ISO 27001 FastPath v210616

Anuncio
Su Seguridad es Nuestro Éxito
ISO 27001:2013 FastPath
C. Santander, 101. Edif. A. 2º
E-08030 Barcelona (Spain)
Tel.: +34 93 305 13 18
Fax: +34 93 278 22 48
C. Arequipa, 1
E-28043 Madrid (Spain)
Tel.: +34 91 763 40 47
Fax: +34 91 382 03 96
Calle 90 # 12-28,
Cundinamarca - Bogotá
(Colombia)
Tel: +57 (1) 638 68 88
info@isecauditors.com
www.isecauditors.com
Índice
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
Qué es FastPath
Historia ISO27001
Conceptos Clave: Certificador y Esquema
Porqué ISO27001?
Estructura de la Norma
Preparación de la implantación
Justificación de la implantación
Grandes Preguntas
Cómo implantarla?
Recomendaciones FastPath
El Anexo A
Sólo IT?
Roadmap
La Certificación
CSF
Qué es FastPath?
• Análisis de la norma y sus controles
• Aplicación de mejores prácticas de implantación
• Experiencia como consultores implantadores y
auditores
Implantación rápida,
económica y con
garantías de éxito
Historia ISO27001 y Anexo SL
•
•
•
Origen: Normas inglesas de Seguridad y continuidad de la información BS
(British Standard) pasa a ISO con otros nombres (ISO/IEC 17799, con
orígenes en la norma BS 7799-2:2002 (España ISO71502)=>ISO/IEC*
27.001)
Publicación 2004-2005, revisión 2013
ISO 27.001.2013
–
–
–
–
–
–
–
–
–
–
Anexo SL
Evitar desconocimiento, formar al personal, reforzando toda la cadena de seguridad, desde el
Negocio hasta la persona
Control de Proveedores (orientado a la nube)
Contemplar la Continuidad del negocio propio como parte del negocio del cliente
Asegurar la seguridad en las comunicaciones tanto telemáticas como físicas
Enfoque de riesgo mediante metodología
Gestionar los eventos de seguridad
Orientado a la mejora del sistema (de forma continua)
114 controles (ISO27002)
10 Dominios
Nota: ISO= International Standards Organization, IEC=International Electric Comitee (ambos gestionan las normas técnicas),
también aparece la ITU-T (International Telecommunication Union – Telecommunication Standardization Sector)
*
Conceptos Clave, certificador y esquema
• Certificadores:
– Mundiales: BSI, TÜV, SGS
– Locales: AENOR, Applus
• Esquemas: ANAB, UKAS, AENOR
Certificador (Auditor)
Esquema
Inglaterra– Asia
Commonwealth
España
EEUU
Certificación
ISO27001?
Ponemon Institute Cost of Cybercrime 2015
The Global Risk 2015 World
Economic Forum
• No es sólo seguridad lógica => Hay que leerla
bien
• No implica únicamente a IT
• La empresa que la cumple demuestra diligencia
debida
• Entorno, es una acción identificada como
mitigadora de riesgo
La Norma (10 dominios+1)
1,2,3 Objeto, Consulta y
Definiciones
4. Contexto
–
9. Evaluación del
desempeño
–
–
– Alcance
– SGSI
5. Liderazgo
–
–
Política
Roles
6. Planificación
–
Objetivos
7. Soporte
–
Concienciación
8. Operación
Riesgos
Seguimiento
Auditoría Interna
10. Mejora
–
–
•
ANEXO A (ISO27002)
–
•
No Conformidades
Mejora Continua
Objetivo15 Proveedores
114 Controles (13
Capítulos)
Preparación
Empezar por el final ! Anexo A (ISO27002)
Con el cumplimiento establecer madurez
Análisis de riesgos (conocimiento)
CSF
Con la madurez realizar roadmap
Buscar el ok del cliente al roadmap
«No somos la NASA», «No me quiero certificar»,
«Esto para qué sirve», «Es muy caro», «No podré
dedicar mi gente a esto que pides», «Ala!», «No es
nuestra prioridad en este momento»
Para qué?
• Para:
–
–
–
–
–
–
–
–
–
Estar Preparados en caso de ataque / contingencia
Demostrar diligencia debida en caso de ataque
Conseguir contratos (AAPP, Grandes...)
Estrategia mitigadora de pérdidas!!! Perder menos en
caso de perder  No gastar  Ganar
Seriedad
Ciclo de vida del trabajador,documento/activo  Orden
Roles de Seguridad  Orden
Conocernos a nosotros mismos (Riesgos) para actuar
Orden, Seriedad, Diligencia (asimetría de la seguridad)
Las preguntas del millón
•
•
•
•
•
•
•
Cómo implantarla?
En qué orden?
Por dónde empiezo?
Qué es importante y qué no?
Qué me pedirá el auditor?
En cuánto tiempo?
Cuánto me costará?
Cómo Implantarla? Como lo dice la Norma, así?
4.3
Alcance
7.3
Concienciación
8.2
Riesgos
4.4 SGSI
6.2
Objetivos
9.1
Seguimiento
10.2
Mejora
Continua
5.2
Política
5.3
Roles
9.2
Auditoría
Interna
10.1 No
Conformi
dades
Recomendación de Implantación
6.2
Objetivos
8.2
Riesgos
5.2
Política
5.3
Roles
4.4
SGSI
10.1 No
Conformida
des
9.1
Seguimiento
7.3
Concienci
ación
10.2
Mejora
Continua
9,2
Auditoría
Interna
ANEXO
A
Spónsor
Compromiso
4.3
Alcance
Directiva
Empresa
Y el anexo A?
Sólo IT?
•
•
•
•
•
•
•
•
•
•
•
Contacto con autoridades
Trabajadores
Partes Externas
Proveedores
Confidencialidad
Control de Acceso
Equipos
Cambios
Teletrabajo
Entorno
Información
seguro
Código Malicioso
•
•
•
•
•
•
•
Backup
Documentación
Desarrollo
Incidentes de Seguridad
Continuidad
Legislación
…
Resto
Medidas
Seguridad
Lógica
Resto
Medidas
Roadmap
• Mínimo 6 meses Sii (Alcance 1 site):
–
–
–
–
–
–
–
Preauditoría hecha + Inversión HW aprobada
Alcance Acotado (1-2 Servicios 1 site)
Sponsor alineado y disponible (hits constantes)
Equipo motivado (1consultor+1help dentro empresa)
Ubicación en cliente o reuniones semanales de deploy
Madurez mínima (1)
Esquema en 3 rondas:
PROYECTO DE
1ª Madurez 1-2 (6 meses)
2ª Madurez 2-3 (6 meses)
3ª Madurez 3 (y recertificación)
CAMBIO
CULTURAL
Certificación?
• Tras los primeros seis meses se plantea
certificación con cierta garantía (60%-70% en
función del esfuerzo del cliente)
• Coste de la certificación debe estar fuera del
proyecto de consultoría
• Los certificadores suelen ser lentos, hay que
acordar con ellos el calendario y las jornadas con
tiempo suficiente
• ANTES DE CERTIFICAR repasar TODO el
esquema
• TENER EVIDENCIAS o gestión del riesgo
CSF ISO 27001
• Factores clave que deben estar en certificación (1ª
Ronda):
Política de Seguridad publicada
Usuarios formados
Incidentes de Seguridad
Roles de Seguridad
Plan de Continuidad
SGSI
1 revisión (6Meses) lo ideal, hacerla y certificar
Seguridad Física
Docs internos (Alcance, Liderazgo, …)
Análisis de Riesgos
Objetivos de Seguridad Y PROPÓSITO DE REVISIÓN
EVIDENCIAS!
–
–
–
–
–
–
–
–
–
–
–
A veces el problema no está en IT
MUCHAS GRACIAS
PREGUNTAS
Carlos Ortiz de Zevallos Torrents
INTERNET SECURITY AUDITORS
Consultor de Seguridad
Miembro ITSMF
BSI Lead Auditor ISO27001:2013
Consultor ISO20000
ITIL F/MCP/Scrum Manager…
cortiz@isecauditors.com
https://www.linkedin.com/in/carlosortizdezevallos
Su Seguridad es Nuestro Éxito
Su Seguridad es Nuestro Éxito
C. Santander, 101. Edif. A. 2º
E-08030 Barcelona (Spain)
Tel.: +34 93 305 13 18
Fax: +34 93 278 22 48
C. Arequipa, 1
E-28043 Madrid (Spain)
Tel.: +34 91 763 40 47
Fax: +34 91 382 03 96
Calle 90 # 12-28,
info@isecauditors.com
Cundinamarca - Bogotá
www.isecauditors.com
(Colombia)
Tel: +57 (1) 638 68 88
info@isecauditors.com
www.isecauditors.com
Descargar