mejora de la seguridad de la información para las pymes ... · metodología unificada de...
TRANSCRIPT
Mejora de la Seguridad de la Información para las Pymes Españolas
Noviembre 20101
Objetivos
Los objetivos de esta jornada de presentación a las Empresas
participantes en PYMESecurity son:
• Presentar la organización del Programa
• Definir la metodología de trabajo
• Establecer las actividades que deberán realizar las PYMES
participantes
• Exponer el esquema de financiación
2
Índice
•Objetivos
•Modelo operativo
•Organización
•Fases del proyecto
•Calendario
•Estructura económica
3
Objetivos del proyecto
La finalidad de PYMESecurity es promover entre las Pymes españolas un sistema
TIC seguro, como medio para consolidar y avanzar en la Sociedad de la
Información, aprovechando la experiencia atesorada en la primera y segunda
edición de PYMESECURITY.
Este programa se diseña como un programa agrupado e integral, que facilita a la
empresa participante todos los servicios necesarios para implantar un Sistema de
Gestión de Seguridad de la Información (en adelante, SGSI), de acuerdo con la
norma UNE ISO/IEC 27001:2007, y su posterior certificación.
Los objetivos secundarios, dirigidos a la consecución del principal, planteados
para este proyecto son:
• Sensibilizar, concienciar y comunicar a las PYMES acerca de las ventajas y
beneficios derivados de la mejora de la gestión de la seguridad
• Formar al personal de las empresas participantes en los procesos y
herramientas establecidos durante la implantación de los controles derivados
de la norma de referencia, para crear una nueva competencia interna
4
Beneficios para la empresa
Mejora la seguridad de los sistemas de información empresariales (Confidencialidad, Integridad y
Disponibilidad de la Información).
La implantación y certificación de un SGSI basado en la norma UNE EN/ISO 27001:2007 aporta ventajas de
reconocimiento de sus clientes y partners.
La norma de buenas prácticas UNE EN/ISO 27002:2009 explica los controles aplicables al SGSI, entre ellos,
cumplir con la legislación aplicable: LOPD, LSSI, propiedad intelectual, etc.
Preparación ante incidentes de gravedad que puedan parar el negocio.
5
Modelo operativo
El modelo operativo del Programa, para lograr el éxito de la consecución de los
objetivos de PYMESECURITY, se fundamenta en las premisas siguientes:
Estandarización y simplificación de procesos y productos a generar
Metodología unificada de implantación de un SGSI
Tipificación de empresas y controles a implantar
Dirección y coordinación centralizada
Herramientas comunes de gestión del proyecto
Seguimiento y control de plazos, logros y presupuesto
Soporte continuo a las consultoras de implantación
Alineación con requisitos de certificación de la entidad certificadora
6
Modelo operativo
Dirección
Supervisión y seguimiento
Documentación administrativa
Justificación económica
Coordinación con
asociaciones participantes
Oficina Técnica
Herramienta
Formación agrupada
Coordinación certificaciones
Control y reporting
Seguimiento y resolución de incidencias
Control de satisfacción
Auditorias
Coordinación con consultores
Consultoras
Formación específica
Consultoría de implantación
Incidencias
Asistencia a la certificación
PYMES
Implantación SGSI
Incidencias
Certificación
Certificadora
Coordinación
Auditoría
7
Organización
La organización de PYMESURITY seguirá un modelo de gestión cuya dirección y
coordinación esta encomendada a ETICOM, que dispondrá de una Oficina de
Proyecto que se encargará de la gestión de todos los aspectos técnicos del
proyecto
La Oficina de Proyecto desempeñará las funciones siguientes:
Dirección Técnica del proyecto, asegurando la estandarización y
homogeneidad de todos los procesos y productos de la implantación del SGSI
en cada una de las PYMES participantes
Centro de Atención a Usuarios, apoyando a las consultoras colaboradoras en
el proyecto en la planificación y control de sus tareas, así como a las PYMES
participantes en la resolución de cualquier incidencia
8
Oficina Técnica
Dirección Técnica
Estandarización de procesos y productos de implantación del SGSI
Administración de la herramienta de planificación y gestión del proyecto
Establecimiento Plan actuación y líneas de trabajo a desarrollar
Coordinación con la empresa Consultora y la Entidad de Certificación
Aseguramiento de la calidad de los productos y del servicio a participantes
Formación agrupada
Auditorías
Centro de Atención a Usuarios
Apoyo a los equipos de consultores del proyecto ante eventualidades
Seguimiento de incidencias
Atención a la Web del proyecto
Línea 900
9
Oficina Técnica
Las siguientes herramientas son las utilizadas en el proyecto:
• Se utilizará la herramienta AGGIL para la gestión del proyecto, registro de incidencias y apoyo en la implantación en cada una de las empresas participantes. La herramienta estará disponible vía Web para la Oficina Técnica del proyecto, consultora y PYMES participantes.
Herramienta AGGIL
• Se utilizara como herramienta para determinar el nivel de satisfacción y el nivel de servicio que se este brindando a las PYMES de manera periódica.
Satisfacción del cliente
10
Fases
Lanzamiento del programa
Evaluación inicial
Implantación SGSI
Validación SGSI
Certificación
Formación inicial agrupada a PYMES participantes
Criterios y estándares para formación de PYMES
Puesta en operación herramientas de gestión de proyecto y de
incidencias
11
12
Fases
Análisis de
vulnerabilidades
técnicas
Análisis de
Riesgos
Plan de
tratamiento
de Riesgos
Implantación
SGSI y
controles
Cumplimiento de
la LOPD
Auditoria
y Certificación
Software de
gestión
Apoyo del software AGGIL
Fases
Lanzamiento del programa
Evaluación inicialImplantación
SGSIValidación
SGSICertificación
La consultora evaluará el estado actual de la seguridad de la
información de las empresas.
Se constituirá el Comité de Seguridad de la Información.
Formación inicial agrupada
Realización del Análisis de Riesgos.
Establecimiento y aprobación del Plan de Seguridad de la
Información.
Aprobación del Plan de Formación del Personal.
Aprobación de la Política de Seguridad.
13
Evaluación inicial y plan de seguridad
En esta fase se realizarán las siguientes actividades:
– Establecimiento del alcance del sistema.
– Análisis diferencial del estado actual de la empresa respecto a las norma de referencia.
14
Evaluación inicial y plan de seguridad
Se formalizará el comité de seguridad de la PYME, generando un documento en el que se
desarrollen, al menos, los siguientes puntos:
Integrantes y periodicidad de reunión del comité
Funciones del comité
Funciones y perfil de los roles de la empresa que tengan algún tipo de responsabilidad con la
seguridad. Al menos se deben definir para el Responsable del SGSI y para el auditor interno.
Se establecerá un Plan Director de Seguridad para la PYME que parte de la situación inicial identificada
en el análisis diferencial y desarrolla las actividades a realizar conforme a la implantación del SGSI.
En él se detallarán todas las actividades que conllevarán a la implantación y
certificación del sistema, indicando los recursos, responsabilidades y tiempos para cada fase
del proyecto.
Se establecerá y aprobará la política de seguridad que regirá toda la normativa de seguridad
de la PYME.
Se generará un documento que defina los objetivos y requisitos de seguridad de la empresa. Deberá
contener una orientación general sobre las directrices y principios de actuación en relación con la seguridad
de la información. Debe ser aprobado formalmente por la dirección.
15
Se establecerá un plan de formación, en materia de seguridad, con las siguientes
actividades:
Formación específica para los empleados identificados de la empresa que vayan a estar implicados en
la gestión del SGSI.
Sesiones de concienciación necesarias para difundir el SGSI a todos los empleados. Incluyendo las
obligaciones y funciones del personal con respecto a la política de seguridad establecida.
Formación técnica para los responsables de la implantación y mantenimiento de controles.
Se realizará un completo análisis de riesgos que incluya:
Documento con la metodología del análisis. Debe incluir los criterios de valoración que se han utilizado
a lo largo de todo el análisis, así como los criterios para la aceptación del riesgo.
Identificación y valoración de todos los activos relevantes que participen en el alcance definido.
Identificación de amenazas, vulnerabilidades e impactos que afectan a los activos identificados.
Cálculo de los valores de riesgo de la entidad. Debe calcularse el riesgo intrínseco (sin controles
aplicados) y el riesgo efectivo (considerando los controles que tenga implantados la empresa en el
momento del análisis).
Establecimiento del nivel de riesgo asumible.
16
Evaluación inicial y plan de seguridad
Para gestionar los riesgos no asumibles obtenidos se realizará una selección de
controles de la norma ISO/IEC 27002 y se establecerá un plan de tratamiento
con el objetivo de mitigar los riesgos. Este plan debe contener los siguientes
puntos:
Actividades a realizar
Recursos necesarios
Responsabilidades
Prioridades
Se elaborará la declaración de aplicabilidad que contenga para cada control de
la norma 27002, la siguiente información:
Justificación de la aplicabilidad o no aplicabilidad del control.
Grado de implementación de los controles.
Trazabilidad de los controles con la documentación donde se desarrollen las actividades
relacionadas con el control.
17
Evaluación inicial y plan de seguridad
Productos
Los productos a generar en esta fase serán los siguientes:
1. Documento del Alcance del sistema.
2. Informe del análisis diferencial
3. Documento y actas del comité de seguridad
4. Plan Director de Seguridad
5. Política de seguridad de la información
6. Plan de formación
7. Metodología del análisis de riesgos
8. Informe del análisis de riesgos
9. Plan de tratamiento de riesgos
10. Declaración de aplicabilidad
18
Evaluación inicial y plan de seguridad
La herramienta AGGIL como software de apoyo para el análisis de riesgos.
19
Evaluación inicial y plan de seguridad
Fases
20
Lanzamiento del programa
Evaluación inicial
Implantación SGSIValidación
SGSICertificación
1. Implantación de los controles seleccionados.
2. Despliegue del SGSI.
3. Formación del personal.
4. Resolución de incidencias.
Implantación SGSI
Actividades
Durante esta fase las actividades a realizar son:
Implantación de los controles seleccionados de acuerdo con el plan para el
tratamiento de riesgos establecido.
Impartición de formación a los empleados de las PYMES, tanto de
concienciación como específica a los gestores del SGSI o a los encargados del
funcionamiento de los controles a implantar.
Establecer un cuadro de mando de métricas e indicadores que sirvan para
evaluar la eficacia de los controles implantados.
21
Implantación SGSI
Productos
Los productos a generar en esta fase serán los siguientes:
1. Procedimientos, instrucciones técnicas o manuales
generados como consecuencia de la implantación de
los controles planificados.
2. Formación específica de los empleados y
concienciación
3. Cuadro de mando de métricas e indicadores
22
Implantación SGSI
23
La herramienta AGIL como software de apoyo para la implantación de controles.
Fases
24
Lanzamiento del programa
Evaluación inicial
Implantación SGSI
Validación SGSI
Certificación
1. Seguimiento de la Implantación del SGSI:
• Validación de la estructura de Seguridad
• Validación de Políticas y Directivas de Seguridad
• Auditoría Interna
2. Gestión de incidencias
3. Revisión por Dirección del SGSI
Validación del SGSI
Actividades
Durante esta fase las actividades a realizar son:
Validación y aprobación de la estructura de seguridad creada y las normas y
procedimientos establecidos para los controles seleccionados.
Realización de la una auditoría interna, que revise la situación de la empresa
con respecto a las normas de referencia.
La auditoría debe realizarse por un auditor independiente, que no haya
participado en la creación e implantación del SGSI.
Se documentará el procedimiento en el que se describa la metodología y los
criterios a seguir en la realización de la auditoría.
Se generará un informe que debe contener los siguientes puntos:
Actividades de revisión realizadas para los puntos de la norma UNE ISO/IEC 27001.
Pruebas de cumplimiento realizadas para cada control revisado de la norma
ISO/IEC 27002.
Desviaciones encontradas.
25
Validación del SGSI
Actividades
Gestión de las acciones correctivas y de mejora.
Se generará un procedimiento que desarrolle la gestión de las no conformidades del
sistema, así como de las acciones correctivas y preventivas que se realicen.
El registro de acciones correctoras debe contener los siguientes campos:
Descripción de la no conformidad con fecha de detección
Causa de la no conformidad
Descripción de la acción correctiva
Responsable de la implantación
Evidencias o registros de la implantación
Revisión/valoración de la acción implantada
Responsable y fecha de la verificación
Revisión del SGSI por Dirección.
Se documentará el procedimiento que desarrolle la revisión del sistema por parte de
Dirección. Es necesario generar evidencias de la realización de esta revisión, por
ejemplo: informes, actas, etc.
26
Validación del SGSI
Productos
Los productos a generar en esta fase serán los siguientes:
Procedimiento e informe de la auditoría interna
realizada por un auditor independiente en la
implantación del SGSI de la empresa.
Procedimiento de gestión y registro de las no
conformidades y acciones correctivas y preventivas.
Procedimiento y registro de la realización de la
revisión por dirección.
27
Fases
28
Lanzamiento del programa
Evaluación inicial
Implantación SGSI
Validación SGSI
Certificación
1. Coordinación de Auditorías de Certificación (Externas)
2. Seguimiento Auditorias Externas
• Fase 1
• Fase 2
3. Plan de Acciones Correctivas
4. Emisión de Certificados
Certificación
La certificación consta de las siguientes fases:
Fase I: Análisis de la documentación y visita previa
Fase II: Auditoría
Durante estas fases las consultoras darán apoyo presencial a la PYME. Así mismo,
se les asesorará para que realicen el plan de acciones correctivas resultante de la
fase II.
29
Calendario
30
TAREAS
CALENDARIO
2010 2011
S O N D E F M A M J J A S O N D
FASE I. Lanzamiento
FASE II. Evaluación Inicial
FASE III. Implantación
SGSI
FASE IV. Seguimiento
Validación SGSI
FASE V. Certificación
Esfuerzo
Consultor:
• Soporte en la empresa y en remoto hasta la auditoría de certificación.
• Colaboración vía software AGGIL.
Empresa:
• Dedicación mínima de 1 persona al 15% durante la duración del proyecto.
• Compromiso de la dirección
• Conocimiento por parte de todo el equipo de la parte del SGSI que le afecta
31
Estructura económica
32
FECHA EMISIÓN FACTURA FECHA PAGO FACTURA CUANTÍA
FACTURAS 4.500,00
1º PAGO PARCIAL 1ª Quincena Enero 2011 2ª Quincena Enero 2011 2.500,00
2º PAGO PARCIAL 1ª Quincena Marzo 2011 2ª Quincena Marzo 2011 2.000,00
EL RESTO DE PAGOS SE FACTURARÁN A NOMBRE DE CONETIC, QUE COMO ENTIDAD SOLICITANTE SUFRAGARÁ EL RESTO DE PAGOS CON LA SUBVENCIÓN DEL PROYECTO,
QUE ESTE AÑO SE CONCEDE, EXCLUSIVAMENTE, AL ORGANISMO SOLICITANTE
PYMESECURITY
- Presupuesto del proyecto= 14.580 €
- Cofinanciación de la PYME: 4.500 €
33