presetacion_auditoria.
Download
Report
Transcript presetacion_auditoria.
MODELOS
ISO27001 - SEARS
CAMILO LOZANO
JAIME ANDRES PUERTA
Auditoria en Sistemas
EAFIT 2009
TEMAS
•
•
•
•
•
•
NORMAS
• ISO 2700
• BS 7799
• SEARS
ANTECENDENTES
APLICACIONES
MODELOS
CONCLUSIONES
BIBLIOGRAFIA
INTRODUCCIÓN
¿Por qué se necesita seguridad en la información?
¿Cómo establecer los requerimientos de seguridad?
Evaluando los riesgos de seguridad
Selección de controles
Factores críticos de éxito
ISO27001
ISO27001
•
ISO es una organización internacional no
gubernamental
que
produce
normas
internacionales industriales y comerciales.
•
El propósito es facilitar el comercio, intercambio
de información y contribuir con estándares
comunes para el desarrollo y transferencia de
tecnologías.
ISO27001
•
Desde 1946 la normatividad ISO fue una de las primeras con
pretensiones de estandarizar normas, reglamentos y formas de
trabajo en las organizaciones a nivel internacional.
•
En 1987 aparece, por primera vez, un estándar que en vez de
certificar productos asegura procesos.
•
ISO/IEC 27000 es un conjunto de estándares desarrollados -o
en fase de desarrollo- por ISO (International Organization for
Standardization)
e
IEC
(International
Electrotechnical
Commission), que proporcionan un marco de gestión de la
seguridad de la información utilizable por cualquier tipo de
organización, pública o privada, grande o pequeña.
ISO27001
ANTECEDENTES:
•
La serie 27000 de estándares ISO es un conjunto de
documentos globalmente aceptado para administrar la
seguridad de la información
•
La serie incluye documentos específicos para definir un
sistema de gestión de seguridad de la información, buenas
prácticas de control, métricas de seguridad y gestión de
riesgo.
•
Es consistente con las mejores prácticas descritas en
ISO/IEC 17799 (actualmente ISO/IEC 27002) y tiene su
origen en la revisión de la norma británica British Standard
BS 7799-2.
ISO27001
HISTORIA:
Desde 1901 BSI es responsable de la publicación de
importantes normas como la BS7799 (1995), con objeto
de preparar las empresas en la certificación de la
Gestión de la Seguridad de su Información por medio de
una auditoría realizada por un auditor acreditado y
externo.
La norma BS7799 se divide en dos partes:
BS7799-1.
BS7799-2.
ISO27001
•
Tras la revisión de las dos partes de la norma BS7799 en
1999, la primera parte se adopta por la Organización
Internacional para la Estandarización ISO, sin cambios
sustanciales, como ISO17799 en el año 2000.
•
En 2005, y con más de 1700 empresas certificadas en
BS7799-2, el esquema SGSI de la norma se publica por
ISO bajo la norma 27001, junto a la primera revisión
formal realizada en ese mismo año de ISO17799.
•
En Marzo de 2006, posteriormente a la publicación de la
ISO27001:2005, BSI publicó la BS7799-3:2006, centrada
en la gestión del riesgo de los sistemas de información.
ISO27001
MODELO:
ACT
(Actuar)
CHECK
(Revisar)
•Modificar
procesos
según las
PLAN
Pasado (Planificar)
unlos
periodo
de tiempo
DO (Hacer)
conclusiones
del paso anterior
previsto de antemano,
volver a
para
alcanzar
los
objetivos
con las
recopilar
datos
de
control
y
Ejecutar los procesos definidos en el
especificaciones
iniciales,
si fuese
•Identificar
el proceso
que se
quiere
analizarlos,
paso
anteriorcomparándolos con
necesario
mejorar
los objetivoslas
y especificaciones
Documentar
acciones realizadas
•Aplicar
nuevas
mejoras,
si ha
se han
•Recopilar
datos
para profundizar
iniciales, para evaluar
si se
detectado
errores
en
elproceso
paso
en
el conocimiento
del
producido
la
mejora
esperada
anterior
•Análisis
e interpretación
de los
Documentar
las conclusiones
•Documentar el proceso
datos
•Establecer los objetivos de mejora
•Detallar las especificaciones de los
resultados esperados
•Definir los procesos necesarios
para conseguir estos objetivos,
verificando las especificaciones
ISO27001
OBJETIVO:
•
Brindar recomendaciones a los responsables de
planear, implantar o mantener controles para garantizar
la Seguridad de la Información. Provee una base común
para el desarrollo de estándares de seguridad aplicables
a una empresa en particular tomando como referencia
un conjunto de prácticas que han probado su
efectividad.
ISO27001
BENEFICIOS:
•
Establecimiento de una metodología de gestión de la
seguridad clara y estructurada.
•
Reducción del riesgo de pérdida, robo o corrupción de
información.
•
Los clientes tienen acceso a la información a través
medidas de seguridad.
ISO27001
•
Las auditorías externas ayudan cíclicamente a identificar
las debilidades del sistema y las áreas a mejorar.
•
Posibilidad de integrarse con otros sistemas de gestión
(ISO 9001, ISO 14001, OHSAS 18001L).
•
Garantiza la confidencialidad, integridad y disponibilidad
de la información con base en la mejora de los procesos
de TI.
•
Reducción de costes y mejora de los procesos y
servicio.
IMPLEMENTACIÓN
ISO27001
5 - Documento sobre política de seguridad de la información el
cual debe ser aprobado por la administración y publicado y
comunicado
a todos los
y lasde
organizaciones
externas
6
– Coordinación
de empleados
la seguridad
la información:
Las
relevantes.
actividades de seguridad de la información deben ser coordinadas
por
representantes
de diferentes
la organización
con
7 – Inventario
de activos:
Todos lospartes
activosdedeben
ser plenamente
roles
y funciones
identificados
y serelevantes.
deben ubicar todos los activos importantes en
un inventario el cual debe ser mantenido.
8910
––Proceso
Controles
– Respaldo
disciplinario:
físicos
de de
información:
Habrá
entrada:
proceso
Las
Lasáreas
formal
copias
seguras
disciplinario
de respaldo
debenpara
ser
de
14 – Pruebas y mantenimiento de planes de continuidad de
los
protegidas
información
empleados
con
y que
software
controles
generen
serán
de
brechas
realizadas
ingreso
de apropiados
seguridad.
y probadas
para
regularmente
asegurar
negocio: Los planes de continuidad de negocio deben ser
que
de
acuerdo
solo
el personal
conde
la política
autorizado
de
respaldo
pueda
ingresar.
aprobada.
11
12
–
–
Autenticación
Control
acceso
de
usuario
a
código
para
fuente
conexiones
deLos
aplicaciones:
externas:
Se
El
probados
y
actualizados
regularmente
para asegurar
que están
15 – Verificación de cumplimiento técnico:
sistemas
de
deben
acceso
usar
a código
métodos
fuente
de verificar
autenticación
decuando
aplicaciones
apropiados
debe estar
para
restringido.
controlarsu
el
listos
para
ser
se necesiten.
información
seejecutados
deben
regularmente
para
chequear
acceso
de usuarios
remotos.
cumplimiento
los estándares
de Todos
implementación
de
13 – Reporte
decon
debilidades
de seguridad:
los empleados,
seguridad.
contratistas, y usuarios de outsourcing que utilicen los sistemas o
servicios de información deben notificar y reportar cualquier
debilidad observada o que se sospeche de dichos sistemas.
ISO27001
IMPACTO EN LA INDUSTRIA:
•
La información es un activo vital para la continuidad y
desarrollo de cualquier organización pero la implantación
de controles y procedimientos de seguridad se realiza
frecuentemente sin un criterio común establecido, en torno
a la compra de productos técnicos y sin considerar toda la
información esencial que se debe proteger.
•
La Organización Internacional de Estandarización (ISO), a
través de las normas recogidas en ISO/IEC 27000,
establece una implementación efectiva de la seguridad de
la información empresarial.
IMPACTO EN LA INDUSTRIA
Organización
País
Número de
Certificado
Entidad
Certificadora
Estándar
BS 77992:2002 o
ISO/IEC
27001:2005
ComBanc S.A.
Colombia
IS 531192
BSI
ISO/IEC
27001:2005
Etek International Holding Corp.
Colombia
IS 84320
BSI
ISO/IEC
27001:2005
Ricoh Colombia, S.A.
Colombia
IS 85241
BSI
ISO/IEC
27001:2005
UNISYS Global Outsourcing &
Infrastructure Services
(GOIS)/Maintenance Support Services
(MSS)
Colombia
IS 97104
BSI
ISO/IEC
27001:2005
FluidSignal Group
Colombia
-
ICONTEC
ISO/IEC
27001:2005
SEARS
SEARS
ANTECEDENTES:
•
La SuperIntendencia Bancaria de Colombia a través de la Circular
Externa 007 de 1996 exige a las entidades aseguradoras el
cumplimiento de un Margen de Solvencia y un Patrimonio Técnico
para poder operar.
•
La SuperIntendencia Bancaria de Colombia (hoy en día
SuperFinanciera) a través de la circular externa 011 de 2002, define
los parámetros generales que debe tener todo establecimiento de
crédito para gestionar el riesgo crediticio.
•
La Circular 31 de 2002 exige la definición de un Sistema de
Administración de Riesgos (SAR).
•
En la Circular Externa 052 de 2002 se le exige a las empresas de
seguros la implementación de un Sistema Especial de Administración
de Riesgos de Seguros (SEARS), por medio del cual pueda identificar,
medir, evaluar y controlar los riesgos inherentes a su actividad.
SEARS
Las entidades aseguradoras se encuentran expuestas,
además de los riesgos generales a que se expone toda
entidad financiera, a riesgos particulares de la actividad
aseguradora como serían los riesgos de suscripción y de
insuficiencia de reservas técnicas. Por lo tanto es vital que
las entidades aseguradoras adopten, como parte integral de
su Sistema general de Administración de Riesgos (SAR),
sistemas especiales de identificación, medición, evaluación
y control de aquellos riesgos particulares a su actividad que
operen coordinadamente con los presupuestos generales
de administración de riesgos.
SEARS
El SEARS está concebido como las políticas,
metodologías y procesos de control que la respectiva
entidad adopta con el propósito de identificar, administrar
y gestionar los riesgos propios de su actividad.
Toda entidad aseguradora debe diseñar y adoptar su
propio Sistema Especial de Administración de Riesgos de
Seguros (SEARS) que le permita realizar una adecuada
gestión de los riesgos propios de su actividad.
SEARS
El SEARS debe contar con los siguientes elementos
que en función de las características, tamaño y
complejidad de las operaciones realizadas por cada
entidad, pueden adoptarse independientemente o
formar parte del sistema general:
•
Políticas sobre asunción de riesgos
•
Procesos de Control de Riesgos
SEARS
•
Infraestructura adecuada para la gestión de los
riesgos de seguros
•
Metodologías especiales para la medición de los
riesgos de seguros
•
Mecanismos de control de los procesos.
SEARS
Este modelo no se aplica solamente a entidades
aseguradoras. Las empresas de diferentes sectores
que han optado por adoptar este modelo de control
de riesgo. Se aplica en todo tipo de empresa.
Desde la pyme hasta la gran empresa.
SEARS
CARACTERISTICAS DEL SEARS:
•
•
•
Cuantificación del riesgo
Cubrimiento del riesgo
Control de riesgos
Diseño, adopción y aplicación
de la metodología de
cuantificación de riesgos
Diseño y adopción de la
estructura general del SEARS
Políticas de
administración de riesgos
Metodología, base teórica
y parámetros empleados
Infraestructura técnica y
humana para la gestión de riesgos
Instrumentos para capacitar a los
encargados de la gestión de riesgo
2ª Fase
1ª Fase
Estructura de mecanismos
de identificación de riesgo
Pruebas de desempeño para
verificar la calidad de resultados
Valores en riesgo estimados
y observados
Procesos de control de riesgos
Mecanismos para evaluar
los procesos
Información detallada de los
encargados del control de riesgos
Crédito
Estratégico
Mercado
Reputacional
Liquidez
Operacional
Suscripción
RIESGO
Insuficiencia de
reservas técnicas
Tarifación
Descuento sobre
primas
Legal
Diferencias en
condiciones
Concentración
SEARS
REGLAS ESPECIALES DE LA ESTRUCTURA Y
OPERACIÓN DEL SEARS:
•
•
•
•
•
Infraestructura
Características de las metodologías de cuantificación
de los riesgos de seguros
Procesos de control y de monitoreo de riesgos
Periodicidad de la evaluación y reporte a la SBC
Facultad de objeción del SEARS por parte de la SBC
CONCLUSIONES
•
Ni la adopción ni la certificación de cualquiera de la
normas en especial la ISO 27001:2005 garantizan la
inmunidad de la organización frente a problemas de
seguridad.
•
Constantemente se deben de realizar análisis periódico
de los riesgos.
•
La responsabilidad en el manejo de la información no
solo depende del departamento encargado de TI.
•
La certificación implica realizar un cambio cultural al
interior de la empresa respecto al cuidado del activo
más
importante
de
una
organización:
LA
INFORMACIÓN
BIBLIOGRAFIA
•
Información detallada de la norma ISO/IEC 27001.
http://www.xunlay.com/iso/ (18 Enero. 2009)
•
El
portal
de
ISO
27000
en
http://www.iso27000.es/ (18 Enero. 2009)
•
Enjuto, Joseba. Diferencia entre ISO 27001 e ISO 27002.
http://secugest.blogspot.com/2007/09/diferencias-entreiso-27001-e-iso-27002.html (18 Enero. 2009)
•
ICONTEC Internacional, Certificación ISO
27001.
http://www.icontec.org/BancoConocimiento/C/certificacion
_iso_27001/certificacion_iso_27001.asp?CodIdioma=ESP
(20 Enero. 2009)
Español.
BIBLIOGRAFIA
•
INTECO
S.A,
Normativa
–
ISO
27002.
https://sgsi.inteco.es/index.php/es/conceptos-de-unsgsi/normativa?start=2 (19 Enero. 2009)
•
La Flecha, tu diario de ciencia y tecnología.
http://www.laflecha.net/canales/seguridad/articulos/metod
ologia-de-implantacion-y-certificacion-de-iso27001/
(18
Enero. 2009)
•
Superintendencia Bancaria, Doctrinas y conceptos
financieros.
http://www.superfinanciera.gov.co/Normativa/doctrinas200
3/adminriesgos004.htm (20 Enero de 2009)
PREGUNTAS…
GRACIAS…