LEY 7690_Codigo_Procesal_Penal SALTA _2013 Con Reforma Ley 7799
Ponente: Alejandro Corletti Estrada (Dir. Div. Segur. Info ... · Breve historial de la norma Tiene...
26
Ponente: Ponente: Alejandro Alejandro Corletti Corletti Estrada (Dir. Div. Segur. Estrada (Dir. Div. Segur. Info Info – – NCS) NCS)
Transcript of Ponente: Alejandro Corletti Estrada (Dir. Div. Segur. Info ... · Breve historial de la norma Tiene...
Ponente: Ponente: Alejandro Alejandro CorlettiCorletti Estrada (Dir. Div. Segur. Estrada (Dir. Div. Segur. InfoInfo –– NCS)NCS)
Temario
Historia de la norma¿Porqué ISO-27001?
Breves conceptos
¿Estándares?
Tendencias en España
Tendencias Internacionales
Conclusiones
Breve historial de la normaTiene sus orígenes desde los 90`en el BS-7799
Se transforma en ISO-17799.
En el 2004 AENOR UNE 71502 Especificaciones para los SGSI.Octubre 2005 ISO-27001:2005
Septiembre 2007 AENOR ISO/UNE-27001
Situación Actual (Familia 27000)Publicadas
2005 - ISO-27001 (Certificable)2006 - ISO 27006 (regula los organismos de certificación, alineada con 17021)2007 - ISO-27002 (guía de controles, Ex 17799)
Sin publicar aún27003 (Ayuda para la implantacón SGSI)27004 (Métricas)27005 (Riesgos)27007 (requisitos de auditoría de un SGSI)27011 (Sector TICs)27031 (Plan de Continuidad de Negocio)27032 (Ciberseguridad)27033 (seguridad en redes, sobre la base de 18028)27034 (Seguridad en las aplicaciones)
Temario
Historia de la norma
¿Porqué ISO-27001?Breves conceptos
¿Estándares?
Tendencias en España
Tendencias Internacionales
Conclusiones
¿Porqué ISO-27001?
Por primera vez ISO, homogeneiza sus familias (GESTIÓN).
La Seguridad deja de ser sólo una cuestión técnica.
Implica a todos los niveles de la organización.
Introduce el Análisis de Riesgo y el SGSI.
El conjunto de controles (133), no deja nada librado al azar.
Ha tenido acogida y apoyo internacional (1ª vez en seguridad).
Pone/demuestra “Calidad” en la seguridad de la Información.
Aparece en un momento clave de la industria.
RECUERDEN: Marca un antes y un después.
Temario
Historia de la norma
¿Porqué ISO-27001?
Breves conceptos¿Estándares?
Tendencias en España
Tendencias Internacionales
Conclusiones
Breves conceptos
• Esta norma, no está orientada a despliegues tecnológicos o de infraestructura, sino a aspectos netamente organizativos, es decir, la frase que podría definir su propósito es “Organizar la seguridad de la información”
• Propone secuencias de acciones tendientes al:
- Establecimiento
- Implementación
- Operación
- Monitorización
- Revisión
- Mantenimiento
- Mejora
SGSI “Sistema de Gestión de la Seguridad de la Información”.
El SGSI, es el punto fuerte de este estándar.
Breves conceptos
Los detalles que conforman el cuerpo de esta norma, se podrían agrupar en tres grandes líneas:
• Análisis de riego (AR)• SGSI• Controles
Breves conceptos (Análisis de riesgo)
• Clara identificación, definición y descripción de los activos.• El impacto que podría ocasionar un problema sobre cada uno.• Conjunto de acciones que pueden realizarse (agrupadas).• Propuesta varios cursos de acción posibles (Máx, inter1/2s, mín).• Finalmente: Elección y Aprobación de un curso de acción por parte de la Dirección. Es decir,
el compromiso que asume en virtud de su propia estrategia (Coste/beneficio/Negocio), para tratar las acciones de ese curso de acción y ASUMIR el riesgo residual que quedará con lo que no estédispuesto a abordar (…..o en definitiva a pagar…..).
Puede ser desarrollado con cualquier tipo de metodología (pública o particular), siempre y cuando sea completa y metódica. El resultado final de un análisis de riesgo, es:
Breves conceptos (SGSI)En el punto cuatro de la norma, se establecen los conceptos rectores del SGSI.
Punto 4.1. Requerimientos generales:
La organización, establecerá, implementará, operará, monitorizará, revisará, mantendrá y mejorará un documentado SGSI en su contexto para las actividades globales de su negocio y de cara a los riesgos. Para este propósito, el proceso está basado en el modelo PDCA.
PUNTOS DE LA NORMA (Relativos al SGSI)
4. Sistema de Gestión de la Seguridad de la Información (SGSI)
5. Responsabilidades de la Dirección (Compromiso, gestión y provisión recursos, concienciación y formación)
6 Auditoría Interna del SGSI (Documentos, planificación, metodología, acciones)
7. Revisión de SGSI por parte de la Dirección
8. Mejora de SGSI (Continua, correctiva y preventiva)
Breves conceptos (Los controles)
El anexo A los numera tal cual se presentan a continuación:
A.5 Política de seguridadA.6 Organización de la información de seguridadA.7 Administración de recursosA.8 Seguridad de los recursos humanosA.9 Seguridad física y del entornoA.10 Administración de las comunicaciones y
operacionesA.11 Control de accesosA.12 Adquisición de sistemas de información,
desarrollo y mantenimientoA.13 Administración de los incidentes de seguridadA.14 Administración de la continuidad de negocioA.15 Marco legal y buenas prácticas
Breves conceptos (métricas)
Breves conceptos (relación documental)
Temario
Historia de la norma
¿Porqué ISO-27001?
Breves conceptos
¿Estándares?Tendencias en España
Tendencias Internacionales
Conclusiones
CalidadEuropa, se encuentra en una necesidad de demostrar, garantizar y justificar su “Calidad”.
Calidad, esa es la palabra clave de la Industria.
En la CE, toda industria necesita respetar cada vez más una serie de medidas, que lo que tratan de hacer en definitiva, es salvaguardar al cliente final de lo que consume.
Esto se ve reflejado en todo ámbito, desde el medio ambiente, los medicamentos, la industria alimenticia, automotriz, los servicios, las telecomunicaciones, etc.
Uno de los pilares de esta cadena de producción, es la informática, y:
“una cadena se corta por el eslabón más fino”(Dentro de la CE, no se admitirá más que el eslabón más fino sea la informática, y en informática, seguridad es un factor fundamental).
Certificaciones
En el discurso Internacional, el mensaje es sumamente sencillo:Informe ISO (Dic 2007)
ISO 9001 Lugar de España: 4º mundial con 57552 certificadosISO 14001 Lugar de España: 3º mundial con 11125 certificadosISO 27001 Total mundial: 5797 certificados
Lugar de España: No aparece en el Top 10 (23 certificados)España es un País de “calidad”, pues así lo demuestra el “ranking”Internacional de ISO-9000.
España, es un País que se preocupa por su “medioambiente”, según su creciente volumen en certificaciones ISO14000.
No hay pautas claras que sitúen a España como un País confiable para intercambiar información “On Line”, para abrir y compartir bases de datos privadas y públicas, para confiar el bien más preciado, para comunicarse de forma segura, etc..........
Realidad
En seguridad, internacionalmente
no demostramos ninguna preocupación.
Esto tal vez pueda no ser significativo para ciertos nichos de mercado...........pero cualquier empresa que trabaje con información confidencial, privada, crítica, que tenga alta dependencia de la disponibilidad de sus datos, de I+D, etc.
Ya no puede dejar pasar más tiempo.
Temario
Historia de la norma
¿Porqué ISO-27001?
Breves conceptos
¿Estándares?
Tendencias en EspañaTendencias Internacionales
Conclusiones
Tendencias en España
Calidad
Gestión
Exportar Comercio Exterior
Congreso ICEX: La constante fue:
Existen otras iniciativas para fomentar la seguridad en España a través de la norma ISO–27001, como el proyecto PYMETICA en Andalucía, el CAMERSEC en Málaga, la reciente Subvención del Ministerio de Industria del Plan AVANZA PyME (19.000 € para certificación ISO-27001) y el próximo proyecto de INTECO que abarcará varias Comunidades Españolas.
RENFE, en un pliego de licitación de septiembre de 2007, hacía mención al estándar ISO–27001 (Esto corrobora el hecho del “Lobby” que pueden hacer las empresas certificadas, tal cual mencionamos en artículos anteriores).
La Consejería de Agricultura y Pesca (Andalucía) ha obtuvo la certificación ISO- 27001 del denominado “Sistema de Localización y Seguimiento de Embarcaciones Pesqueras Andaluzas”.
Consejería de Economía y AP del Principado de Asturias (Nº exp: 58/06).Descripción del objeto: “Certificación ISO-27001 del SGSI, para el CPD de la Administración del Principado de Asturias (año 2007)”.
A nivel AAPPResolución de 26 de mayo de 2003, de la Secretaría de Estado para la AAPP
Expresa textualmente “Se insta a los Estados miembros de la UE a fomentar el uso de mejores prácticas basadas en instrumentos existentes, tales como la norma UNE ISO/IEC 17799”.
Reglamento (CE) No 885/2006 de la Comisión (junio de 2006) - FEAGA (Fondo Europeo Agrícola de Garantía) y del FEADER (Fondo Europeo Agrícola de Desarrollo Rural):“La seguridad de los sistemas de información estará basada en los criterios fijados en una
versión aplicable en el ejercicio financiero considerado de una de las siguientes normas aceptadas internacionalmente: i) ISO/IEC 17799)”.
En realidad esto viene desde 1997, con la Directriz VI/661/97 rev. 2 CE sobre la Seg. Infor. SSII de los Organismos Pagadores que exige garantizar la seguridad de la información.
la Consejería de Agricultura y Agua de la CA de Murcia, conociendo estas regulaciones, apostó por la ISO–27001 y acaba de ser la primera Entidad Pública Espaoñola en certificarse
Ley 11 (junio de 2007) “Acceso electrónico de los ciudadanos a los Servicios Públicos”, Seguridad: se menciona cuarenta y dos veces.
El punto 2. “Las AAPP....... asegurando la disponibilidad, el acceso, la integridad, la autenticidad, la confidencialidad y la conservación de los datos......... ¿¿ ACIDA ??
MAP (Julio de 2007) “Normalización en seguridad de las TIC”Criterios SNC (seguridad, normalización y conservación): UNE ISO/IEC 17799:2002, “Tecnologías
de la información – Código de buenas prácticas para la gestión de la seguridad de la información”
Temario
Historia de la norma
¿Porqué ISO-27001?
Breves conceptos
¿Estándares?
Tendencias en España
Tendencias InternacionalesConclusiones
9ª Encuesta E&Y de Segur. Info. - 2007
Aplicada a 1.200 Organizac. en 48 países y 20 tipos de industrias diferentes.
Resultados:• El 75% de las organizaciones cuentan con un Oficial de Seguridad.• El 73% mantienen a la función de seguridad integrada al proceso
corporativo de administración de riesgos (AR).• El 61% utiliza procedimientos formales para integrar la seguridad de
la información al proceso corporativo de AR.• En los últimos 12 meses el cumplimiento regulatorio fue el principal
habilitador para el desarrollo de prácticas de seguridad a nivel global.• Entrenamiento en protección de la información y concienciación (Dirs:
40%, Pers.Seg.Info: 56%, User: 57%, Personal TI: 55%, otros: 25%).• PCN: (Eval.Riesgos: 75%, Análisis impacto: 63%, Priorizar e
identificar procesos críticos para el negocio: 79%, Procedim.Escaladoincidentes: 58%, Planes acción recuperación de proc.Críticos: 71%).
• Estándares que se están aplicando de manera formal: (ISO–17799/27001: 45%, COBIT: 30%, ITIL: 46%).
• Beneficios de adoptar un estándar:Ser capaz de compararse con otras organizaciones: 41%.Demostrar a clientes un compromiso con prácticas Segur: 67%.Incrementar mejores prácticas p/Seguridad Info: 75%.
Cuando el río suena......“ISO 27001 could become the next ISO 9000 type standard that every organizationwants to promote, that educated consumers and business partners seek beforeconducting business, and that every potential stockholder seeks before investing.”
Gartner forecasts “ISO 17799 will be the most commonstandard used to judge the information security posture of anorganization.” They are also now recommending toorganizations that are planning to outsource IT operations tofirms in India, to “require that all providers and data centerlocations be BS7799 Part 2 or ISO 27001 certified.”
Forrester has stated that ISO 17799 is “the best choice for a security framework.”
“Because ISO 27001is an internationallyrecognized Info. security standard, companies in theglobal marketplacecan quicklydemonstrate duediligence toprospectivecustomers viacertification.”
A healthy business 28 Jan 2008 (www.businessstandards.com)
When a Prime Minister reads passages from an international standard in the House of Commons, security is front-page news. That is whatGordon Brown did recently after discs containing personal information on 25 million people who claim Child Benefit went missing; he quotedfrom the information security standard ISO/IEC 27001 in a bid toreassure the public that the government was making efforts to safeguardthe personal data that it holds.
Temario
Historia de la norma
¿Porqué ISO-27001?
Breves conceptos
¿Estándares?
Tendencias en España
Tendencias Internacionales
Conclusiones
Conclusiones
El estándar ISO-27001 es “robusto, completo y eficiente”.
Pone Gestión y Calidad donde no la había.
Es HOLÍSITCO (mayor que la suma de sus partes).
El mundo se decantó al unísono por ISO-27001.
En España:
Los órganos de gobierno YA están fomentando ISO-27001.
Las grandes empresas YA lo están haciendo.
Las PyMEs se están despertando.
Falta aún “Conciencia empresarial y gubernamental”, pues:
Internacionalmente HOY no figuramos (aún.... ¿y Mañana?).
DependerDependeráá pura y pura y exclusivamenteexclusivamente de cada de cada
uno de nosotrosuno de nosotros
Ponente: Ponente: Alejandro Alejandro CorlettiCorletti Estrada (Dir. Div. Segur. Estrada (Dir. Div. Segur. InfoInfo –– NCS)NCS)
