El Sistema de Gestión de la Seguridad
de la Información:
Calidad de la Seguridad
Antonio Villalón Huerta
[email protected]
Mayo, 2005
Índice
• Problemática de la seguridad.
• Sistemas de gestión.
• Sistema de Gestión de la Seguridad de la
Información.
– Normativa.
– Ciclo PDCA.
– Proceso.
– Algunas consideraciones.
• Certificación.
• Conclusiones.
SGSI: Calidad de la Seguridad
Problemática de la seguridad
• ¿Problemas técnicos? Rara vez...
• Problemas de gestión: alineamiento de la tecnología y
los objetivos de la organización:
– ¿Qué entendemos por seguridad?
– ¿Cómo medimos la seguridad?
– ¿Quién se preocupa de la seguridad?
– ¿Cuánto dinero invertir en seguridad?
– ¿Dónde invertir ese dinero?
– ...
SGSI: Calidad de la Seguridad
Sistemas de gestión
• Un sistema de gestión establece e implementa los
procesos que permiten a una organización realizar un
producto o servicio de manera conforme a unas
especificaciones dadas:
– UNE-EN ISO 9001:2000. Sistemas de Gestión de la
Calidad: Requisitos.
– UNE-EN ISO 14001:1996. Sistemas de Gestión
Medioambiental: Especificaciones y directrices para su
utilización.
– OHSAS 18001:1999. Sistemas de Gestión de la Seguridad
y Salud en el Trabajo.
– UNE 71502:2004. Especificaciones para los Sistemas de
Gestión de la Seguridad de la Información (SGSI).
– ...
• La seguridad/calidad/gestión medioambiental... es un
proceso, no un producto.
– Ciclo PDCA (mejora continua).
SGSI: Calidad de la Seguridad
Sistemas de gestión
• Modelo PDCA (Plan – Do – Check – Act): Planificar,
Hacer, Verificar y Actuar.
PLANIFICAR
– Política y alcance del
sistema.
– Compromiso de la
dirección.
HACER
– Controles.
– Registros.
– Indicadores.
– Acciones
correctivas.
– Acciones
preventivas.
ACTUAR
– Seguimiento y
medición.
VERIFICAR
– Auditoría interna.
– No conformidades.
SGSI: Calidad de la Seguridad
Sistemas de gestión
• Sistema de Gestión de la Seguridad de la
Información (SGSI): Sistema de gestión que
comprende la política, la estructura organizativa,
los procedimientos, los procesos y los recursos
necesarios para
la
implantar
seguridad de la información.
la gestión de
• La gestión de la seguridad consiste en la
realización de
tareas necesarias para
garantizar los niveles de seguridad exigibles en
una organización.
las
• Los riesgos no se eliminan: se gestionan.
SGSI: Calidad de la Seguridad
SGSI: Introducción
• El establecimiento de un SGSI en la organización
las preguntas que nos
debe dar respuesta a
planteábamos al principio: nos ayudará a gestionar
nuestra seguridad.
• Podemos definir e implantar un SGSI atendiendo a
múltiples criterios y estándares; dos de ellos
destacan sobre los demás:
– BS 7799-2:2002.
– UNE 71502:2004.
• El fondo de ambas normas es muy similar: están
basadas en controles y objetivos de control de ISO
17799.
SGSI: Calidad de la Seguridad
SGSI: Normas *7799
BS7799: Code of practice for
information security
management (BS7799-1)
BS7779:1999
ISO/IEC 17779:2000
UNE-ISO/IEC 17779:2002:
Código de buenas prácticas
para la gestión de la
seguridad de la información
UNE 71502:2004:
Especificaciones para los
Sistemas de Gestión de la
Seguridad de la Información
BS7799-2: Specification for
Information Security
Management Systems
BS7779:1999
BS7779-2:2002
1995 1996
1997
1998
1999
2000
2001
2002 2003
2004
SGSI: Calidad de la Seguridad
SGSI: UNE-ISO/IEC 17799
• Con origen en la norma británica BS7799-1, constituye
un código de buenas prácticas para la Gestión de la
Seguridad de la Información.
• Establece la base común para desarrollar normas de
seguridad dentro de las organizaciones.
• Define diez dominios de control que cubren por
completo la Gestión de la Seguridad de la Información.
• Norma técnica1 de seguridad de la información más
reconocida a nivel internacional.
• 36 objetivos de control y 127 controles.
• NO CERTIFICABLE.
1. Quizás técnica, pero no tecnológica...
SGSI: Calidad de la Seguridad
SGSI: UNE 71502
• Norma que contiene las especificaciones para los
la
la Seguridad de
Sistemas de Gestión de
Información (SGSI):
✔ Establecimiento
✔
Implantación
✔ Documentación
✔ Evaluación
● Define la relación de procedimientos para establecer
el SGSI: componente documental del sistema.
● No
tiene equivalente
ISO: aplicación nacional
exclusivamente.
● Norma ISO planificada para 2006 (???).
● CERTIFICABLE.
SGSI: Calidad de la Seguridad
SGSI: PDCA
Repetimos:
La seguridad es un proceso, no un producto...
• Acciones
correctivas
• Acciones
preventivas
ACTUAR
PLANIFICAR
• Política de seguridad
• Alcance del SGSI
• Análisis de riesgos
• Selección de controles
VERIFICAR
• Auditoría interna
del SGSI
SGSI: Calidad de la Seguridad
HACER
• Implantación del
SGSI
• Implantación de
controles
SGSI: Proceso
• El primer paso para definir un SGSI en la organización es
responder a estas tres preguntas:
– ¿Cuál es el estado actual de nuestra seguridad?
– ¿Cuál es el estado al que queremos llegar?
– ¿Cómo queremos llegar a ese estado objetivo?
• Las respuestas a estas cuestiones permitirán definir un
Plan Director de Seguridad.
• Con el plan en la mano, ya podemos...
– ...implantar.
– ...gestionar.
– ...medir.
➔ ¿Mucho?, ¿Poco?, ¿A veces?, ¿Demasiado? ... no son
términos adecuados.
SGSI: Calidad de la Seguridad
SGSI: Proceso
• Con el SGSI implantado (total o parcialmente),
podemos entrar en la fase de auditoría del sistema:
– ¿Se ajusta a lo deseado?
– ¿Ha sido implantado y se mantiene y ejecuta
correctamente?
– ¿Existen nuevos riesgos?
– ¿Hay cambios que puedan afectar al SGSI?
• Si durante
la
auditoría
detectan no
conformidades (desviaciones con respecto a la
política), debemos corregirlas; si no se encuentran,
debemos buscarlas.
se
• Comienza de nuevo el ciclo de mejora continua.
SGSI: Calidad de la Seguridad
SGSI: Proceso
• Proceso similar a otros sistemas de gestión.
• La organización debe converger hacia un sistema de
agrupar Calidad,
único,
de
capaz
gestión
Medioambiente, Seguridad de la Información, etc.
– Menores costes.
– Ausencia de conflictos en los objetivos.
– Simplificación del control.
– Optimización de recursos.
– ...
• No obstante, existen algunas diferencias críticas entre
el SGSI y otros sistemas de gestión...
SGSI: Calidad de la Seguridad
SGSI: ¿SGTR?
• Código de buenas prácticas (ISO 17799) tras la
especificación del sistema de gestión.
• La seguridad de la información es un elemento que
evoluciona rápidamente (especialmente, la
inseguridad).
– El control en tiempo real se hace imprescindible.
• El seguimiento es importante en todo SG. En un
SGSI, es crítico.
– Si queremos que el SGSI prospere, se mantenga
vivo en la organización y mejore con el tiempo,
necesitamos agilidad.
• Crítica al SG clásico: burocracia.
– Concepto clave: AUTOMATIZAR.
SGSI: Calidad de la Seguridad
Certificación
• Una entidad independiente y competente afirma que
un sistema es correcto y compromete en ello su
palabra... por escrito.
• Proceso:
– Consultoría. Ayuda a
la organización para
cumplir los requisitos especificados por la norma.
– Auditoría.
• Visita previa.
• Auditoría inicial.
• Plan de acciones correctoras.
• Certificación.
• Auditorías de seguimiento del sistema.
SGSI: Calidad de la Seguridad
Certificación: ventajas
• Confianza, depositada en la entidad que certifica.
– Yo no digo que soy seguro, lo dice un tercero
independiente.
• Garantía de 'calidad de la seguridad': mejora
continua.
•
Incluimos la seguridad a todos los niveles de la
organización: beneficios para...
– ... la propia organización.
– ... los inversores.
– ... los clientes.
– ... los empleados.
SGSI: Calidad de la Seguridad
Certificación: inconvenientes
• La certificación califica formalmente el sistema de
gestión, no la seguridad técnica.
– No es garantía de inmunidad.
• No se realizan auditorías de eficacia de los controles.
– ¿Son adecuados? ¿Cumplen sus objetivos?
• Falta de cultura de seguridad en la organización.
– Certificado como objetivo (“papelito”), no como
reconocimiento.
• ¿Reclamo para piratas?
SGSI: Calidad de la Seguridad
Conclusiones
• Los problemas de seguridad rara vez son técnicos:
suelen ser de gestión.
• Debemos gestionar nuestra seguridad: no es un
producto, es un proceso.
– “Si alguien gusta de hablar de la Gestión de la
Calidad de la Seguridad, no creo que vaya
desencaminado” (Mañas dixit).
• Un sistema de gestión debe contemplar la mejora
evoluciona,
todo
continua
especialmente la (in)seguridad.
sistema:
del
• La certificación de seguridad suele ser beneficiosa,
pero ni garantiza inmunidad ni debe ser un objetivo.
¡La seguridad total no existe!
SGSI: Calidad de la Seguridad
¡¡MUCHAS GRACIAS!!
Grupo S2
Vinalopó, 7 bajo
46021 Valencia
Tel: 963 110 300
Fax: 963 106 086
http://www.s2grupo.com/
[email protected]
SGSI: Calidad de la Seguridad
Comentarios de: El sistema de gestión de la seguridad de la información: Calidad de la seguridad (0)
No hay comentarios