SGSI: SISTEMAS DE GESTIÓN DE

SEGURIDAD DE LA INFORMACIÓN

LA NUEVA NORMA ISO 27001:2005

Certificación y Metodología de Auditoria

Málaga, 22 de junio de 2006

Álvaro Rodríguez de Roa Gómez
SGS ICS
 LA INFORMACIÓN CRÍTICA DE SU NEGOCIO
ESTÁ FÁCILMENTE EN PELIGRO

1. Ordenadores/ Sistemas informáticos amenazados (hackers,

spyware, spam)
2. Potenciales aplicaciones informáticas instaladas que no están
autorizadas.
3. Posible uso inapropiado del email y de la Web por los empleados.
4. Proveedores de Servicios Informáticos que no han tomado las
acciones oportunas para proteger la información de su
organización.
5. Catástrofes y contingencias imprevistas (Ej. Edificio Windsor en
Madrid).
6. Pérdida – sustracción – robo de la información crítica de la
organización en cualquier tipo de soporte.
7. Etc …

2
INCIDENTES DE SEGURIDAD

3
¿ME PUEDE SUCEDER A MI?

4
 ANTECEDENTES: DE LOS COMIENZOS DE LA
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
HASTA LA ISO 27001:2005
1. A principios de 1990 – Departamento de comercio e industria del Reino Unido apoyó su desarrollo

2. 1995 – Por primera vez se adopta como norma inglesa (BSI)

3. 1998 – Se lanzan los requisitos para su certificación

4. 1999 – Se emite una segunda edición de la norma

5. 2000 – Fue aprobada como la parte 1 de ISO 17799

6. 2002 – BS 7799-2 se publicó el 5 de septiembre: en esta revisión se adoptó el “modelo de
proceso” con el fin de alinearla con ISO 9001 e ISO 14001

7. Hasta 2003, habían sido emitidos cerca de 500 certificados

8. A finales del 2004, cerca de 950 compañías se habían certificado en BS 7799-2

9. 15 de Octubre de 2005 – Se aprueba la Norma ISO 27001:2005 y en 2006 existen ya más de 2030
compañías certificadas a nivel mundial.
10. AÑO 2007 (estimado).- Se probará la ISO 27002 + la ISO 27004 (Indicadores y Cuadros de
Mando)

BS ISO
1999 2005
5
 OTRAS NORMAS Y MODELOS DE IT

? ISO/IEC 15408 Information technology – security techniques –

evaluation criteria
? ISO/IEC 12207 Software life cycle processes
? ISO/IEC 18045 Methodology for IT security evaluation
? ISO/IEC 13569 Banking and related financial services – information security
guidelines
? ISO/IEC TR 13335 Information technology guidelines for the management of
IT security
? ISO/IEC TR 15504 Software process assessment
? BS ISO/IEC 90003:2004 Software engineering. Guidelines for the
application of ISO 9001:2000 to computer software
? TickIT V5.0 Using ISO 9001:2000 for software quality management system
construction, certification and continual improvement
? BS 15000 / FDIS ISO 20000 IT service management
6
 LA CUOTA DE MERCADO DE EMPRESAS CON UN SGSI
CERTIFICADO SE HA DOBLADO EN 2005. EL CRECIMIENTO
SE CENTRA PRINCIPALMENTE EN JAPON, UK, INDIA,
TAIWAN
Country Dec 04 / Dec 05 Country Dec 04 / Dec 05 Country Dec 04 / Dec 05
Japan 465 / 1187 Singapore 11 / 11 UAE 2/3
UK 176 / 219 Norw ay 9 / 11 Colombia 1/2
India 77 / 139 Austria 5 / 11 Egypt 1/1
Taiw an 40 / 66 Sw itzerland 5/8 Isle of Man 1/2
Germany 36 / 49 Iceland 4/4 Lebanon 1/1
Korea 30 / 35 Poland 4/5 Luxemburg 1/1
Italy 23 / 40 Sweden 4/7 Macau 1/1
Netherlands 18 / 22 Brazil 3/5 Macedonia 1/1
Hong Kong 15 / 19 Greece 3/4 Malaysia 1/ 2
USA 14 / 31 Mexico 3/3 Morocco 1/1
Australia 11 / 18 Saudi Arabia 3/4 Qatar 1/1
China 11/ 20 Argentina 2/3 Slovenia 1/1
Finland 11 / 15 Belgium 2/2 South Africa 1/ 2
Hungary 11 / 23 Denmark 2/2 TOTAL 949 / 2030
Ireland 11 / 11 Spain 2/5

7
 ALGUNOS DE NUESTROS CLIENTES

? HUTCHINSON GLOBAL CENTRE LIMITED

? ORIENT OVERSEAS CONTAINER LINE LIMITEDLABORATORIOS
? LABORATORIOS GENERIX, S.A. DE C.V.

? SEVERITAS
? NETLOCK
? T-ONLINE
? ASTRA INTERNACIONAL PT
? TALEX, S.A.
? SERONO INTERNACIONAL, S.A.
? ASIANTRA INTERNATIONAL LTD
? CHIUNGWA TELECOM CO LTD, DATA COMMUNICATION BRANCH
? HSINCHU INTERNATIONAL BANK
? TAIWAN WATER CORPORATION SECURITY OPERATION CENTER
? SIEMENS BUSINESS SERVICES TK
? ATOS ORIGIN UK
? CIMS LTD
? GREEN PARK HELTHCAR

MÁS DE 100 EMPRESAS CERTIFICADAS …

8
 ¿CUÁL ES LA SITUACIÓN ACTUAL EN CUANTO A LA
ACREDITACIÓN EN ESPAÑA?

? NO existe actualmente ninguna entidad de certificación acreditada en España vía ENAC.

? Certificadoras internacionales trabajando bajo acreditación vía UKAS (United Kingdom) o

RVA (Netherlands).

? Existe un Grupo de Trabajo en ENAC para la Certificación de SGSI´S que está

actualmente trabajando en el análisis de la norma ISO / IEC FCD 27006 y en los
requisitos de acreditación en España con ENAC.

? El documento vigente actualmente para cualquier entidad que solicite la acreditación

es el EA-7/03 “Guidelines for the accreditation of bodies operating certificacion /
registration of Information Security Management Systems” está en la página Web de
ENAC www.enac.es).

? La norma ISO / IEC FCD 27006 está actualmente en fase de votación, teniendo que
emitir antes del 18 de septiembre de 2006 AENOR a través del subcomité 27 de técnicas
de seguridad el voto español.

? Se está valorando la posibilidad de emitir a nivel tanto nacional como internacional una
acreditación “abierta”, sin incluir alcances.

9
HACIA LA CERTIFICACIÓN: SGS LE AYUDA
A ASEGURAR QUE LA INFORMACIÓN QUE
SU ORGANIZACIÓN GESTIONA ESTÁ
SEGURA Y SEGUIRÁ ESTÁNDOLO
 POR QUÉ PONER EN FUNCIONAMIENTO UN
SGSI Y CERTIFICARLO?
1. Proporciona el mejor reconocimiento oficialmente reconocido para la Gestión de la Seguridad
de la Información en su Organización
2. Para proteger las ventajas de la información, p.ej. es vital para los negocios relacionados con
la investigación y en otros sectores como el financiero, sanitario, administración pública
3. En el aspecto organizacional incrementa el Compromiso interno dado que el sistema permite
garantizar la eficacia de los esfuerzos desarrollados en materia de Gestión de Seguridad de la
Información en todos los niveles de la Organanización
4. Para salvaguardar ventajas competitivas sobre técnicas avanzadas en gestión, mejora de
procesos, nuevos desarrollos de software, etc
5. Incrementar la confianza y la reputación corporativa de la Organización hacia los Clientes,
Empleados, Accionistas, y Proveedores
6. Para obtener posibles reducciones en las primas de su seguro, vinculadas a una posible
disminución de los incidentes en materia de Seguridad de la Información
7. Para evitar pérdidas, robos, descuidos, etc., con los activos de información en las
organizaciones
8. Para garantizar la Conformidad y el cumplimiento a las autoridades competentes de los
aspectos referentes a la reglamentación y leyes aplicables, pudiendo evidenciarlo mediante
registros
9. Proporciona una mejora en la Gestión del Riesgo Financiero de la Organización evitando
posibles sanciones, pérdida de valor en bolsa, reducción facturación, credit rating

11
 ¿ POR QUÉ SGS ?

1. SGS dispone de un sólido equipo

Nº1
auditor (tanto a nivel Nacional como
Internacional) formado y calificado para
poder certificar con la Norma ISO
27001:2005 (tanto de manera En Certificación
individual, como de manera conjunta 80’000 Clientes
con otros Sistemas: 9001, 14001…) 85’000 Certificados
2. En España SGS dispone ya de 2 en 143 países
Auditores y más de 20 auditores a
nivel europeo.

3. SGS dispone de más de 100

Organizaciones con su SGSI´s
Certificado a nivel internacional

12
 EL PERFIL DE NUESTROS AUDITORES

1 SU
PROFESIONALIDAD. 2 SU EXPERIENCIA
Y FORMACIÓN.
• Sólida experiencia en una amplia
• Personal en plantilla – 4 Auditores para variedad de sectores, garantizando la
homogeneidad.
2006 y varios expertos en el sector.
• Formación específica a medida de cada
• Especializados en auditar SISTEMAS tipo de negocio (Licenciados en
DE GESTIÓN Derecho, Informáticos …).

3 SU
COMPROMISO.
• Proporcionan información objetiva,
4 SU PERFIL

• Personal seleccionado en función del

independiente y precisa. tipo de empresa
• Integridad, Compromiso y
Confidencialidad con cada proyecto
emprendido.

13
 ISO/IEC 27001:2005 REQUISITOS PARA LA
GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

Publicada en dos partes:

1. ISO/IEC 17799:2005 (FDIS ISO 27002)
? Código de Práctica para los Sistemas de Gestión de Seguridad
de la Información
2. ISO/IEC 27001:2005/BS 7799-2:2005
? Especificación para los Sistemas de Gestión de Seguridad de
la información
? Norma contra la que su SGSI puede ser auditado y certificado

ISO 27001 es aplicable tanto en PYMES como en

grandes organizaciones.
14
 LA SEGURIDAD DE LA INFORMACIÓN REQUIERE
INVERTIR TANTO EN CAPITAL HUMANO, COMO
EN TECNOLOGÍA
ISO / IEC 27001:2005 cubre:

1. Política de Seguridad.

2. Aspectos organizativos para la seguridad.

3. Clasificación de Activos.

4. Control.

5. Seguridad Ligada al personal.

6. Seguridad f ísica y del entorno

7. Gestión de Comunicaciones y Operaciones

8. Control de accesos

9. Desarrollo y mantenimiento de sistemas

10. Gestión de Continuidad del negocio

11. Conformidad con la legislación y reglamentación existente

De estos once dominios se derivan 39 objetivos de control (resultados que se esperan

alcanzar mediante la implementación de controles) y 133 controles (prácticas,
procedimientos o mecanismos que reducen el nivel de riesgo).
15
 ISO 27001:2005:
UNA NORMA DE CERTIFICACIÓN DE SISTEMAS
? CICLO DE 3 AÑOS

Acción Objetivo

Pre-auditoria (opcional) Analizar y revisar in situ las líneas generales

del SGSI para la Auditoria de Certificación
Estudio Documental Medir el cumplimiento de su SGSI contra la
norma y aportar el feedback a la
(Fase 1)
organización.
Auditoria Inicial Revisar y confirmar la implantación de su
SGSI contra la Norma ISO 27001:2005
(Fase 2)
Visitas de Seguimiento Asegurar el cumplimiento continuado del
cada 6 meses SGSI y ayudar a prevenir cualquier tipo de
desviación significativa en su organización.
Auditoria de Renovación Combinada con la 6ª Auditoria de
Seguimiento de su Sistema.
16
 GRAFICO DEL PROCESO DE AUDITORIA

Pre-auditoria
Pre-auditoria(Opcional)
(Opcional)

Fase
Fase11(Revisión
(Revisióndocumental)
documental)

Fase
Fase22(Auditoria
(Auditoriain
insitu)
situ) Acción correctiva
Renovación
Recomendación mayor
Emisión
Emisióndel
delcertificado
certificado Cierre
Cierre

Seguimiento
SeguimientoV2
V2
Posibilidad
Posibilidad
de
de Seguimiento
SeguimientoV6
V6 Seguimiento
SeguimientoV3
V3
realización
realización
de la
de la
Combina o une la
auditoria de
auditoria de
seguim.
seguim.
anualmente
auditoria
anualmente

Seguimiento
SeguimientoV5
V5 Seguimiento
SeguimientoV4
V4
17
 Fase
Fase11(Revisión
(Revisióndocumental)
documental)

? Aceptación del Contrato por el Cliente.

? Contacto telefónico del Planificador.
? Consenso de la fecha de auditoria estimada.
? Designación del equipo auditor propuesto por escrito
? Solicitud de la Documentación Básica del SGSI al Cliente.
? Análisis de la Documentación por parte del Auditor Jefe.
? Preparación del Informe de la Documentación (destacando
posibles incumplimientos de la norma a verificar durante la
Fase II).
? Envío del Informe, así como del Plan de Auditoria al Cliente.
? Período máximo entre FASE I y FASE II.- 6 meses.

18
 Fase
Fase22(Auditoria
(Auditoriain
insitu)
situ)

? Reunión de apertura (objeto, alcance, explicación del proceso,

personal, instalaciones y recursos).

? Revisión exclusiones S.O.A. y hallazgos de la Revisión

Documental de la FASE I.

? Desarrollo de la auditoria según el Plan Previsto

19
 ALGUNOS ASPECTOS CLAVE EN LAS
PRIMERAS FASES DE LA AUDITORIA

? Revisión del alcance del SGSI

? Revisión de la Identificación del riesgo
? Evaluación del riesgo
? Revisión del Plan de tratamiento del riesgo
? Análisis de las exclusiones establecidas en la declaración de
aplicabilidad (S.O.A.)

CHECK
CHECKLIST
LIST

20
CHECK
CHECKLIST
LIST

21
CHECK
CHECKLIST
LIST

22
CHECK
CHECKLIST
LIST

23
CHECK
CHECKLIST
LIST

24
 Certificate OOO1

The management system of

COMPANY NAME
Address
Address
City

has been assessed and certified as meeting the

requirements of
ISO 27001:2005
For the following activities
EJEMPLO DE (scope of registration)

CERTIFICADO This certificate is valid from 15 October 2005 until

15 October 2008
Issue 01. Certified with SGS since 15 October 2005
Authorized by

SGS United Kingdom Ltd? Systems & Services Certification

Rossmore Business Park? Ellesmere Port?Cheshire? CH65 3EN ?UK
t +44 (0)151 350-6666? f +44 (0)151 350-6600?www.sgs.com
Page 25 of 1

25
QUIERE SABER MÁS?
CONTACTE CON SGS ICS

SGS ICS: “Nos adecuamos a las

Expectativas de Nuestros
Clientes”

26