Caso Práctico:Proyecto de Certificación ISO 27001

ACELERAR PARA SER MÁS LÍDERES

21 Junio 2.006

Telefónica Empresas Servicios desde la RED – Servicios de Seguridad Gestionada

2Telefónica Empresas Servicios desde la RED – Servicios de Seguridad Gestionada

ACELERAR PARASER MÁS LÍDERES

Índice

01 La Problemática …

02 ¿Qué es un Sistema de Gestión?

03 ¿Qué es un SGSI?

04 ¿Por qué un SGSI?

05 ¿Qué es la Norma ISO/IEC 27.001?

06 Motivación y Compromiso de Telefónica Soluciones

07 Metodología y Ciclo de Implantación de un SGSI

08 El Proyecto

09 Recomendaciones

10 El Compromiso de Telefónica Soluciones

11 Alcance del SGSI

3Telefónica Empresas Servicios desde la RED – Servicios de Seguridad Gestionada

ACELERAR PARASER MÁS LÍDERES

01 La Problemática …

¿Cómo “medir” el nivel de riesgo “soportado” por mi organización? ¿Está dentro de los niveles “aceptables”?¿En qué áreas (activos) existen “mayores” oportunidades de mejora?

A la hora de contratar un servicio ¿cómo “medir” qué Proveedor cuenta con una mejor gestión de la seguridad de la información? ¿Es “compatible” con mi gestión de la seguridad?

Los problemas de la Seguridad de la Información rara vez se centran en aspectos de carácter técnico exclusivamente, sino de gestión: “Cómo alinear la tecnología con los objetivos de la organización”

4Telefónica Empresas Servicios desde la RED – Servicios de Seguridad Gestionada

ACELERAR PARASER MÁS LÍDERES

02 ¿Qué es un Sistema de Gestión?

Un sistema que:

— Establece e Implanta unos procesos que permiten a una organización realizar un producto/servicio conforme a unas especificaciones dadas

— Mide y Evalúa los resultados obtenidos frente a los objetivos marcados

— Incorpora un proceso de revisión para asegurar que los problemas que puedan surgir se detectan y se corrigen, y que permite identificar oportunidades de mejora– UNE-EN ISO 9001:2000 Sistemas de Gestión de la Calidad: Requisitos

– UNE-EN ISO 14001:2004, Sistemas de Gestión Medioambiental: Especificaciones y directrices para su utilización

– …

5Telefónica Empresas Servicios desde la RED – Servicios de Seguridad Gestionada

ACELERAR PARASER MÁS LÍDERES

03 ¿Qué es un Sistema de Gestión de Seguridad de la Información (SGSI)?

Un SGSI es un sistema de gestión que comprende la política, la estructura organizativa, los procedimientos, los procesos y los recursos necesarios para implantar la gestión de la seguridad de la informaciónSe puede implantar un SGSI atendiendo a múltiples criterios y estándares, entre los que destacan:— BS 7799-2:2002— UNE 71502:2004— ISO/IEC 27.001

Estas normas se basan en el código de buenas prácticas y objetivos de control ISO 17799Por seguridad de la información, ISO 17799 se centra en la preservación de las características de confidencialidad, integridad y disponibilidad de la misma. Adicionalmente, pueden considerarse otras propiedades, como autenticación, no repudio, trazabilidad, etc.

6Telefónica Empresas Servicios desde la RED – Servicios de Seguridad Gestionada

ACELERAR PARASER MÁS LÍDERES

04 ¿Por qué un SGSI?

El hecho de implantar un SGSI no prueba que una organización sea 100 % segura. La seguridad completa no existe. No obstante, la adopción de un SGSI proporciona innegablemente ventajas:

Mejora la sensibilización del personal hacia la seguridad y a sus responsabilidades en la organización.

Aspecto humano

Reducción de los costes vinculados a los incidentes y posibilidad de disminución de las primas de seguro.

Aspecto financiero

Credibilidad y confianza: los socios, los accionistas y los clientes se tranquilizan al constatar la importancia que la organización concede a la protección de la información. Una certificación también puede brindar una diferenciación sobre la competencia y en el mercado. Algunas licitaciones ya comienzan a pedir un sistema de gestión certificado.

Aspecto comercial

Gestión de los riesgos: obtención de un mejor conocimiento de los sistemas de información, sus debilidades y los medios de protección. Garantiza también una mejor disponibilidad de los materiales y datos.

Aspecto funcional

Conformidad con requisitos legales: el registro permite demostrar que la organización observa todas las leyes y normativas aplicables al alcance.

Aspectolegal

Compromiso: el registro de las actividades permite garantizar y demostrar la eficacia de los esfuerzos desarrollados para asegurar la organización en todos sus niveles y probar la diligencia razonable de sus administradores.

Aspecto organizaciona

l

7Telefónica Empresas Servicios desde la RED – Servicios de Seguridad Gestionada

ACELERAR PARASER MÁS LÍDERES

05 ¿Qué es la Norma ISO/IEC 27.001?

La norma “ISO/IEC 27001:2005 – Information Technology- Security techniques - Information Security ManagementSystems-Requirements”, es la evolución certificable del código de buenas prácticas ISO 17799 (Futura ISO 27.002)¿Qué aporta la certificación ISO 27001?— La certificación ISO 27001 avala la adecuada implantación,

gestión y operación de todo lo relacionado con la implantación de un SGSI, siendo la norma más completa que existe en lo relativo a la implantación de controles, métricas e indicadores que permiten establecer un marco adecuado de gestión de la seguridad de la información para las organizaciones.

¿Qué relación tiene con la BS7799? sustituye a la BS 7799- 2: 2002. Los Certificados BS 7799-2 tendrán que adaptarse a los requisitos la norma ISO 27.001.Integración con otros Sistemas de Gestión— Entre las ventajas que ofrece, al ser un estándar ISO, se

encuentran las facilidades que ofrece de integración con otros sistemas de gestión vigentes en la empresa, por ejemplo ISO 9001 e ISO 14001.

8Telefónica Empresas Servicios desde la RED – Servicios de Seguridad Gestionada

ACELERAR PARASER MÁS LÍDERES

06 Motivación de Telefónica Soluciones para la Certificación

Formalizar y acreditar una realidad: la gestión de la seguridad del CDG de Tres Cantos

Gestionar el riesgo de la manera más eficiente

Ofrecer a nuestros clientes una base sobre la que éstos puedan certificar sus servicios

Ser pioneros en la adopción de estándares de seguridad

Ofrecer una medida contrastable en la gestión de la seguridad

Proceso de mejora continua

9Telefónica Empresas Servicios desde la RED – Servicios de Seguridad Gestionada

ACELERAR PARASER MÁS LÍDERES

07 Metodología y Ciclo de Implantación de un SGSI

•Definir el alcance del SGSI•Definir la política del SGSI•Identificar los riesgos•Gestionar los riesgos•Seleccionar los controles ISO 17799:2005

Establecer el SGSI

Monitorizar y Establecer el

SGSI

Implantar y Operar el SGSI

Mantener y Mejorar el SGSI

Planificar

HacerActuar

Comprobar

•Definir e implantar plan de gestión de riesgos•Implantar controlesseleccionados y susindicadores•Implantar el Sistema de Gestión

• Implantar las mejoras•Adoptar acciones preventivas y correctivas•Comunicar acciones y resultados•Verificar que las mejoras cumplen su objetivo

•Desarrollar procedimientos de monitorización•Revisar regularmente el SGSI•Revisar los niveles de riesgo•Auditar internamente el SGSI

10Telefónica Empresas Servicios desde la RED – Servicios de Seguridad Gestionada

ACELERAR PARASER MÁS LÍDERES

08 El Proyecto

El proyecto completo ha durado unos 7 meses, con una dedicación directa de 3 consultores, a parte de la dedicación a tiempo parcial de las áreas afectadas por el alcance

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 321 Planificación y estudio del Proyecto2 Formación SGSIs3 Análisis y Gestión de Riesgos4 Auditoría previa5 Plan de Gestión del Riesgo - Selección de los Controles6 Desarrollo e Implantación del SGSI7 Auditoría Interna8 Implantar Plan de Acciones Correctivas9 Auditoría de Certificación10 Certificado

Tarea# Febrero Marzo Abril MayoOctubre Noviembre Diciembre Enero

12/5/2006

13-14/3/2006

20-21/4/2006

11Telefónica Empresas Servicios desde la RED – Servicios de Seguridad Gestionada

ACELERAR PARASER MÁS LÍDERES

09 Recomendaciones

Contar con el apoyo de la Alta Dirección

Concienciación (formación, campañas informativas, etc.) y participación de todos los empleados

Acotar bien el alcance, que afecte a pocas personas/procesos (críticos). Es más sencillo crecer de un “núcleo certificado”, que certificar el todo desde cero

Preferible enfoque “Práctico” frente a “Perfeccionista”: Adaptar la Norma a la Empresa, no la Empresa a la Norma

Trabajar con un objetivo (fecha) definido de Certificación

12Telefónica Empresas Servicios desde la RED – Servicios de Seguridad Gestionada

ACELERAR PARASER MÁS LÍDERES

10 El Compromiso de Telefónica Soluciones

Hemos obtenido el certificado ISO 27.001, por la entidad de certificación Applus+, con fecha 12 de mayo de 2006

Somos la primera empresa española certificada en la Norma ISO 27.001

Estamos en proceso de certificar otro SGSI - portal del empleado (RRHH)

Ampliaremos la certificación al resto de CDG de Telefónica Soluciones, y al resto de servicios prestados

Estamos trabajando para obtener la certificación ISO 20.000 (ITIL, BS 15.000)

13Telefónica Empresas Servicios desde la RED – Servicios de Seguridad Gestionada

ACELERAR PARASER MÁS LÍDERES

11 Alcance del SGSI

“Los Sistemas de Gestión de la Seguridad de la Información relativos a las actividades de control, monitorización y mantenimiento de las infraestructuras e instalaciones generales, necesarios para la adecuada prestación de servicios a clientes, así como de la información derivada del funcionamiento de los mismos, del Centro de Datos Gestionado de Telefónica Soluciones, situado en la Avda. de los Artesanos 26, en Tres Cantos, Madrid”

14Telefónica Empresas Servicios desde la RED – Servicios de Seguridad Gestionada

ACELERAR PARASER MÁS LÍDERES

Suministro eléctrico

Protección contra incendios

Seguridad

Climatización

Gestión 24x7

Suministro eléctricoSuministro eléctrico

Protección contra incendios

Seguridad

Climatización

Gestión 24x7