-
Gobierno de las TICsCalidad y Seguridad en las TICs
AENOR
Carlos Manuel Fernndez.
CISA, CISM
AENOR-Direccin de Desarrollo
Gerente de TI
-
AGENDA
Introduccin en las TICs.
Teora de Caos- Actividades de AENOR.
MOTOR- Conocimiento.
AENOR
UNE ISO 20000-1. SGSTI.
ISO 15504 (ISO 12207). Factoras de Software.
UNE ISO 27001- SGSI.
Futuro. Conclusiones.
-
Asociacin privada
Sin nimo de lucro
Constitucin: 1986
Real decreto 2200/95
AENOR Corporacin
AENOR INTERNACIONAL (9 filiales)
AENOR Mxico (10 aos en Mxico DF y Delegaciones)
Introduccin en TICs
AENOR
DF y Delegaciones)
Multisectorial
Normalizacin . UNE-ISO.
Certificacin productos, servicios, sistemas de gestin y
personal
Servicios de Formacin
Direccin de Desarrollo (Laboratorio de TICs)
-
ISO 27002 ISO 27002 ISO 27002 ISO 27002 Gua de controles
ISO 27001 S.G. ISO 27001 S.G. ISO 27001 S.G. ISO 27001 S.G.
Seguridad de la
BS25999 (1 y 2)BS25999 (1 y 2)BS25999 (1 y 2)BS25999 (1 y 2)
Gestin de continuidad de
negocio
ISO 15504 ISO 15504 ISO 15504 ISO 15504
IT GovernanceIT GovernanceIT GovernanceIT Governance
Normas con relacin con TICs
TICs
AENOR
ISO 20000ISO 20000ISO 20000ISO 20000----2 2 2 2 Gua de
buenas
prcticasISO 19770 ISO 19770 ISO 19770 ISO 19770
SAMISO 20001ISO 20001ISO 20001ISO 20001----1 1 1 1
S.G. STI
Seguridad de la Informacin ISO 15504 ISO 15504 ISO 15504 ISO
15504
SPiCE
ISO 12207 ISO 12207 ISO 12207 ISO 12207 Ciclo de vida de
desarrollo de software
TICs
-
BCM 25999Bussines Continuity Management.
BSI standard
IT GovernanceGobierno de las TIC. Norma Australiana
SPICE ISO 15504SAM
ISO 19770SGSTI
ISO 20000-1
Proyectos Procesos / Servicios
Actividades TICs (1 de 2)(1 de 2)(1 de 2)(1 de 2)
AENOR
SPICE ISO 15504Modelo de Evaluacin, Mejora y Capacidad de
Software
ISO 19770Software Asset Management
SGSI ISO 27001
Sistema de Gestin Seguridad de la Informacin
ISO 27002Gua de Controles
ISO 12207Ciclo de Vida de Desarrollo de Software
ISO 20000-1Sistema de Gestin Servicios IT
ISO 20000-2Gua de Buenas Prcticas
Adicionalmente:
Certificacin Accesibilidad TIC Sitios WEB.
Infraestructura CPD
Buenas Prcticas Comercio Electrnico
Software Original
-
PDCA
SGSTIISO 20000-1
SGSIISO 27001
(Motor)(Motor)(Motor)(Motor)
ISO.. ISO..
GUIA
S
DE
M
E
T
Motor- Conocimiento. (2 de 2)(2 de 2)(2 de 2)(2 de 2)
AENOR
ISO27002ISO 20000-2
(ITIL)
LIBRERAINFRAESTRUCTURA
CPD?
((((Conocimiento)Conocimiento)Conocimiento)Conocimiento)
IMPLANTACION
R
I
C
A
S
-
Informe Penteo (2006): Slo un 21% de las cas gestionan el dpto.
de SI con criterios de negocio
31 % gestionan el dpto. de SI slo con criterios tecnolgicos
48 % gestionan con criterios hbridos
Conclusiones: La Direccin de las cas. Tiene una percepcin ms
positiva de los CIOs que siguen criterios de Negocio. Les dan el
rol de lderes contribuidores
Gestin de las TICs con criterios de Negocio
Calidad en el servicio TICs y de la ingeniera del Software
AENOR
que siguen criterios de Negocio. Les dan el rol de lderes
contribuidores de negocio en un 58%
La Gestin de las TICs mejora el posicionamiento del dpto. de SI
y del CIO
En un futuro los CIOS ms gestores y menos tecnlogos
(Encuesta a: 85 Directores de TICs, 36 Dir. Generales y 12
Presidentes)
-
Alcance: Que un proveedor de servicios de TI (CPD) provea
servicios gestionados de una calidad aceptable para sus
clientes
Se basa: en ITIL es un estndar internacional , que es un
conjunto de buenas prcticas en la Gestin del Servicio de TI,
desarrollado por la Office of Goverment Comerce (UK)
Beneficios de ISO 20000-ITIL: Maximizar la Calidad del
servicio
UNE -ISO 20000 Sistemas de Gestin de Servicios TI
AENOR
Maximizar la Calidad del servicio
Alinear los servicios de TI a las necesidades del negocio
Reducir Costes
Aumentar la satisfaccin del Cliente
Visin clara de la capacidad del departamento de TI
Minimizar el tiempo de ciclo de cambios y mejorar resultados en
base a mtricas
Toma de decisiones en base a indicadores de negocio y de TI
-
ISO 20000-parte 2(Procesos-Gua)
P
A
Planificar la implementacin y prestacin de la Gestin de
servicios
Implementar los objetivos y plan de gestin de los servicios
Certificacin SGSTI (ISO 20000-1): MODELO PDCA
Plan-Do-Check-Act
AENOR
D
CRevisar plan de gestin de los servicios y requisitos de los
serviciosRevisin por Direccin Auditoras Internas, etc.
Mejorar la eficacia y la eficiencia de la prestacin y gestin de
los servicios
Adoptar las acciones correctivasAdoptar las acciones
preventivas
-
Manual de SGSTI
Poltica(s), alcance
Nivel 1
Documentacin del SGSTI
AENOR
Procedimientos
Registros
Describe procesos - quin, qu, cundo,)
Describe las tareas y las actividades especficas y cmo se
realizan
Proporciona las pruebas objetivas del cumplimiento con las
exigencias del SGSTI
Nivel 2
Nivel 3
Nivel 4
Instrucciones de trabajo,listas de comprobacin,
formularios, etc.
-
Procesos de control
Gestin del nivel de servicio
Informacin del servicio
Gestin de la Seguridad de la Informacin
Elaboracin de presupuestos y contabilidad de los servicios de
TI
Gestin de la capacidad
Gestin de la continuidad y disponibilidad del servicio
Procesos de Provisin del Servicio
Alcance de UNE ISO/IEC 20000
AENOR
Gestin de la configuracin Gestin del cambio
Proceso de entrega
Gestin de la entrega
Procesos de resolucin
Gestin del incidente
Gestin del problema
Procesos de relaciones
Gestin de relaciones de negocio
Gestin de suministradores
Fte: ISO / IEC 20000. Gua de Bolsillo. itSMF
-
Est formada por dos partes bajo el mismo ttulo: Tecnologas de la
Informacin Gestin del Servicio UNE-ISO/IEC 20000-1. Parte1:
Especificacin
Promueve la adopcin de un marco de procesos de gestin, para una
provisin de servicios gestionados que estn en lnea con: las
necesidades del negocio
con los requisitos de los clientes
UNE ISO/IEC 20000
AENOR
Motor
UNE-ISO/IEC 20000-2. Parte 2: Cdigo de prcticas Gua y
recomendaciones relativas a las buenas prcticas de la Gestin del
Servicio
Esta parte debera usarse junto con la parte 1 de la norma
ISO/IEC 20000 relativa a las especificaciones
Conocimiento
-
PR
O
V
E
E
D
O
R
E
S
Probar
CLIENTE(tctico)
Gestin del Account
Gestin del Nivel de servicio
Construir
G
e
s
t
i
n
d
e
S
e
g
u
r
i
d
a
d
Gestin de Continuidad
Gestin de Capacidad
Gestin Financiera
Gestin de Disponibilidad
CMDBGestin de Cambios
USUARIO(operacional)
Diseo y Gestin del Servicio
E
n
t
r
e
g
a
d
e
S
e
r
v
i
c
i
o
s
Peticin Cambio RfC
IPW : Workflow de implementacin de procesos
AENOR
P
R
O
V
E
E
D
O
R
E
S
Fuente: IPW . Quint Wellington Redwood
Gestin de Entrega
Produccin
Gestin de Problemas
Gestin de Incidencias
Gestin de Configuracin
S
e
r
v
i
c
e
D
e
s
k
SERVICIO
S
e
r
v
i
c
i
o
s
d
e
S
o
p
o
r
t
e
-
ISO/IEC 15504-SPCEFactoras de Software
Estndar Internacional para Evaluar Procesos de Software
Objetivo: Procesos de Mejora Continuada
AENOR
Procesos de Mejora Continuada
Determinacin de la Capacidad (madurez en CMMI)
mbito: Los procesos incluyen adquisicin, proveedor, desarrollo,
operacin, mantenimiento, soporte y organizacin. (ISO 12207)
-
El modelo de evaluacin
Dos dimensiones de modelo para procesos y capacidad de procesos
Dimensin de Procesos
Categora de Procesos
Procesos (P1, , Pn) CL5CL5
AENOR
Procesos (P1, , Pn)
Dimensin de la Capacidad
Niveles de Capacidad (CL1, , CL5)
Atributos de Capacidad de Procesos
CL5CL4CL3CL2CL1CL0CL0
ENG.1 ENG.2...ORG.6
CL1CL2CL3CL4CL5
Cada proceso recibe un nivel de capacidadEsto hace referencia a
un modelo continuado
-
ISO/IEC 15504 PRM: modelo procesos de referencia
AdquisicinPreparacin para la adquisicinSeleccin del
proveedorAcuerdo contractualMonitorizacin del proveedorAceptacin
del cliente
GestinAlineacin de la organizacinGestin de la organizacinGestin
de proyectosGestin de la calidadGestin de riesgos Medida
Mejora de ProcesosEstablecimiento de procesosEvaluacin de
procesos
SuministroOferta del proveedorEntrega del productoSoporte a la
aceptacin del producto
SoporteAseguramiento de la
CalidadVerificacinValidacinRevisionesAuditoras Evaluacin de
ProductoDocumentacinGestin de la ConfiguracinGestin de la resolucin
de problemas Gestin de las peticiones de cambios
AENOR
IngenieraCaptura de requisitosAnlisis de requisitos del
sistemaDiseo de la arquitectura del sistemaAnlisis de requisitos de
softwareDiseo de softwareConstruccin del softwareIntegracin del
softwarePruebas del softwareInstalacin del softwareIntegracin del
sistemaPruebas del sistemaMantenimiento de software y de
sistema
Evaluacin de procesosMejora de procesos
Soporte a la aceptacin del producto Gestin de las peticiones de
cambios
Recursos e Infraestructura
Gestin de recursos humanosFormacinGestin del
conocimientoInfraestructura
ReusoGestin de elementos reusablesGestin del programa de
reusoIngeniera de dominio
PRIMARIOS
SOPORTE
ORGANIZACIONALES
OperacinUso operacionalSoporte al cliente
-
Niveles de Capacidad y Atributos de los Procesos
Nivel 4 PredeciblePA.4.1 Medida del procesoPA.4.2 Control del
proceso
Nivel 5 OptimizadoPA.5.1 Innovacin de los procesosPA.5.2
Optimizacin de los procesos
PredecibleEl proceso es definido consistentemente en sus lmites
definidos.
OptimizadoEl proceso se mejora continuamente para cumplir los
objetivos de negocio relevantes actuales y proyectadas.
AENOR
Nivel 1 RealizadoPA.1.1 Realizacin del proceso
Nivel 2 GestionadoPA.2.1 Gestin de la realizacin PA.2.2 Gestin
productos resultantes
Nivel 3 EstablecidoPA.3.1 Definicin de los procesosPA.3.2
Aplicacin del proceso
Nivel 0 Incompleto IncompletoEl proceso no est implementado o
falla en alcanzar su propsito.
RealizadoSe implementa el proceso y alcanza los objetivos del
proceso.
GestionadoEl proceso es gestionado y los productos resultantes
se establecen, controlan y mantienen.
definidos. EstablecidoSe utiliza un proceso definido basado en
un proceso estndar.
-
Calificacin de los Atributos
La capacidad de los atributos de procesos de asigna mediante
calificaciones
Los atributos se evalan segn un esquema de 4 tipos de
calificaciones:
AENOR
4 tipos de calificaciones: N - No alcanzado 0 - 15%
P - Parcialmente alcanzado >15 - 50%
L - Ampliamente Alcanzado >50 - 85%
F - Completamente Alcanzado >85 - 100%
-
Niveles de Madurez de una organizacin
Parte 7 de la ISO/IEC 15504: requisitos para Organizational
Maturity levels (publicacin final en Octubre 2008)
Pathfinder: Ejemplo internacionalmente
AENOR
Pathfinder: Ejemplo internacionalmente acordado
-
Organization Maturity levels
Nivel 0 Organizacin- Inmadura
Nivel 1 Organizacin- Bsica
Nivel 2 Organizacin- Gestionada
AENOR
Nivel 3 Organizacin- Efectiva
Nivel 4 Organizacin- Predecible
Nivel 5 Organizacin- Optimizada
-
Modelo de Madurez de una Organizacin (ejemplo)
AENOR
Conjunto de procesos por nivel: los bsicos y los extendidos (IN
en el mbito
de la OU (Organizational Unit))
-
Modelo de Madurez de una Organizacin-ISO 12207- (ejemplo)
AENOR
-
Modelo de Madurez de una Organizacin (ejemplo)
AENOR
-
La certificacin de los Sistemas de Gestin
Seguridad de la
AENOR
Seguridad de la Informacin.
La solucin a los Riesgos
Empresariales
AENOR
-
Factores que influyen en la Seguridad de los SI:
Actualmente: Nueva York y en los 80s : Mainframe Ciudad de vila.
Magerit
Amplio uso de la Tecnologa.
Interconectividad de los sistemas. Sistemas abiertos y
distribuidos.
AENOR
y distribuidos.
Cambios muy rpidos en las TICs.
Ataques a Organizaciones. Tema atractivo?.
Factores externos: Legislacin .etc...(Information Security
Governance. 2006. IT Governance Institute).
-
Riesgos Empresariales En el World Economic Forums Annual DAVOS
meeting-, SWISS RE
informa de su estudio encuesta a nivel mundial (60 entrevistas a
senior executives en : USA, Francia, Alemania, Italia , Japn y
Reino Unido-Dic-2005 ).
El riesgo de los Ordenadores-SI- y las TICs, ocupa el primer
lugar en 3 pases (Japn, Reino Unido y USA), y en el top three de
los otros pases, para sus negocios.
AENOR
pases, para sus negocios.
Como herramienta primordial para mitigar estos riesgos de SI
indican el Control Interno Informtico. SWISS RE. SGSI- ISO 27001- y
ISO 27002. (Fuente: AENOR- Carlosmf)
-
Informe de riesgos en las TICs
Uno de cada 5 empleados deja a su familia y amigos usar sus
porttiles corporativos para acceder a Internet. (21%)
Uno de cada diez confiesa que baja algn tipo de contenido que no
debiera mientras est en el trabajo.
AENOR
contenido que no debiera mientras est en el trabajo. Dos tercios
admiten tener conocimientos muy limitados en materia de
seguridad.
Un 5% dice que tienen acceso a areas de la red corporativa que
no deberan tener.
Fuente: McAffee.
-
PDCA
SGSITISO 20000-1
SGSIISO 27001
SISTEMAS DE GESTIN DETICs
(Motor)
(Conocimiento)ISO.. ISO..
GUIAS
DE
I
M
E
T
R
AENOR
ISO27001 ISO 20000-2(ITIL)LIBRERA
INFRAESTRUCTURACPD
?
(Conocimiento)I
MPLANTACION
R
I
CA
S
-
Certificacin de Sistemas de Gestin de la Seguridad de la
Informacin-SGSI-
En que consiste?Establecer y reordenar la Seguridad de los
Sistemas de
Informacin en concordancia con los PlanesEstratgicos de la
Organizacin y con sus Polticas deSeguridad.
AENOR
Un nuevo Ciclo de Mejora Continua: SGSIuna Gestin eficaz de la
Seguridad de los SI permite
garantizar:la Confidencialidad,la Integridad yla Disponibilidad
de los Sistemas de Informacin.
-
QU PRESERVAR?Cada organizacin tiene que preservar 3
CARACTERSTICAS
asociadas a la informacin:
DISPONIBILIDAD CONFIDENCIALIDAD
AENO
R
AENOR
DISPONIBILIDAD CONFIDENCIALIDAD
INTEGRIDAD
Asegurar que la informacin es accesible solo para
aquellos autorizados a tener acceso.
Garantizar la exactitud y completitud de la
informacin y los mtodos de su proceso
Asegurar que los usuarios autorizados
tienen acceso cuando lo requieran a la
informacin y sus activos asociados.
-
DEFINICION DE SISTEMA DE GESTION DE SI
Aquella parteparte deldel sistemasistema generalgeneral dede
gestingestin quecomprende la poltica, la estructura organizativa,
losprocedimientos, los procesos, y los recursosnecesarios para
implantar la gestin de la seguridadde la informacin.
AENOR
de la informacin.
Es la herramienta de que dispone la Direccin paraimplantar las
polticas y objetivos de Seguridad de laInformacin.
-
1 Poltica de Seguridad de Informacin
2 Estructura organizativa de la SI
6 Gestin de comunicaciones y operaciones
7 Control de accesos
ISO IEC 27002
P
A
Definir poltica de seguridad
Establecer alcance del al SGSI
Realizar anlisis de riesgos
Seleccionar los controles
Implantar plan de gestin de riesgos
Implantar el SGSI
Implantar los controles
Certificacin SGSI-UNE ISO 27001MODELO PDCA Plan-Do-Check-Act
AENO
R
AENOR
2 Estructura organizativa de la SI
3 Clasificacin y control de activos
4 Seguridad ligada al personal
5 Seguridad fsica y del entorno
7 Control de accesos
8 Desarrollo y mantenimiento de sistemas
9 Gestin de Incidentes de Seguridad
10. Gestin Continuidad de
Negocio-----------------------------------------------------------
11 Conformidad y Cumplimiento legislacin
D
C
Revisar internamente el SGSI
Realizar auditorias internas del SGSI
Adoptar las acciones correctivas
Adoptar las acciones preventivas
-
S.G.S.I.
Activos de SISistemas de informacin
(aplicativos)SoftwareHardware
Anlisis y Gestin de riesgos
R=F(X1,X2,X3,Xn)Integridad (X1)Confidencialidad
(X2)Disponibilidad (X )
Riesgo Residual
Activo1-------R1
Activo2-------R2
Procesos
AENOR
HardwareTelecomunicaciones
Personas
Disponibilidad (X3)Amenazas (X4)Vulnerabilidades (X5)Impacto
Econmico (X6)XN
AplicandoISO 27002
(Seleccin de Controles)
-
Objeto yAlcanceEsta norma especifica los requisitos para
establecer,implantar, documentar y evaluar un SGSI de acuerdocon la
ISO 27002.
NORMA ISO 27001: Especificaciones para los Sistemas de Gestin de
la
Seguridad de la Informacin
AENOR
con la ISO 27002.Especifica los requisitos de los controles de
seguridadde acuerdo con las necesidades de las
organizaciones,independientemente de su tipo, tamao o rea
deactividad.
-
Cada rea o dominio tiene asociados uno o varios objetivos de
seguridad
NORMA ISO/IEC 27002: OBJETIVOS Y CONTROLES
Para cada objetivo se definen, a su vez, uno o ms controles de
seguridad cuya implantacin debe traducirse en la consecucin del
objetivo de seguridad asociado
11 REAS
AENOR133 CONTROLES
11 REAS
39 OBJETIVOS CONTROL
-
Caracterstica de SGSI
Este Sistema proporciona mecanismos para lasalvaguarda:De los
Activos de Informacin.De los Sistemas que los procesan.
AENOR
De los Sistemas que los procesan.En concordancia con las
polticas de Seguridady planes estratgicos de la Organizacin.Es la
herramienta de que dispone la Direccin para implantar las polticas
yobjetivos de Seguridad de la Informacin: integridad,
confidencialidad ydisponibilidad.
-
Factores crticos para el xito Una seguridad orientada al
negocio
Implementar la Seguridad en consonancia con la cultura de la
empresa
Apoyo visible y compromiso de la Direccin.
Buen entendimiento de los requisitos de seguridad, de la
evaluacin y gestin de los riesgos.
Convencer de la necesidad de la seguridad a directivos y
AENOR
Convencer de la necesidad de la seguridad a directivos y
empleados.
Proveer formacin y guas sobre polticas y normas a toda la
organizacin.
Un sistema de medicin para evaluar el rendimiento de la gestin
de la seguridad y sugerir mejoras.
-
VENTAJAS DE CERTIFICAR LAS ACTIVIDADES DE SI -1/1
Con respecto al Negocio: Integrar la gestin de la seguridad de
la informacin con
otras modalidades de gestin empresarial Mejorar la imagen
confianza y competitividad
empresarial. La organizacin que desarrolle un SGSI segnla norma,
tendr ventajas de reconocimiento por los
AENOR
la norma, tendr ventajas de reconocimiento por losorganismos que
certifican los sistemas.
Comprobar su compromiso con el cumplimiento de lalegislacin:
proteccin de datos de carcter personal,servicios sociedad de
informacin, comercio electrnico,propiedad intelectual, etc...
Dar satisfaccin a accionistas y demostrar el valor aadidode las
actividades de seguridad de la informacin en laempresa
-
Resumen de Beneficios de SGSI en las Organizaciones
AENOR
-
Estado Actual. Un buen presagio.
La Seguridad de los SI en los procesos de Negocio.
Ingeniera de la Seguridad de los Sistemas de Informacin.
Mediante un ciclo de mejora continua.
AENOR
continua.
Reordenar nuestro Sistema de SSI.
Interface con otros Sistemas. SDLC (Ciclo de Vida del Software),
etc..
-
Bibliografa del Conocimiento en SSI
MAGERIT: Metodologa de anlisis y gestin de riesgos de los
sistemas de informacin de las Administraciones Pblicas.
www.csi.map.es/csi/pgm5m20.htm
Seguridad de las Tecnologas de la Informacin. AENOR. 2003.
Varios Autores:Eduardo Fdez. Medina, Roberto Moya, Mario Piattini,
etc..www.aenor.es
Seguridad Informtica para empresas y particulares.
AENOR
Seguridad Informtica para empresas y particulares. 2004. Mc Graw
Hill y Panda.Gonzalo Alvrez Maran y Pedro Pablo Prez. Revisin:
Pedro Bustamante.
NIST Special Publication SP 800-12: An Introduction to Computer
Security.The NISTHandbook. National Institute of Standards and
Technology.
http://csrc.nist.gov/publications/nistpubs/800-12/ Information
Security Governance: Guidance for Boards of Directors and
Executive Management. IT Governance Institute. Control
Objectives for Information and Related Technology (Cobit) .
www.isaca.org/cobit.htm Implementing Information Security
(dbased on ISO 27001 / ISO 17799) , Van
Hauren Publishing.
-
CUESTIONARIOPRELIMINAR Y SOLICITUD
INFORME
AUDITORA DEL SISTEMAFASE II
INFORME
AUDITORAS DE
INFORME
VISITA PREVIAFASE I
ANLISIS DE LA DOCUMENTACIN(MANUAL, PROCEDIMIENTOS)
FASE I
REGISTRO SISTEMA DE GESTIN
Diagrama de Flujo del Proceso de Certificacin
AENORAENOR 42
AUDITORAS DE SEGUIMIENTOANUALES
AUDITORAS DERENOVACIN
AUDITORA EXTRAORDINARIACONCESIN DEL
CERTIFICADO
PLAN DE ACCIONESCORRECTORAS
1 mes
SISTEMA DE GESTINSERVICIOS TECNOLOGAS
DE INFORMACIN
-
Un Nuevo Reto en las TICs:
La Gestin Integrada (PDCA) de las TICs
alineadas con el Negocio.
Certificaciones en TICs: La solucin a sus Riesgos
AENOR
solucin a sus Riesgos Empresariales
Muchas Gracias, estamos a su disposicin en:
AENOR Carlos Manuel Fdez.
Gerente de [email protected]
91-4326004
