Su Seguridad es Nuestro Éxito ISO 27001:2013 FastPath C. Santander, 101. Edif. A. 2º E-08030 Barcelona (Spain) Tel.: +34 93 305 13 18 Fax: +34 93 278 22 48 C. Arequipa, 1 E-28043 Madrid (Spain) Tel.: +34 91 763 40 47 Fax: +34 91 382 03 96 Calle 90 # 12-28, Cundinamarca - Bogotá (Colombia) Tel: +57 (1) 638 68 88 info@isecauditors.com www.isecauditors.com Índice 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. Qué es FastPath Historia ISO27001 Conceptos Clave: Certificador y Esquema Porqué ISO27001? Estructura de la Norma Preparación de la implantación Justificación de la implantación Grandes Preguntas Cómo implantarla? Recomendaciones FastPath El Anexo A Sólo IT? Roadmap La Certificación CSF Qué es FastPath? • Análisis de la norma y sus controles • Aplicación de mejores prácticas de implantación • Experiencia como consultores implantadores y auditores Implantación rápida, económica y con garantías de éxito Historia ISO27001 y Anexo SL • • • Origen: Normas inglesas de Seguridad y continuidad de la información BS (British Standard) pasa a ISO con otros nombres (ISO/IEC 17799, con orígenes en la norma BS 7799-2:2002 (España ISO71502)=>ISO/IEC* 27.001) Publicación 2004-2005, revisión 2013 ISO 27.001.2013 – – – – – – – – – – Anexo SL Evitar desconocimiento, formar al personal, reforzando toda la cadena de seguridad, desde el Negocio hasta la persona Control de Proveedores (orientado a la nube) Contemplar la Continuidad del negocio propio como parte del negocio del cliente Asegurar la seguridad en las comunicaciones tanto telemáticas como físicas Enfoque de riesgo mediante metodología Gestionar los eventos de seguridad Orientado a la mejora del sistema (de forma continua) 114 controles (ISO27002) 10 Dominios Nota: ISO= International Standards Organization, IEC=International Electric Comitee (ambos gestionan las normas técnicas), también aparece la ITU-T (International Telecommunication Union – Telecommunication Standardization Sector) * Conceptos Clave, certificador y esquema • Certificadores: – Mundiales: BSI, TÜV, SGS – Locales: AENOR, Applus • Esquemas: ANAB, UKAS, AENOR Certificador (Auditor) Esquema Inglaterra– Asia Commonwealth España EEUU Certificación ISO27001? Ponemon Institute Cost of Cybercrime 2015 The Global Risk 2015 World Economic Forum • No es sólo seguridad lógica => Hay que leerla bien • No implica únicamente a IT • La empresa que la cumple demuestra diligencia debida • Entorno, es una acción identificada como mitigadora de riesgo La Norma (10 dominios+1) 1,2,3 Objeto, Consulta y Definiciones 4. Contexto – 9. Evaluación del desempeño – – – Alcance – SGSI 5. Liderazgo – – Política Roles 6. Planificación – Objetivos 7. Soporte – Concienciación 8. Operación Riesgos Seguimiento Auditoría Interna 10. Mejora – – • ANEXO A (ISO27002) – • No Conformidades Mejora Continua Objetivo15 Proveedores 114 Controles (13 Capítulos) Preparación Empezar por el final ! Anexo A (ISO27002) Con el cumplimiento establecer madurez Análisis de riesgos (conocimiento) CSF Con la madurez realizar roadmap Buscar el ok del cliente al roadmap «No somos la NASA», «No me quiero certificar», «Esto para qué sirve», «Es muy caro», «No podré dedicar mi gente a esto que pides», «Ala!», «No es nuestra prioridad en este momento» Para qué? • Para: – – – – – – – – – Estar Preparados en caso de ataque / contingencia Demostrar diligencia debida en caso de ataque Conseguir contratos (AAPP, Grandes...) Estrategia mitigadora de pérdidas!!! Perder menos en caso de perder No gastar Ganar Seriedad Ciclo de vida del trabajador,documento/activo Orden Roles de Seguridad Orden Conocernos a nosotros mismos (Riesgos) para actuar Orden, Seriedad, Diligencia (asimetría de la seguridad) Las preguntas del millón • • • • • • • Cómo implantarla? En qué orden? Por dónde empiezo? Qué es importante y qué no? Qué me pedirá el auditor? En cuánto tiempo? Cuánto me costará? Cómo Implantarla? Como lo dice la Norma, así? 4.3 Alcance 7.3 Concienciación 8.2 Riesgos 4.4 SGSI 6.2 Objetivos 9.1 Seguimiento 10.2 Mejora Continua 5.2 Política 5.3 Roles 9.2 Auditoría Interna 10.1 No Conformi dades Recomendación de Implantación 6.2 Objetivos 8.2 Riesgos 5.2 Política 5.3 Roles 4.4 SGSI 10.1 No Conformida des 9.1 Seguimiento 7.3 Concienci ación 10.2 Mejora Continua 9,2 Auditoría Interna ANEXO A Spónsor Compromiso 4.3 Alcance Directiva Empresa Y el anexo A? Sólo IT? • • • • • • • • • • • Contacto con autoridades Trabajadores Partes Externas Proveedores Confidencialidad Control de Acceso Equipos Cambios Teletrabajo Entorno Información seguro Código Malicioso • • • • • • • Backup Documentación Desarrollo Incidentes de Seguridad Continuidad Legislación … Resto Medidas Seguridad Lógica Resto Medidas Roadmap • Mínimo 6 meses Sii (Alcance 1 site): – – – – – – – Preauditoría hecha + Inversión HW aprobada Alcance Acotado (1-2 Servicios 1 site) Sponsor alineado y disponible (hits constantes) Equipo motivado (1consultor+1help dentro empresa) Ubicación en cliente o reuniones semanales de deploy Madurez mínima (1) Esquema en 3 rondas: PROYECTO DE 1ª Madurez 1-2 (6 meses) 2ª Madurez 2-3 (6 meses) 3ª Madurez 3 (y recertificación) CAMBIO CULTURAL Certificación? • Tras los primeros seis meses se plantea certificación con cierta garantía (60%-70% en función del esfuerzo del cliente) • Coste de la certificación debe estar fuera del proyecto de consultoría • Los certificadores suelen ser lentos, hay que acordar con ellos el calendario y las jornadas con tiempo suficiente • ANTES DE CERTIFICAR repasar TODO el esquema • TENER EVIDENCIAS o gestión del riesgo CSF ISO 27001 • Factores clave que deben estar en certificación (1ª Ronda): Política de Seguridad publicada Usuarios formados Incidentes de Seguridad Roles de Seguridad Plan de Continuidad SGSI 1 revisión (6Meses) lo ideal, hacerla y certificar Seguridad Física Docs internos (Alcance, Liderazgo, …) Análisis de Riesgos Objetivos de Seguridad Y PROPÓSITO DE REVISIÓN EVIDENCIAS! – – – – – – – – – – – A veces el problema no está en IT MUCHAS GRACIAS PREGUNTAS Carlos Ortiz de Zevallos Torrents INTERNET SECURITY AUDITORS Consultor de Seguridad Miembro ITSMF BSI Lead Auditor ISO27001:2013 Consultor ISO20000 ITIL F/MCP/Scrum Manager… cortiz@isecauditors.com https://www.linkedin.com/in/carlosortizdezevallos Su Seguridad es Nuestro Éxito Su Seguridad es Nuestro Éxito C. Santander, 101. Edif. A. 2º E-08030 Barcelona (Spain) Tel.: +34 93 305 13 18 Fax: +34 93 278 22 48 C. Arequipa, 1 E-28043 Madrid (Spain) Tel.: +34 91 763 40 47 Fax: +34 91 382 03 96 Calle 90 # 12-28, info@isecauditors.com Cundinamarca - Bogotá www.isecauditors.com (Colombia) Tel: +57 (1) 638 68 88 info@isecauditors.com www.isecauditors.com