Gobierno de las TICs

Calidad y Seguridad en las TICs

Carlos Manuel Fernndez. CISA, CISM AENOR-Direccin de Desarrollo Gerente de TI

AENOR

AGENDA
Introduccin en las TICs. Teora de Caos- Actividades de AENOR. MOTOR- Conocimiento. UNE ISO 20000-1. SGSTI. ISO 15504 (ISO 12207). Factoras de Software. UNE ISO 27001- SGSI. Futuro. Conclusiones.

AENOR

Introduccin en TICs
Asociacin privada Sin nimo de lucro Constitucin: 1986 Real decreto 2200/95 AENOR Corporacin AENOR INTERNACIONAL (9 filiales) AENOR Mxico (10 aos en Mxico DF y Delegaciones) Multisectorial Normalizacin . UNE-ISO. Certificacin productos, servicios, sistemas de gestin y personal Servicios de Formacin Direccin de Desarrollo (Laboratorio de TICs)

AENOR

Normas con relacin con TICs

BS25999 (1 y 2) Gestin de continuidad de negocio

ISO 27002 Gua de controles ISO 27001 S.G. Seguridad de la Informacin

IT Governance

TICs

ISO 15504 SPiCE

ISO 2000020000-2 Gua de buenas prcticas ISO 2000120001-1 S.G. STI

ISO 19770 SAM

ISO 12207 Ciclo de vida de desarrollo de software

AENOR

Actividades TICs
BCM 25999
Bussines Continuity Management. BSI standard

(1 de 2)
IT Governance
Gobierno de las TIC. Norma Australiana

Proyectos

Procesos / Servicios

SPICE ISO 15504

Modelo de Evaluacin, Mejora y Capacidad de Software

SAM ISO 19770

Software Asset Management

SGSTI ISO 20000-1

Sistema de Gestin Servicios IT ISO 20000-2
Gua de Buenas Prcticas

ISO 12207
Ciclo de Vida de Desarrollo de Software

Adicionalmente: Certificacin Accesibilidad TIC Sitios WEB. Infraestructura CPD Buenas Prcticas Comercio Electrnico Software Original

SGSI ISO 27001

Sistema de Gestin Seguridad de la Informacin ISO 27002

AENOR

Gua de Controles

Motor- Conocimiento.
PDCA
(Motor)

(2 de 2)
G UI A S

M E T R I C A S ISO27002 ISO 20000-2 (ITIL) SGSI ISO 27001

SGSTI ISO 20000-1 (Conocimiento) ISO.. ISO.. D E

LIBRERA INFRAESTRUCTURA CPD

I M PL A N T A CI O N

AENOR

Gestin de las TICs con criterios de Negocio Calidad en el servicio TICs y de la ingeniera del Software
Informe Penteo (2006):
Slo un 21% de las cas gestionan el dpto. de SI con criterios de negocio 31 % gestionan el dpto. de SI slo con criterios tecnolgicos 48 % gestionan con criterios hbridos

Conclusiones:
La Direccin de las cas. Tiene una percepcin ms positiva de los CIOs que siguen criterios de Negocio. Les dan el rol de lderes contribuidores de negocio en un 58% La Gestin de las TICs mejora el posicionamiento del dpto. de SI y del CIO En un futuro los CIOS ms gestores y menos tecnlogos (Encuesta a: 85 Directores de TICs, 36 Dir. Generales y 12 Presidentes)

AENOR

UNE -ISO 20000 Sistemas de Gestin de Servicios TI

Alcance: Que un proveedor de servicios de TI (CPD) provea servicios gestionados de una calidad aceptable para sus clientes Se basa: en ITIL es un estndar internacional , que es un conjunto de buenas prcticas en la Gestin del Servicio de TI, desarrollado por la Office of Goverment Comerce (UK) Beneficios de ISO 20000-ITIL:
Maximizar la Calidad del servicio Alinear los servicios de TI a las necesidades del negocio Reducir Costes Aumentar la satisfaccin del Cliente Visin clara de la capacidad del departamento de TI Minimizar el tiempo de ciclo de cambios y mejorar resultados en base a mtricas Toma de decisiones en base a indicadores de negocio y de TI

AENOR

Certificacin SGSTI (ISO 20000-1): MODELO PDCA Plan-Do-Check-Act

Planificar la implementacin y prestacin de la Gestin de servicios

P
ISO 20000-parte 2 (Procesos-Gua) Implementar los objetivos y plan de gestin de los servicios

D
Mejorar la eficacia y la eficiencia de la prestacin y gestin de los servicios

Adoptar las acciones correctivas Adoptar las acciones preventivas

Revisar plan de gestin de los servicios y requisitos de los servicios Revisin por Direccin Auditoras Internas, etc.

AENOR

Documentacin del SGSTI

Nivel 1
Poltica(s), alcance

Manual de SGSTI

Nivel 2

Describe procesos - quin, qu, cundo,)

Procedimientos Instrucciones de trabajo, listas de comprobacin, formularios, etc.

Nivel 3

Describe las tareas y las actividades especficas y cmo se realizan Proporciona las pruebas objetivas del cumplimiento con las exigencias del SGSTI

Nivel 4

Registros

AENOR

Alcance de UNE ISO/IEC 20000

Procesos de Provisin del Servicio

Gestin de la capacidad Gestin de la continuidad y disponibilidad del servicio Gestin del nivel de servicio Informacin del servicio Gestin de la Seguridad de la Informacin Elaboracin de presupuestos y contabilidad de los servicios de TI

Procesos de control
Proceso de entrega
Gestin de la entrega Gestin de la configuracin Gestin del cambio

Procesos de relaciones Procesos de resolucin

Gestin del incidente Gestin del problema Gestin de relaciones de negocio Gestin de suministradores

Fte: ISO / IEC 20000. Gua de Bolsillo. itSMF

AENOR

UNE ISO/IEC 20000 Est formada por dos partes bajo el mismo ttulo: Tecnologas de la Informacin Gestin del Servicio
UNE-ISO/IEC 20000-1. Parte1: Especificacin
Promueve la adopcin de un marco de procesos de gestin, para una provisin de servicios gestionados que estn en lnea con:
las necesidades del negocio con los requisitos de los clientes

Motor

UNE-ISO/IEC 20000-2. Parte 2: Cdigo de prcticas

Gua y recomendaciones relativas a las buenas prcticas de la Gestin del Servicio Esta parte debera usarse junto con la parte 1 de la norma ISO/IEC 20000 relativa a las especificaciones Conocimiento

AENOR

IPW : Workflow de implementacin de procesos

Entrega de Servicios Gestin de Seguridad

CLIENTE (tctico)

Gestin de Continuidad Gestin del Account Probar Construir

Diseo y Gestin del Servicio

Gestin Financiera

Gestin de Disponibilidad

Gestin del Nivel de servicio

Gestin de Capacidad

(operacional)

Peticin Cambio RfC

CMDB
Gestin de Cambios Gestin de Incidencias

Servicios de Soporte

Gestin de Problemas

Service Desk

Gestin de Configuracin

Gestin de Entrega

Produccin

SERVICIO
Fuente: IPW . Quint Wellington Redwood

AENOR

PROVEEDORES

USUARIO

ISO/IEC 15504-SPCE Factoras de Software

Estndar Internacional para Evaluar Procesos de Software Objetivo:
Procesos de Mejora Continuada Determinacin de la Capacidad (madurez en CMMI)

mbito:
Los procesos incluyen adquisicin, proveedor, desarrollo, operacin, mantenimiento, soporte y organizacin. (ISO 12207)

AENOR

El modelo de evaluacin
Dos dimensiones de modelo para procesos y capacidad de procesos
Dimensin de Procesos
Categora de Procesos Procesos (P1, , Pn)

Dimensin de la Capacidad
Niveles de Capacidad (CL1, , CL5) Atributos de Capacidad de Procesos

CL5 CL4 CL3 CL2 CL1 CL0 ENG.1 ENG.2...ORG.6

Cada proceso recibe un nivel de capacidad

Esto hace referencia a un modelo continuado

AENOR

ISO/IEC 15504 PRM: modelo procesos de referencia Adquisicin Gestin

Soporte
Preparacin para la adquisicin Seleccin del proveedor Acuerdo contractual Monitorizacin del proveedor Aceptacin del cliente

Suministro
Oferta del proveedor Entrega del producto Soporte a la aceptacin del producto

Aseguramiento de la Calidad Verificacin Validacin Revisiones Auditoras Evaluacin de Producto Documentacin Gestin de la Configuracin Gestin de la resolucin de problemas Gestin de las peticiones de cambios

Alineacin de la organizacin Gestin de la organizacin Gestin de proyectos Gestin de la calidad Gestin de riesgos Medida

Mejora de Procesos
Establecimiento de procesos Evaluacin de procesos Mejora de procesos

Ingeniera
Captura de requisitos Anlisis de requisitos del sistema Diseo de la arquitectura del sistema Anlisis de requisitos de software Diseo de software Construccin del software Integracin del software Pruebas del software Instalacin del software Integracin del sistema Pruebas del sistema Mantenimiento de software y de sistema

SOPORTE PRIMARIOS ORGANIZACIONALES Operacin

Uso operacional Soporte al cliente

Recursos e Infraestructura
Gestin de recursos humanos Formacin Gestin del conocimiento Infraestructura

Reuso
Gestin de elementos reusables Gestin del programa de reuso Ingeniera de dominio

AENOR

Niveles de Capacidad y Atributos de los Procesos

Optimizado El proceso se mejora continuamente para cumplir los objetivos de negocio relevantes actuales y proyectadas. Predecible El proceso es definido consistentemente en sus lmites definidos. Establecido Se utiliza un proceso definido basado en un proceso estndar.

Nivel 5 Optimizado
PA.5.1 PA.5.2 Innovacin de los procesos Optimizacin de los procesos

Nivel 4 Predecible
PA.4.1 PA.4.2 Medida del proceso Control del proceso

Nivel 3 Establecido
PA.3.1 PA.3.2 Definicin de los procesos Aplicacin del proceso

Nivel 2 Gestionado
PA.2.1 PA.2.2 Gestin de la realizacin Gestin productos resultantes

Nivel 1 Realizado
PA.1.1 Realizacin del proceso

Realizado Se implementa el proceso y alcanza los objetivos del proceso.

Gestionado El proceso es gestionado y los productos resultantes se establecen, controlan y mantienen.

Nivel 0 Incompleto

Incompleto El proceso no est implementado o falla en alcanzar su propsito.

AENOR

Calificacin de los Atributos

La capacidad de los atributos de procesos de asigna mediante calificaciones Los atributos se evalan segn un esquema de 4 tipos de calificaciones:
N - No alcanzado 0 - 15% P - Parcialmente alcanzado >15 - 50% L - Ampliamente Alcanzado >50 - 85% F - Completamente Alcanzado >85 - 100%

AENOR

Niveles de Madurez de una organizacin

Parte 7 de la ISO/IEC 15504: requisitos para Organizational Maturity levels (publicacin final en Octubre 2008) Pathfinder: Ejemplo internacionalmente acordado

AENOR

Organization Maturity levels

Nivel 0 Organizacin- Inmadura Nivel 1 Organizacin- Bsica Nivel 2 Organizacin- Gestionada Nivel 3 Organizacin- Efectiva Nivel 4 Organizacin- Predecible Nivel 5 Organizacin- Optimizada

AENOR

Modelo de Madurez de una Organizacin (ejemplo)

Conjunto de procesos por nivel: los bsicos y los extendidos (IN en el mbito de la OU (Organizational Unit))

AENOR

Modelo de Madurez de una Organizacin-ISO 12207- (ejemplo)

AENOR

Modelo de Madurez de una Organizacin (ejemplo)

AENOR

La certificacin de los Sistemas de Gestin Seguridad de la Informacin. La solucin a los Riesgos Empresariales
AENOR

AENOR

Factores que influyen en la Seguridad de los SI:

Actualmente: Nueva York y en los 80s : Mainframe Ciudad de vila. Magerit Amplio uso de la Tecnologa. Interconectividad de los sistemas. Sistemas abiertos y distribuidos. Cambios muy rpidos en las TICs. Ataques a Organizaciones. Tema atractivo?. Factores externos: Legislacin .etc...
(Information Security Governance. 2006. IT Governance Institute).

AENOR

Riesgos Empresariales
En el World Economic Forums Annual DAVOS meeting-, SWISS RE informa de su estudio encuesta a nivel mundial (60 entrevistas a senior executives en : USA, Francia, Alemania, Italia , Japn y Reino Unido-Dic-2005 ). El riesgo de los Ordenadores-SI- y las TICs, ocupa el primer lugar en 3 pases (Japn, Reino Unido y USA), y en el top three de los otros pases, para sus negocios. Como herramienta primordial para mitigar estos riesgos de SI indican el Control Interno Informtico. SWISS RE.
SGSI- ISO 27001- y ISO 27002. (Fuente: AENOR- Carlosmf)

AENOR

Informe de riesgos en las TICs

Uno de cada 5 empleados deja a su familia y amigos usar sus porttiles corporativos para acceder a Internet. (21%) Uno de cada diez confiesa que baja algn tipo de contenido que no debiera mientras est en el trabajo. Dos tercios admiten tener conocimientos muy limitados en materia de seguridad. Un 5% dice que tienen acceso a areas de la red corporativa que no deberan tener.
Fuente: McAffee.

AENOR

SISTEMAS DE GESTIN DETICs

PDCA
(Motor) G U I A S

M E T R I C A S ISO27001 ISO 20000-2 (ITIL) LIBRERA INFRAESTRUCTURA CPD ? SGSI ISO 27001
SGSIT ISO 20000-1 ISO.. ISO..

D E

(Conocimiento)

I M P L A N T A C I O N

AENOR

Certificacin de Sistemas de Gestin de la Seguridad de la Informacin-SGSIEn que consiste?

Establecer y reordenar la Seguridad de los Sistemas de Informacin en concordancia con los Planes Estratgicos de la Organizacin y con sus Polticas de Seguridad. Un nuevo Ciclo de Mejora Continua: SGSI una Gestin eficaz de la Seguridad de los SI permite garantizar: la Confidencialidad, la Integridad y la Disponibilidad de los Sistemas de Informacin.

AENOR

 AENOR

QU PRESERVAR?
Cada organizacin tiene que preservar 3 CARACTERSTICAS asociadas a la informacin:

DISPONIBILIDAD
Asegurar que los usuarios autorizados tienen acceso cuando lo requieran a la informacin y sus activos asociados.

CONFIDENCIALIDAD
Asegurar que la informacin es accesible solo para aquellos autorizados a tener acceso.

INTEGRIDAD
Garantizar la exactitud y completitud de la informacin y los mtodos de su proceso

AENOR

DEFINICION DE SISTEMA DE GESTION DE SI

Aquella parte del sistema general de gestin que comprende la poltica, la estructura organizativa, los procedimientos, los procesos, y los recursos necesarios para implantar la gestin de la seguridad de la informacin. Es la herramienta de que dispone la Direccin para implantar las polticas y objetivos de Seguridad de la Informacin.

AENOR

 AENOR

Certificacin SGSI-UNE ISO 27001 MODELO PDCA Plan-Do-Check-Act

Definir poltica de seguridad Establecer alcance del al SGSI Realizar anlisis de riesgos Seleccionar los controles

Implantar plan de gestin de riesgos Implantar el SGSI Implantar los controles

ISO IEC 27002

A
1 Poltica de Seguridad de Informacin 2 Estructura organizativa de la SI 3 Clasificacin y control de activos 4 Seguridad ligada al personal 5 Seguridad fsica y del entorno 6 Gestin de comunicaciones y operaciones 7 Control de accesos 8 Desarrollo y mantenimiento de sistemas 9 Gestin de Incidentes de Seguridad 10. Gestin Continuidad de Negocio ----------------------------------------------------------11 Conformidad y Cumplimiento legislacin

Adoptar las acciones correctivas Adoptar las acciones preventivas Revisar internamente el SGSI Realizar auditorias internas del SGSI

AENOR

Procesos

S.G.S.I.
Anlisis y Gestin de riesgos R=F(X1,X2,X3,Xn) Integridad (X1) Confidencialidad (X2) Disponibilidad (X3) Amenazas (X4) Vulnerabilidades (X5) Impacto Econmico (X6) XN Aplicando ISO 27002 (Seleccin de Controles) Riesgo Residual

Activos de SI Sistemas de informacin (aplicativos) Software Hardware Telecomunicaciones Personas

Activo1-------R1 Activo2-------R2

AENOR

NORMA ISO 27001: Especificaciones para los Sistemas de Gestin de la Seguridad de la Informacin
Objeto yAlcance Esta norma especifica los requisitos para establecer, implantar, documentar y evaluar un SGSI de acuerdo con la ISO 27002. Especifica los requisitos de los controles de seguridad de acuerdo con las necesidades de las organizaciones, independientemente de su tipo, tamao o rea de actividad.

AENOR

NORMA ISO/IEC 27002: OBJETIVOS Y CONTROLES

Cada rea o dominio tiene asociados uno o varios objetivos de seguridad Para cada objetivo se definen, a su vez, uno o ms controles de seguridad cuya implantacin debe traducirse en la consecucin del objetivo de seguridad asociado

11 REAS

39 OBJETIVOS CONTROL 133 CONTROLES

AENOR

Caracterstica de SGSI
Este Sistema proporciona mecanismos para la salvaguarda: De los Activos de Informacin. De los Sistemas que los procesan. En concordancia con las polticas de Seguridad y planes estratgicos de la Organizacin.
Es la herramienta de que dispone la Direccin para implantar las polticas y objetivos de Seguridad de la Informacin: integridad, confidencialidad y disponibilidad.

AENOR

Factores crticos para el xito

Una seguridad orientada al negocio Implementar la Seguridad en consonancia con la cultura de la empresa Apoyo visible y compromiso de la Direccin. Buen entendimiento de los requisitos de seguridad, de la evaluacin y gestin de los riesgos. Convencer de la necesidad de la seguridad a directivos y empleados. Proveer formacin y guas sobre polticas y normas a toda la organizacin. Un sistema de medicin para evaluar el rendimiento de la gestin de la seguridad y sugerir mejoras.

AENOR

VENTAJAS DE CERTIFICAR LAS ACTIVIDADES DE SI -1/1

Con respecto al Negocio:
Integrar la gestin de la seguridad de la informacin con otras modalidades de gestin empresarial Mejorar la imagen confianza y competitividad empresarial. La organizacin que desarrolle un SGSI segn la norma, tendr ventajas de reconocimiento por los organismos que certifican los sistemas. Comprobar su compromiso con el cumplimiento de la legislacin: proteccin de datos de carcter personal, servicios sociedad de informacin, comercio electrnico, propiedad intelectual, etc... Dar satisfaccin a accionistas y demostrar el valor aadido de las actividades de seguridad de la informacin en la empresa

AENOR

Resumen de Beneficios de SGSI en las Organizaciones

AENOR

Estado Actual. Un buen presagio.

La Seguridad de los SI en los procesos de Negocio. Ingeniera de la Seguridad de los Sistemas de Informacin. Mediante un ciclo de mejora continua. Reordenar nuestro Sistema de SSI. Interface con otros Sistemas. SDLC (Ciclo de Vida del Software), etc..

AENOR

Bibliografa del Conocimiento en SSI

MAGERIT: Metodologa de anlisis y gestin de riesgos de los sistemas de informacin de las Administraciones Pblicas. www.csi.map.es/csi/pgm5m20.htm Seguridad de las Tecnologas de la Informacin. AENOR. 2003. Varios Autores: Eduardo Fdez. Medina, Roberto Moya, Mario Piattini, etc.. www.aenor.es Seguridad Informtica para empresas y particulares. 2004. Mc Graw Hill y Panda. Gonzalo Alvrez Maran y Pedro Pablo Prez. Revisin: Pedro Bustamante. NIST Special Publication SP 800-12: An Introduction to Computer Security.The NIST Handbook. National Institute of Standards and Technology. http://csrc.nist.gov/publications/nistpubs/800-12/ Information Security Governance: Guidance for Boards of Directors and Executive Management. IT Governance Institute. Control Objectives for Information and Related Technology (Cobit) . www.isaca.org/cobit.htm Implementing Information Security (dbased on ISO 27001 / ISO 17799) , Van Hauren Publishing.

AENOR

Diagrama de Flujo del Proceso de Certificacin

ANLISIS DE LA DOCUMENTACIN (MANUAL, PROCEDIMIENTOS) FASE I CUESTIONARIO PRELIMINAR Y SOLICITUD VISITA PREVIA FASE I

INFORME
AUDITORA DEL SISTEMA FASE II

INFORME

AUDITORAS DE RENOVACIN

REGISTRO SISTEMA DE GESTIN SERVICIOS TECNOLOGAS DE INFORMACIN

INFORME
PLAN DE ACCIONES CORRECTORAS 1 mes

AUDITORAS DE SEGUIMIENTO ANUALES AUDITORA EXTRAORDINARIA

CONCESIN DEL CERTIFICADO

AENOR

AENOR
42

Un Nuevo Reto en las TICs:

La Gestin Integrada (PDCA) de las TICs alineadas con el Negocio.

Certificaciones en TICs: La solucin a sus Riesgos Empresariales

Muchas Gracias, estamos a su disposicin en: AENOR Carlos Manuel Fdez. Gerente de TI cmfernandez@aenor.es 91-4326004

AENOR