PDF de programación - El sistema de gestión de la seguridad de la información: Calidad de la seguridad

El Sistema de Gestión de la Seguridad

de la Información:

Calidad de la Seguridad

Antonio Villalón Huerta

[email protected]

Mayo, 2005

Índice

• Problemática de la seguridad.
• Sistemas de gestión.
• Sistema de Gestión de la Seguridad de la

Información.
– Normativa.
– Ciclo PDCA.
– Proceso.
– Algunas consideraciones.

• Certificación.
• Conclusiones.

SGSI: Calidad de la Seguridad

Problemática de la seguridad

• ¿Problemas técnicos? Rara vez...

• Problemas de gestión: alineamiento de la tecnología y

los objetivos de la organización:
– ¿Qué entendemos por seguridad?
– ¿Cómo medimos la seguridad?
– ¿Quién se preocupa de la seguridad?
– ¿Cuánto dinero invertir en seguridad?
– ¿Dónde invertir ese dinero?
– ...

SGSI: Calidad de la Seguridad

Sistemas de gestión

• Un sistema de gestión establece e implementa los
procesos que permiten a una organización realizar un
producto o servicio de manera conforme a unas
especificaciones dadas:
– UNE-EN ISO 9001:2000. Sistemas de Gestión de la

Calidad: Requisitos.

– UNE-EN ISO 14001:1996. Sistemas de Gestión

Medioambiental: Especificaciones y directrices para su
utilización.

– OHSAS 18001:1999. Sistemas de Gestión de la Seguridad

y Salud en el Trabajo.

– UNE 71502:2004. Especificaciones para los Sistemas de

Gestión de la Seguridad de la Información (SGSI).

– ...

• La seguridad/calidad/gestión medioambiental... es un

proceso, no un producto.
– Ciclo PDCA (mejora continua).

SGSI: Calidad de la Seguridad

Sistemas de gestión

• Modelo PDCA (Plan – Do – Check – Act): Planificar,

Hacer, Verificar y Actuar.

PLANIFICAR

– Política y alcance del

sistema.

– Compromiso de la

dirección.

HACER

– Controles.
– Registros.
– Indicadores.

– Acciones

correctivas.

– Acciones

preventivas.

ACTUAR

– Seguimiento y

medición.

VERIFICAR

– Auditoría interna.
– No conformidades.

SGSI: Calidad de la Seguridad

Sistemas de gestión

• Sistema de Gestión de la Seguridad de la
Información (SGSI): Sistema de gestión que
comprende la política, la estructura organizativa,
los procedimientos, los procesos y los recursos
necesarios para
la
implantar
seguridad de la información.

la gestión de

• La gestión de la seguridad consiste en la
realización de
tareas necesarias para
garantizar los niveles de seguridad exigibles en
una organización.

las

• Los riesgos no se eliminan: se gestionan.

SGSI: Calidad de la Seguridad

SGSI: Introducción

• El establecimiento de un SGSI en la organización
las preguntas que nos
debe dar respuesta a
planteábamos al principio: nos ayudará a gestionar
nuestra seguridad.

• Podemos definir e implantar un SGSI atendiendo a
múltiples criterios y estándares; dos de ellos
destacan sobre los demás:
– BS 7799-2:2002.
– UNE 71502:2004.

• El fondo de ambas normas es muy similar: están
basadas en controles y objetivos de control de ISO
17799.

SGSI: Calidad de la Seguridad

SGSI: Normas *7799

BS7799: Code of practice for
information security
management (BS7799-1)

BS7779:1999

ISO/IEC 17779:2000

UNE-ISO/IEC 17779:2002:
Código de buenas prácticas
para la gestión de la
seguridad de la información

UNE 71502:2004:
Especificaciones para los
Sistemas de Gestión de la
Seguridad de la Información

BS7799-2: Specification for
Information Security
Management Systems

BS7779:1999

BS7779-2:2002

1995 1996

1997

1998

1999

2000

2001

2002 2003

2004

SGSI: Calidad de la Seguridad

SGSI: UNE-ISO/IEC 17799

• Con origen en la norma británica BS7799-1, constituye

un código de buenas prácticas para la Gestión de la
Seguridad de la Información.

• Establece la base común para desarrollar normas de

seguridad dentro de las organizaciones.

• Define diez dominios de control que cubren por

completo la Gestión de la Seguridad de la Información.

• Norma técnica1 de seguridad de la información más

reconocida a nivel internacional.

• 36 objetivos de control y 127 controles.
• NO CERTIFICABLE.

1. Quizás técnica, pero no tecnológica...

SGSI: Calidad de la Seguridad

SGSI: UNE 71502

• Norma que contiene las especificaciones para los
la

la Seguridad de

Sistemas de Gestión de
Información (SGSI):
✔ Establecimiento

✔

Implantación

✔ Documentación
✔ Evaluación

● Define la relación de procedimientos para establecer

el SGSI: componente documental del sistema.

● No

tiene equivalente

ISO: aplicación nacional

exclusivamente.
● Norma ISO planificada para 2006 (???).

● CERTIFICABLE.

SGSI: Calidad de la Seguridad

SGSI: PDCA

Repetimos:

La seguridad es un proceso, no un producto...

• Acciones
correctivas
• Acciones
preventivas

ACTUAR

PLANIFICAR

• Política de seguridad
• Alcance del SGSI
• Análisis de riesgos
• Selección de controles

VERIFICAR

• Auditoría interna

del SGSI

SGSI: Calidad de la Seguridad

HACER

• Implantación del
SGSI
• Implantación de
controles

SGSI: Proceso

• El primer paso para definir un SGSI en la organización es

responder a estas tres preguntas:
– ¿Cuál es el estado actual de nuestra seguridad?
– ¿Cuál es el estado al que queremos llegar?
– ¿Cómo queremos llegar a ese estado objetivo?

• Las respuestas a estas cuestiones permitirán definir un

Plan Director de Seguridad.

• Con el plan en la mano, ya podemos...

– ...implantar.
– ...gestionar.
– ...medir.

➔ ¿Mucho?, ¿Poco?, ¿A veces?, ¿Demasiado? ... no son

términos adecuados.

SGSI: Calidad de la Seguridad

SGSI: Proceso

• Con el SGSI implantado (total o parcialmente),
podemos entrar en la fase de auditoría del sistema:
– ¿Se ajusta a lo deseado?
– ¿Ha sido implantado y se mantiene y ejecuta

correctamente?

– ¿Existen nuevos riesgos?
– ¿Hay cambios que puedan afectar al SGSI?

• Si durante

la

auditoría

detectan no
conformidades (desviaciones con respecto a la
política), debemos corregirlas; si no se encuentran,
debemos buscarlas.

se

• Comienza de nuevo el ciclo de mejora continua.

SGSI: Calidad de la Seguridad

SGSI: Proceso

• Proceso similar a otros sistemas de gestión.

• La organización debe converger hacia un sistema de
agrupar Calidad,

único,

de

capaz

gestión
Medioambiente, Seguridad de la Información, etc.
– Menores costes.
– Ausencia de conflictos en los objetivos.
– Simplificación del control.
– Optimización de recursos.
– ...

• No obstante, existen algunas diferencias críticas entre

el SGSI y otros sistemas de gestión...

SGSI: Calidad de la Seguridad

SGSI: ¿SGTR?

• Código de buenas prácticas (ISO 17799) tras la

especificación del sistema de gestión.

• La seguridad de la información es un elemento que

evoluciona rápidamente (especialmente, la
inseguridad).
– El control en tiempo real se hace imprescindible.

• El seguimiento es importante en todo SG. En un

SGSI, es crítico.

– Si queremos que el SGSI prospere, se mantenga
vivo en la organización y mejore con el tiempo,
necesitamos agilidad.

• Crítica al SG clásico: burocracia.

– Concepto clave: AUTOMATIZAR.

SGSI: Calidad de la Seguridad

Certificación

• Una entidad independiente y competente afirma que
un sistema es correcto y compromete en ello su
palabra... por escrito.

• Proceso:

– Consultoría. Ayuda a

la organización para

cumplir los requisitos especificados por la norma.

– Auditoría.

• Visita previa.
• Auditoría inicial.
• Plan de acciones correctoras.
• Certificación.
• Auditorías de seguimiento del sistema.

SGSI: Calidad de la Seguridad

Certificación: ventajas

• Confianza, depositada en la entidad que certifica.
– Yo no digo que soy seguro, lo dice un tercero

independiente.

• Garantía de 'calidad de la seguridad': mejora

continua.

•

Incluimos la seguridad a todos los niveles de la
organización: beneficios para...
– ... la propia organización.
– ... los inversores.
– ... los clientes.
– ... los empleados.

SGSI: Calidad de la Seguridad

Certificación: inconvenientes

• La certificación califica formalmente el sistema de

gestión, no la seguridad técnica.
– No es garantía de inmunidad.

• No se realizan auditorías de eficacia de los controles.

– ¿Son adecuados? ¿Cumplen sus objetivos?

• Falta de cultura de seguridad en la organización.

– Certificado como objetivo (“papelito”), no como

reconocimiento.

• ¿Reclamo para piratas?

SGSI: Calidad de la Seguridad

Conclusiones

• Los problemas de seguridad rara vez son técnicos:

suelen ser de gestión.

• Debemos gestionar nuestra seguridad: no es un

producto, es un proceso.
– “Si alguien gusta de hablar de la Gestión de la

Calidad de la Seguridad, no creo que vaya
desencaminado” (Mañas dixit).

• Un sistema de gestión debe contemplar la mejora
evoluciona,

todo

continua
especialmente la (in)seguridad.

sistema:

del

• La certificación de seguridad suele ser beneficiosa,

pero ni garantiza inmunidad ni debe ser un objetivo.

¡La seguridad total no existe!

SGSI: Calidad de la Seguridad

¡¡MUCHAS GRACIAS!!

Grupo S2
Vinalopó, 7 bajo
46021 Valencia
Tel: 963 110 300
Fax: 963 106 086

http://www.s2grupo.com/
[email protected]

SGSI: Calidad de la Seguridad