Presentación

ISO 17799

BS 7799 / UNE 71502

y Callio Secura

Plan

• Que es ISO 17799 / BS 7799 / UNE 71502

• Historia

• Por que ?

• Implantación

• Herramientas y softwareUNE 71502:2004 norma promulgada en España por AENOR en el mes de marzo del 2004 sobre "Especificaciones para los Sistemas de Gestión de la Seguridad de la Información"

Que es ISO 17799 / BS 7799 / UNE 71502 ?

.• Un conjunto de controles basados en las mejores prácticas en seguridad de la información;

• Estándar internacional que cubre todos los aspectos de la seguridad informática:– Equipos– Políticas de gestión– Recursos humanos– Aspectos jurídicos

ISO 17799 o ( BS7799 UNE71502)  ?

.

• ISO 17799 (parte 1) una guía que contiene consejos y recomendaciones que permiten asegurar la seguridad de la información de una empresa.

• BS 7799 (parte 2) / UNE 71502 proponen recomendaciones con el fin de establecer un marco eficaz de gestión de la seguridad de la información. BS 7799-2 / UNE 71502 permiten establecer un sistema de gestión de seguridad de la información (SGSI).

Calidad de ISO 17799 BS 7799 UNE 71502

• Cobertura de la norma• Probada• Pública• Internacional• Imagen de marca asociada a "la calidad"• Evolutiva y flexible (se adapta a los

contextos)• Disponibilidad de herramientas y soporte

Las 10 Secciones de ISO 17799

Control de accesos

Clasificación y

control de los activos

Política de seguridad Organización de

la Seguridad

Seguridad

del personal

Seguridad física y medioambiental Gestión de

comunicaciones

y operaciones

Desarrollo y

mantenimiento

Administración de

la continuidad

Cumplimiento

Información

Confidencialidad

disponibilidad

integridad

1. Politique de sécurité

2. Sécurité de l’organisation

3. Classification

et contrôle des actifs

7. Contrôle des accès

4. Sécurité du personnel

5. Sécurité physique et

environnementale

8. Développement et maintenance

6. Gestion des communications et

opérations

9. Gestion de la continuité

10. Conformité

Las 10 Secciones de ISO 17799 (continuación)

1. Política de

seguridad

2. Seguridad de la organización

3. Clasificación y control de los

activos

7. Control de

accesos

4. Seguridad del personal

5. Seguridad física y medioambiental

8. Desarrollo y mantenimiento de los sistemas

6. Gestión de las telecomunicaciones y operaciones

9. Gestión de la continuidad de lasoperaciones de la empresa

10.

Conformidad

Organizacional

Operacional

Complémentarité avec d’autres normes ISOComplementariedad con otros estándares ISO

Código de buenas prácticas para la gestión de la seguridad

de la información ISO 17799

Guías para la gestión de la seguridad de la

TI ISO 13335 (GMITS)

Productos y sistemas certificados ISO 15408 (CC)

History and Development of ISMS

1995

1998

BS 7799 Parte 1

BS 7799 Parte 2

Estándar Sueco SS 62 77 99 Parte 1 y 21999 Nueva versión de BS 7799 Parte 1 y 2

Diciembre 2000

ISO/IEC 17799:2000

2001Revisión de BS 7799-2

Septiembre 2002 Nueva versión de BS 7799-2 revisada y corregida

Historia

UNE 71502Marzo 2004

Por que ?

• BS 7799 / UNE 71502 / ISO 17799 puede ser utilizada por cualquier organismo u empresa. Basta que la organización utilice sistemas informáticos, internos o externos, que posea datos confidenciales, que dependa de sistemas de información en el marco de sus actividades comerciales o que desee adoptar un nivel de seguridad elevada conformándose una norma.

Compra en línea del estándar ISO 17799

18 %

6 %

23 %

(% por región)

9 %

35 %

Otros : 9 %

Auditaría y certificación BS 7799 / UNE 71502 / ISO 17799

• No existe certificación ISO 17799 por el momento.

• Una empresa puede conformarse a ISO 17799 y luego certificarse BS 7799-2: 2002 o UNE 71502:2004.

• Una gestión de auditoría puede ser apoyada por:– Verificación interna – Verificación externa (carta de opinión)– Oficina de registro del BSI (certificación oficial)

Lista de empresas certificadas

Más de 80 000 empresas se conformaron a BS 7799 / ISO 17799 a través del mundo, en la que están:• Fujitsu Limited;• Insight Consulting Limited;• KPMG ;• Marconi Secure Systems ;• Samsung Electronics Co Ltd;• Sony Bank inc. ;• Symantec Security Services ;• Toshiba IS Corporate

Ventajas

• Conformarse a las normas en materia de gestión del riesgo.

• Una mejor protección de la información confidencial de la empresa

• Una reducción de riesgos de ataques

• Una recuperación más rápida y más fácil de las operaciones después de un ataque

Ventajas (continuación)

• Una metodología de seguridad estructurada y reconocida internacionalmente

• Una confianza mutua aumentada entre socios estratégicos de negocios

• Una disminución potencial de las primas de seguro contra los riesgos informáticos

• Un mejoramiento de las prácticas sobre la vida privada y una conformidad con las leyes sobre las informaciones personales.

Modelo de gestión (Modelo PHVA*)

* PDCA en ingles

Metodología y Ciclo de Implementación

Pasos de la metodología y ciclo para implementar el

estándarDescripción

Iniciación del Proyecto • Asegure el compromiso de la dirección• Seleccione y entrene a los miembros del equipo inicial de proyecto

Definición del SGSI

(Sistema de Gestión de la Seguridad de la Información)

• Identifique el alcance y los límites del marco de dirección de seguridad de la información. Este paso es crucial para el éxito del proyecto

Evaluación de Riesgos • Realice el inventario y evalúe el activo a proteger• Identifique y evalúe amenazas y vulnerabilidades• Diagnostique el nivel de cumplimiento con ISO 17799• Calcule el valor de riesgos asociados

Administración de Riesgos • Encuentre como seleccionar e implantar los controles correctos que le permitan a la organización reducir el riesgo a un nivel aceptable

Metodología y Ciclo de Implementación (continuación)

Pasos de la metodología y ciclo para implementar el

estándarDescripción

Entrenamiento y

concientizacion • Los empleados pueden ser el eslabón más débil en la seguridad de la información de su organización. Aprenda a establecer un programa de concienciación de la seguridad de la información

Preparación para la Auditaría • Aprenda a validar su marco de seguridad y que debe hacer antes de traer a un auditor externo para la certificación BS 7799-2 UNE 71502.

Auditoría • Aprenda más sobre los pasos realizados por auditores externos y averigüe sobre los cuerpos de certificación acreditados BS 7799-2 UNE 71502

Control y mejora continua • Aprenda a mejorar la eficiencia de su SGSI conforme al modelo de administración reconocido por la ISO.

Mejora continúa

Entregables – ISO 17799

Obstáculos potenciales Factor de éxito

• Recursos y personal dedicado

• Personal externo experimentado

• Buena comprensión del funcionamiento (gestión) y los procesos (operaciones) de gestión del riesgo

• Comunicaciones frecuentes

• Sensibilización de gerentes y empleados

• Compromiso de la dirección superior

• Estructura del enfoque

• Miedo, resistencia al cambio

• Riesgo de contigüidad

• Costos crecientes • Conocimiento

insuficiente del acercamiento seleccionado

• Tareas aparentemente insuperables

Implantación - Callio Secura 17799

Demostración Callio Secura 17799

Referencias

• Documentos BSI (www.bsi.org.uk/index.xhtml)

• Information Security Management: An Introduction (PD3000)Provee una descripción acreditada del proceso de certificación y sirve como un prefacio útil a otras guías.

• Guide to BS7799 Risk Assessment and Risk Management (PD3002) Describe los conceptos de base de evaluación de riesgo BS 7799, incluyendo la terminología, el proceso de evaluación y la administración del riesgo.

• ISO/IEC Guidelines for the Management of IT Security (GMITS)

• Selecting BS7799 Controls (PD3005) Describe el proceso para seleccionar controles apropiados.

• AENOR.- Asociación Española de Normalización y Certificación:

• Norma UNE 71502:2004.-http://www.aenor.es/desarrollo/normalizacion/normas/resultadobuscnormas.asp?campobuscador=71502

Conclusión

Para mas información sobre el estándar BS 7799 / UNE 71502 / ISO 17799, visítenos en www.callio.com.es o llame a un representante a

1-866-211-82221-819-820-8222

( Nuestros servicios son brindados en español, ingles y francés )