Elaborar Plan de continuidad 6 Mantener bajo control 5 Implantar controles preventivos 7 Implantar procedimientos de continuidad 8 Aprobar Plan de continuidad 9 Formar al personal en caso necesario 10 Distribuir Plan de Continuidad 11 Realizar pruebas, mantenimiento y reevaluación de los planes 12
  • 71. UN CASO REAL… “La Gaceta de los Negocios” INCENDIO DEL EDIFICIO WINDSOR ¿Y SI MAÑANA NOSPASARA A NOSOTROS?
  • 72. CONTINUIDAD DEL NEGOCIOObjetivo:Reaccionar a las posibles interrupciones de las actividades empresariales y proteger losprocesos críticos de negocio de los efectos de desastres o de fallos importantes de lossistemas de información, así como garantizar su oportuna reanudación. + = + + = PLAN
  • 73. QUÉ CONTIENEQué hacer:Implementar un proceso de gestión de la continuidad del negocio para minimizar losefectos sobre la organización y poder recuperarse de pérdidas de activos de información(como resultado, por ejemplo, de desastres naturales, accidentes, fallos de los equipos yacciones intencionadas) hasta un nivel aceptable mediante una combinación de controlespreventivos y de recuperación.  Identificados los procesos críticos de negocio PLAN  Identificados los activos que participan en estos procesos  Evaluados los riesgos en base a las posibles amenazas  Definidos controles preventivos  Definido Plan de actuación en caso de ocurrencia
  • 74. TÉRMINOS PROCESO CRÍTICO Proceso que forma parte de la cadena de valor de la Organizacióny cuya realización es base del éxito y supervivencia de la misma. Proceso que dando soporte a uno varios procesos críticos, lainterrupción de su ejecución provoque la interrupción de uno o variosde ellos ACTIVO Recurso del sistema de información o relacionado con éste,necesario para que la organización funcione correctamente y alcancelos objetivos propuestos por su dirección
  • 75. METODOLOGÍAObjetivo:El objetivo de nuestra metodología, no es realizar un Plan de Contingencias que contempletodos los posibles eventos que puedan interrumpir la actividad de la empresa, sinocentrarnos en las actividades y recursos más críticos de cara a optimizar los recursosdestinados a la elaboración y mantenimiento del Plan de Continuidad del NegocioMetodología:4 etapas en la realización de un Plan de Continuidad del Negocio Identificar y valorar Identificar y valorar Elaborar planes de PLA Identificar y valorar los activos los eventos contingencia para N los procesos relacionados con sobre los activos los eventos más críticos de negocio los procesos críticos más críticos significativos
  • 76. METODOLOGÍAPASO 1:Identificar y valorar los procesos críticos de negocio  Conocer la estructura de la empresa  Conocer sus procesos de negocio, su Mapa de Procesos  Seleccionar aquellos procesos cuya realización compone la cadena de valor de la empresa, o aquellos que les dan soporte de forma muy directa y cuya interrupción supone la interrupción inmediata de los primeros  Valorar estos procesos según tres aspectos: impacto en cliente, coste asociado a su inactividad y probabilidad de ocurrencia de eventos que provoquen su interrupción
  • 77. EJEMPLOEjemplo:Identificación y valoración de procesos críticos Orden Importancia Coste asociado a Probabilidad de ocurrencia de Impacto en el inactividad Proceso crítico eventos cliente Peso Total Recogida de archivos 4 5 1 20 7,69% 6 1. MINIMO/A 2. LEVE Devolución de archivos 5 5 1 25 9,62% 5 3. MODERADO/A 4. ALTO/A Inventario de Archivos 2 5 3 30 11,54% 3 5. CRITICO/A Destrucción de archivos 3 5 2 30 11,54% 3 Custodia 2 5 2 20 7,69% 6 Facturación 4 5 3 60 23,08% 2 Control sobre prestamos 5 5 3 75 28,85% 1
  • 78. METODOLOGÍAPASO 2:Identificar y valorar los activos relacionados con los procesos críticos  Conocer los procesos críticos y los activos que intervienen en los mismos  Valorar el grado de relación de cada uno de los activos especificados con cada uno de los procesos críticos de la empresa  Identificar la importancia que tiene cada uno de los activos en base a la relación del mismo con los procesos críticos y a la valoración obtenida para estos últimos
  • 79. EJEMPLO Ejemplo: Identificación y valoración de procesos críticos y activos relacionados Orden Importancia Coste asociado a Teléfonos móviles Equipo Puesto de Medios extraíbles Personal Archivo Probabilidad de Equipos de fax ocurrencia de Impacto en el (HD portátiles, ininterrumpida Instalaciones Factor alimentación Sistemas de Enrutadores inactividad Furgonetas Impresoras Pens, etc.)Proceso crítico Mobiliario eventos Servidor Escaner Oficinas cliente trabajo Peso Total (8)Recogida de archivos 1 1 1 1 1 3 1 1 9 1 1 9 1 4 5 1 20 7,69% 6Devolución de archivos 1 1 1 1 1 3 1 1 9 1 1 9 1 5 5 1 25 9,62% 5Inventario de Archivos 9 9 1 9 9 1 1 9 9 1 1 1 1 2 5 3 30 11,54% 3Destrucción de archivos 1 1 1 1 1 1 1 1 9 1 1 9 1 3 5 2 30 11,54% 3Custodia 9 9 1 9 9 1 1 9 9 1 1 1 1 2 5 2 20 7,69% 6Facturación 9 9 1 1 9 3 1 1 9 9 1 1 1 4 5 3 60 23,08% 2Control sobre prestamos 9 1 1 1 1 1 1 1 9 1 1 1 1 5 5 3 75 28,85% 1VALORACIÓN PONDERADA 6,6923 4,3846 1 2,5385 4,3846 1,8077 1 2,54 9 2,85 1 3,31 1ORDEN DE CRITICIDAD DEL ACTIVO 2 3 10 7 3 9 10 7 1 6 10 5 10 0 Sin relación 1. MINIMO/A 1 Relación débil 2. LEVE 3 Relación media 3. MODERADO/A 9 Relación fuerte 4. ALTO/A 5. CRITICO/A
  • 80. METODOLOGÍAPASO 3:Identificar y valorar los eventos sobre los activos más críticos  Partiendo de los activos más críticos, identificar posibles eventos que puedan producir una afección grave sobre los mismos causando la interrupción de los procesos en los que toman parte  Valorar estos eventos en base a su probabilidad de ocurrencia, su impacto económico y su grado de recuperación  Priorizar así los eventos sobre los que deberíamos realizar un Plan de Contingencias
  • 81. EJEMPLOEjemplo:Identificación y valoración de eventos sobre los activos críticos Probabilidad Impacto económico Periodo de recuperación De 600€ a Menos de 1 vez a la semana 1 vez el 1 vez al Mas de 6000 € 6000 € Grave Media 600 € Baja mes Total Nº año Eventos 1 2 3 1 2 3 1 2 31- Incendio en Instalaciones 1 3 3 9 32- Borrado de BBDD 2 2 1 4 63- Caída Servidor 1 1 1 1 105- Corte suministro de luz 1 1 3 3 96- Corte de comunicaciones 1 2 2 4 67- Robo o extravío archivo personal 2 3 3 18 28- Accidente transporte 2 2 2 8 59- Avería transporte 2 1 2 4 610- Inundación Instalaciones 1 3 3 9 311- Falta de espacio 3 3 3 27 1
  • 82. METODOLOGÍAPASO 4:Elaborar Planes de Contingencia para los eventos más significativos Partiendo de los eventos más significativos identificados en la etapa anterior, se documenta para cada uno los siguientes aspectos: Descripción del evento Propietario de la gestión y ejecución del Plan Condiciones para su activación Controles preventivos Plan de contingencias Elementos o aspectos a comprobar
  • 83. EJEMPLOEjemplo:Ficha de Plan de Contingencia de un evento Campo Explicación 1 Evento Nombre del evento o suceso Propietario de gestión Responsable de la documentación, implantación, revisión y mejora 2 del plan del mismo Condiciones para su Criterios que determinarán cuando es apropiado poner en 3 activación funcionamiento el plan o procedimiento de recuperación Controles técnicos u organizativos o medios humanos que se van a 4 Controles Preventivos destinar para prevenir que suceda el evento o, en caso de que ocurra, para detectar su ocurrencia y paliar los resultados del mismo Procedimientos que permitan la recuperación y restauración de las 5 Plan de contingencias actividades empresariales, así como la disponibilidad de la información en las escalas temporales requeridas 6 Qué comprobar Elementos de detección, protección y/o actuación
  • 84. FIN Gracias por vuestra atención Para más información: JOSÉ MARÍA GILGADO TANCO jmgilgado@consultoriainnovadora.com Teléfonos 616 63 03 89Para poder mejorar: Rellenar los cuestionarios