CONGRESO SECTORIAL DINTEL DATA CENTERS 2012

ISO 27001, ISO 20000 e ISO 22301 para asegurar la

Eficiencia, Disponibilidad y Seguridad en CPDs.

AUDISEC: QUIÉNES SOMOS

AUDISEC Seguridad de la Información, una empresa dedicada a aportar seguridad a sus clientes en

el tratamiento de su activo más importante, sus datos, su información.

Experiencia en Consultoría, Implantación y auditoría de:

• Sistemas de Gestión de Seguridad de la Información (SGSI) ISO 27001

(LA MITAD DE LA EMPRESAS CERTIFICADAS EN ESPAÑA)

•Sistemas de Gestión de Servicios TI ISO 20000

(MÁS DE LA MITAD DE LA EMPRESAS CERTIFICADAS EN ESPAÑA)

•Planes de continuidad de Negocio BS 25999 e ISO 22301

•Sistemas de gestión para Protección de Infraestructuras Críticas

•Calidad de Software, CMMI, SPICE

•Sistemas de protección de datos de carácter personal (LOPD)

•Esquema Nacional de Seguridad (ENS)

Desarrollo de proyectos de I + D + i

Desarrollo de productos para esos servicios: GlobalSUITE

Introducción

Primera empresa en España en obtener:

•La certificación ISO 27001 -> seguridad.

•La certificación ISO 20000 -> eficacia y eficiencia.

•La certificación ISO 22301 -> continuidad y disponibilidad.

Señal de garantía a nuestros clientes.

El alcance se centra en los servicios de GlobalSUITE,

alojados en un CPD externo.

El sector de los CPDs sigue creciendo

Según “RedesTelecom”, un 22% este año y un 14% el año que

viene

Dos tipos de CPDs

Internos

• Lo tiene la propia organización en sus instalaciones y es administrado por personal propio o personal contratado de forma específica para mantener el CPD.

Externos

• CPDs en los que las organizaciones externalizan parte de sus funciones: página web, aplicaciones corporativas, almacenamiento, planes de continuidad, etc.

Rol de los CPDs en el mercado

Tradicionalmente:

•Los CPDs eran usados por universidades, centros de

investigación, etc.

•Había CPDs internos en las grandes organizaciones.

Actualmente:

•Las PYMES se han subido al carro de los CPDs tanto internos

como externos.

•Las grandes organizaciones están externalizando servicios en

CPDs externos ahorrando así costes de sus CPDs internos.

•El Cloud Computing se basa en servicios montados en CPDs.

Rol de los CPDs en nuestras vidas

¿Quién no usa un CPD?

Puede parecer algo lejano en nuestro día a día.

Sin embargo, la mayoría de los procesos de una empresa

dependen en mayor o menor medida de que algún CPD en

alguna parte del mundo funcione bien.

Incluso en nuestras casas tenemos dependencia directa del

buen funcionamiento de los CPDs.

Rol de los CPDs en nuestras vidas

Estamos rodeados de CPDs:

• Nuestra empresa tiene un CPD.

• El hospital al que vamos tiene un CPD.

• Las compañías de telefonía tienen CPDs.

• La DGT tiene un CPD.

• Twitter, LinkedIn, Facebook, etc…tienen sus propios CPDs.

• Las AAPP tienen sus propios CPDs.

• Las cadenas de TV tienen sus CPDs.

• Etc

LOS CPDs ESTÁN EN NUESTRAS VIDAS Y DEPENDEMOS DE ELLOS

Rol de los CPDs en el mercado

Consecuencias:

Los CPDs ya no son sólo centros de cómputo o procesamiento

de información, son el corazón de la mayoría de las

organizaciones. Un fallo en el CPD suele ser un fallo en toda la

organización.

La eficiencia, disponibilidad y seguridad de los CPDs es crítica

tanto para el propio CPD como para sus clientes.

CPDs y la confianza del usuario

La externalización de servicios en CPDs entraña nuevos riesgos.

Riesgos derivados del acceso de terceros.

Riesgos derivados de la no disponibilidad del servicio.

Riesgos derivados de la posible pérdida de rendimiento al no

tener el CPD en las propias instalaciones.

Riesgos derivados del tráfico de datos a través de internet.

Etc.

Hay que aportar confianza a los clientes

Beneficios

Existen múltiples ventajas al usar CPDs externos:

• Escalabilidad y Flexibilidad.

• Ahorro de costes de implantación y mantenimiento.

• Aumenta las posibilidades de las empresas sin incurrir en más

costes de estructura ni adquisición de conocimiento.

Desafíos a conseguir

¿Cuáles son los desafíos a conseguir?

• Asegurar la seguridad (confidencialidad e integridad) de la

información.

• Asegurar la disponibilidad del servicio.

• Cumplimiento exhaustivo de la Ley de Protección de Datos.

• Ofrecer posibilidades de gestión más altas a los clientes =>

acabar con la opacidad de este tipo de servicios.

• Aportar una resolución de incidentes rápida, eficaz y eficiente.

• Aportar continuidad a los servicios.

Solución: Estándares Internacionales

SOLUCIÓN

Adoptar las mejores prácticas de los estándares internacionales.

Certificar en su caso como valor añadido

Solución: Estándares Internacionales

Tenemos tres estándares que nos pueden ayudar:

• ISO 27001 para aportar seguridad al servicio

• ISO 20000 para llevar una correcta gestión, eficacia y

eficiencia del mismo.

• ISO 22301 para asegurar la continuidad de negocio.

• Hay otros como TIA 942, más técnicos.

Solución: Estándares Internacionales

Pensemos en un servicio que tengamos dentro de un CPD, ya

sea éste interno o externo.

Solución: Estándares Internacionales

Hay que asegurar su eficiencia, disponibilidad y seguridad:

¿Qué deberíamos hacer primero?

Solución: Estándares Internacionales

¿Qué deberíamos hacer primero?

Asegurar el servicio y los activos de los que depende

ISO

27001

Solución: Estándares Internacionales

Una vez asegurado el servicio y sus activos….

Debemos establecer una correcta gestión del servicio, haciéndolo

más eficaz y eficiente.

ISO

27001

ISO 20000

Solución: Estándares Internacionales

Ya tenemos el servicio asegurado y gestionado. ¿Qué nos falta?

Aportar continuidad al servicio

ISO

27001

ISO 20000

ISO 22301

¿Qué aportan estos modelos?

Data Center

ISO 27001

Solución: Estándares Internacionales

Beneficios

Riesgos

Apostar por este modelo nos aportará la confianza suficiente para

poder delegar parte de nuestros servicios en CPDs.

Estado actual en los data centers

La mayoría de los Data Centers ya se han certificado en ISO

27001.

En Audisec hemos realizado la consultoría de ISO 27001

de más de 50 Data Centers, tanto internos como externos.

Algunos se han certificado también en ISO 20000.

Todos han realizado trabajos para abordar planes de continuidad

de negocio, aunque la mayoría sin certificar.

Estado actual en los data centers

¿Cómo certificar un CPD interno?

Estableciendo como alcance los servicios que el propio

CPD presta el resto de la organización.

¿Cómo certificar un CPD “externo”?

Eligiendo, de los servicios que prestamos a nuestros

clientes, aquellos que sean más significativos o en los que

tengamos un interés comercial concreto.

Estado actual en los data centers

¿Próximos pasos?, ¿Hacia dónde irá el mercado?

Desde esta primavera existe un estándar internacional en

continuidad de negocio; ISO 22301. Es lógico pensar que los Data

Centers buscarán este tipo de certificaciones.

ISO 20000 en España no está teniendo el éxito esperado y

grandes organizaciones están asumiendo modelos ITIL. Sin embargo,

la certificación en ISO 20000 puede ser importante por muchos

motivos adicionales.

Caso de Éxito: Plataforma SaaS de GlobalSUITE

GlobalSUITE es una plataforma SaaS que provee al usuario un entorno

integrado donde articular sus proyectos ISO 27001, ISO 20000, BS 25999,

ENS, PIC, ISO 9001, ISO 14001 y LOPD.

Caso de Éxito: Plataforma SaaS de GlobalSUITE

GlobalSUITE permite a un Data Center –o cualquier otro tipo de empresa-

implementar de forma integral e integrada las normas ISO 27001, ISO

20000 e ISO 22301.

Dos grandes beneficios:

Ahorro de costes al usar una plataforma que automatiza los procesos

de implantación.

Implantar un sistema de gestión real, no basado en el papel o en

herramientas poco usables.

PREDICAMOS CON EL EJEMPLO

Hemos certificado dicho servicio en ISO 27001, ISO 20000 e ISO 22301.

Caso de Éxito: Plataforma SaaS de GlobalSUITE

Introducción

BALANCED SCORECARD (BSC) Herramienta

para la implantación y mantenimiento diario de un

Cuadro de Mandos Integral (CMI) que además

ayuda al mantenimiento de cualquier sistema de

gestión (9001, 14001, 27001, etc.).

ANÁLISIS Y GESTIÓN DE RIESGOS INTEGRAL aprovechando

el motor de AGR avanzado de GlobalSGSI, nos permite

analizar y gestionar riesgos, de cualquier tipo (Financieros,

legales, operacionales, etc.) con cualquier metodología

de análisis, y pudiendo personalizar los catálogos de

amenazas, vulnerabilidades, controles, etc.

GlobalSUITE ® : Solución integrada de Gestión

CUMPLIMIENTO LEGAL Y NORMATIVO

Gracias a los módulos GAP ANALYSIS y AUDITORÍA se

pueden cargar esquemas de leyes, normas o estándares

y realizar un análisis diferencial contra el esquema

deseado para que luego GlobalCOMPLIANCE genere

automáticamente el plan de adecuación..

Más información

MADRID – BARCELONA – CIUDAD REAL –

BOGOTÁ – MÉXICO D.F.

info@audisec.es – 902 056 203

Visítenos en nuestra web www.audisec.es