iso 27001, iso 20000 e iso 22301 para asegurar la ......• iso 27001 para aportar seguridad al...
TRANSCRIPT
CONGRESO SECTORIAL DINTEL DATA CENTERS 2012
ISO 27001, ISO 20000 e ISO 22301 para asegurar la
Eficiencia, Disponibilidad y Seguridad en CPDs.
AUDISEC: QUIÉNES SOMOS
AUDISEC Seguridad de la Información, una empresa dedicada a aportar seguridad a sus clientes en
el tratamiento de su activo más importante, sus datos, su información.
Experiencia en Consultoría, Implantación y auditoría de:
• Sistemas de Gestión de Seguridad de la Información (SGSI) ISO 27001
(LA MITAD DE LA EMPRESAS CERTIFICADAS EN ESPAÑA)
•Sistemas de Gestión de Servicios TI ISO 20000
(MÁS DE LA MITAD DE LA EMPRESAS CERTIFICADAS EN ESPAÑA)
•Planes de continuidad de Negocio BS 25999 e ISO 22301
•Sistemas de gestión para Protección de Infraestructuras Críticas
•Calidad de Software, CMMI, SPICE
•Sistemas de protección de datos de carácter personal (LOPD)
•Esquema Nacional de Seguridad (ENS)
Desarrollo de proyectos de I + D + i
Desarrollo de productos para esos servicios: GlobalSUITE
Introducción
Primera empresa en España en obtener:
•La certificación ISO 27001 -> seguridad.
•La certificación ISO 20000 -> eficacia y eficiencia.
•La certificación ISO 22301 -> continuidad y disponibilidad.
Señal de garantía a nuestros clientes.
El alcance se centra en los servicios de GlobalSUITE,
alojados en un CPD externo.
El sector de los CPDs sigue creciendo
Según “RedesTelecom”, un 22% este año y un 14% el año que
viene
Dos tipos de CPDs
Internos
• Lo tiene la propia organización en sus instalaciones y es administrado por personal propio o personal contratado de forma específica para mantener el CPD.
Externos
• CPDs en los que las organizaciones externalizan parte de sus funciones: página web, aplicaciones corporativas, almacenamiento, planes de continuidad, etc.
Rol de los CPDs en el mercado
Tradicionalmente:
•Los CPDs eran usados por universidades, centros de
investigación, etc.
•Había CPDs internos en las grandes organizaciones.
Actualmente:
•Las PYMES se han subido al carro de los CPDs tanto internos
como externos.
•Las grandes organizaciones están externalizando servicios en
CPDs externos ahorrando así costes de sus CPDs internos.
•El Cloud Computing se basa en servicios montados en CPDs.
Rol de los CPDs en nuestras vidas
¿Quién no usa un CPD?
Puede parecer algo lejano en nuestro día a día.
Sin embargo, la mayoría de los procesos de una empresa
dependen en mayor o menor medida de que algún CPD en
alguna parte del mundo funcione bien.
Incluso en nuestras casas tenemos dependencia directa del
buen funcionamiento de los CPDs.
Rol de los CPDs en nuestras vidas
Estamos rodeados de CPDs:
• Nuestra empresa tiene un CPD.
• El hospital al que vamos tiene un CPD.
• Las compañías de telefonía tienen CPDs.
• La DGT tiene un CPD.
• Twitter, LinkedIn, Facebook, etc…tienen sus propios CPDs.
• Las AAPP tienen sus propios CPDs.
• Las cadenas de TV tienen sus CPDs.
• Etc
LOS CPDs ESTÁN EN NUESTRAS VIDAS Y DEPENDEMOS DE ELLOS
Rol de los CPDs en el mercado
Consecuencias:
Los CPDs ya no son sólo centros de cómputo o procesamiento
de información, son el corazón de la mayoría de las
organizaciones. Un fallo en el CPD suele ser un fallo en toda la
organización.
La eficiencia, disponibilidad y seguridad de los CPDs es crítica
tanto para el propio CPD como para sus clientes.
CPDs y la confianza del usuario
La externalización de servicios en CPDs entraña nuevos riesgos.
Riesgos derivados del acceso de terceros.
Riesgos derivados de la no disponibilidad del servicio.
Riesgos derivados de la posible pérdida de rendimiento al no
tener el CPD en las propias instalaciones.
Riesgos derivados del tráfico de datos a través de internet.
Etc.
Hay que aportar confianza a los clientes
Beneficios
Existen múltiples ventajas al usar CPDs externos:
• Escalabilidad y Flexibilidad.
• Ahorro de costes de implantación y mantenimiento.
• Aumenta las posibilidades de las empresas sin incurrir en más
costes de estructura ni adquisición de conocimiento.
Desafíos a conseguir
¿Cuáles son los desafíos a conseguir?
• Asegurar la seguridad (confidencialidad e integridad) de la
información.
• Asegurar la disponibilidad del servicio.
• Cumplimiento exhaustivo de la Ley de Protección de Datos.
• Ofrecer posibilidades de gestión más altas a los clientes =>
acabar con la opacidad de este tipo de servicios.
• Aportar una resolución de incidentes rápida, eficaz y eficiente.
• Aportar continuidad a los servicios.
Solución: Estándares Internacionales
SOLUCIÓN
Adoptar las mejores prácticas de los estándares internacionales.
Certificar en su caso como valor añadido
Solución: Estándares Internacionales
Tenemos tres estándares que nos pueden ayudar:
• ISO 27001 para aportar seguridad al servicio
• ISO 20000 para llevar una correcta gestión, eficacia y
eficiencia del mismo.
• ISO 22301 para asegurar la continuidad de negocio.
• Hay otros como TIA 942, más técnicos.
Solución: Estándares Internacionales
Pensemos en un servicio que tengamos dentro de un CPD, ya
sea éste interno o externo.
Solución: Estándares Internacionales
Hay que asegurar su eficiencia, disponibilidad y seguridad:
¿Qué deberíamos hacer primero?
Solución: Estándares Internacionales
¿Qué deberíamos hacer primero?
Asegurar el servicio y los activos de los que depende
ISO
27001
Solución: Estándares Internacionales
Una vez asegurado el servicio y sus activos….
Debemos establecer una correcta gestión del servicio, haciéndolo
más eficaz y eficiente.
ISO
27001
ISO 20000
Solución: Estándares Internacionales
Ya tenemos el servicio asegurado y gestionado. ¿Qué nos falta?
Aportar continuidad al servicio
ISO
27001
ISO 20000
ISO 22301
Solución: Estándares Internacionales
Beneficios
Riesgos
Apostar por este modelo nos aportará la confianza suficiente para
poder delegar parte de nuestros servicios en CPDs.
Estado actual en los data centers
La mayoría de los Data Centers ya se han certificado en ISO
27001.
En Audisec hemos realizado la consultoría de ISO 27001
de más de 50 Data Centers, tanto internos como externos.
Algunos se han certificado también en ISO 20000.
Todos han realizado trabajos para abordar planes de continuidad
de negocio, aunque la mayoría sin certificar.
Estado actual en los data centers
¿Cómo certificar un CPD interno?
Estableciendo como alcance los servicios que el propio
CPD presta el resto de la organización.
¿Cómo certificar un CPD “externo”?
Eligiendo, de los servicios que prestamos a nuestros
clientes, aquellos que sean más significativos o en los que
tengamos un interés comercial concreto.
Estado actual en los data centers
¿Próximos pasos?, ¿Hacia dónde irá el mercado?
Desde esta primavera existe un estándar internacional en
continuidad de negocio; ISO 22301. Es lógico pensar que los Data
Centers buscarán este tipo de certificaciones.
ISO 20000 en España no está teniendo el éxito esperado y
grandes organizaciones están asumiendo modelos ITIL. Sin embargo,
la certificación en ISO 20000 puede ser importante por muchos
motivos adicionales.
Caso de Éxito: Plataforma SaaS de GlobalSUITE
GlobalSUITE es una plataforma SaaS que provee al usuario un entorno
integrado donde articular sus proyectos ISO 27001, ISO 20000, BS 25999,
ENS, PIC, ISO 9001, ISO 14001 y LOPD.
Caso de Éxito: Plataforma SaaS de GlobalSUITE
GlobalSUITE permite a un Data Center –o cualquier otro tipo de empresa-
implementar de forma integral e integrada las normas ISO 27001, ISO
20000 e ISO 22301.
Dos grandes beneficios:
Ahorro de costes al usar una plataforma que automatiza los procesos
de implantación.
Implantar un sistema de gestión real, no basado en el papel o en
herramientas poco usables.
PREDICAMOS CON EL EJEMPLO
Hemos certificado dicho servicio en ISO 27001, ISO 20000 e ISO 22301.
Caso de Éxito: Plataforma SaaS de GlobalSUITE
BALANCED SCORECARD (BSC) Herramienta
para la implantación y mantenimiento diario de un
Cuadro de Mandos Integral (CMI) que además
ayuda al mantenimiento de cualquier sistema de
gestión (9001, 14001, 27001, etc.).
ANÁLISIS Y GESTIÓN DE RIESGOS INTEGRAL aprovechando
el motor de AGR avanzado de GlobalSGSI, nos permite
analizar y gestionar riesgos, de cualquier tipo (Financieros,
legales, operacionales, etc.) con cualquier metodología
de análisis, y pudiendo personalizar los catálogos de
amenazas, vulnerabilidades, controles, etc.
GlobalSUITE ® : Solución integrada de Gestión
CUMPLIMIENTO LEGAL Y NORMATIVO
Gracias a los módulos GAP ANALYSIS y AUDITORÍA se
pueden cargar esquemas de leyes, normas o estándares
y realizar un análisis diferencial contra el esquema
deseado para que luego GlobalCOMPLIANCE genere
automáticamente el plan de adecuación..
Más información
MADRID – BARCELONA – CIUDAD REAL –
BOGOTÁ – MÉXICO D.F.
[email protected] – 902 056 203
Visítenos en nuestra web www.audisec.es