Implantación de la
Norma ISO 27001
en un Centro de
Supercomputación
JT RedIris 2010
Córdoba, 19 de noviembre de 2010
Copyright © 2010, FCSC. All rights reserved.
Antonio Ruiz Falcó – Director Técnico
Other brands and name are property of their respective owners.
[email protected]
Contenido
 El Problema de la seguridad
 La norma ISO 27001 “Gestión de Seguridad de
Sistemas de Información”
 Experiencia en la FCSCL
Copyright © 2010, FCSC. All rights reserved.
Other brands and name are property of their respective owners.
Usuarios
• Uno de cada 5 empleados deja a
su familia y amigos usar sus
portátiles corporativos para
acceder a Internet. (21%).
• Uno de cada diez confiesa que
baja algún tipo de contenido que no
debiera mientras está en el trabajo.
• Dos tercios admiten tener
conocimientos muy limitados en
materia de seguridad.
• Un 5% dice que tienen acceso a
areas de la red corporativa que no
deberían tener.
Fuente: McAffee.
Copyright © 2010, FCSC. All rights reserved.
Other brands and name are property of their respective owners.
Gestión con criterios de Negocio
• Informe Penteo
(2006):
¡¡¡Tienes que
diseñar un Centro de Supercomputación. Tiene
potente, barato de
instalar y
– Sólo unque
21%ser
demuy
las organizaciones
gestionan
elmantener
Dpto. de ySIestar
con
finalizado a tiempo!!!
criterios de negocio
– 31 % gestionan el dpto. de SI sólo con criterios tecnológicos
– 48 % gestionan con criterios híbridos
• Conclusiones:
– La Dirección de las organizaciones tiene una percepción más
positiva de los CIOs que siguen criterios de Negocio. Les dan el
rol de líderes contribuidores de negocio en un 58%
– La Gestión de las TICs mejora el posicionamiento del dpto. de
SI y del CIO
– En un futuro los CIOS más gestores y menos tecnólogos
(Encuesta a: 85 Directores de TICs, 36 Dir. Generales y 12
Presidentes)
Copyright © 2010, FCSC. All rights reserved.
Other brands and name are property of their respective owners.
Proteger Información
¡¡¡Tienes
¡¡¡Pero que
lo más
diseñar
difícil
Centro
que vamos
de Supercomputación.
a cobrar
por nuestros
Tiene
Proteger Información
vsunesProteger
Sistemas
Seguir





que ser muy
servicios,
potente,
asíbarato
que tiene
de instalar
que funcionar!!!
y mantener y estar
Controlando :
finalizado a tiempo!!!
las vulnerabilidades
la seguridad perimetral
los accesos indebidos
intrusismo
etc,
Y además….
Garantizar por parte del personal que el
manejo de la información de la compañía
se realiza de una forma segura,
independientemente del formato o
soporte en el que se encuentre
Copyright © 2010, FCSC. All rights reserved.
Other brands and name are property of their respective owners.
Atributos de la Seguridad
Asegurar que la
¡¡¡Tienes
¡¡¡Pero que
lo más
diseñar
difícilun
esCentro
que vamos
de Supercomputación.
a cobrarinformación
por nuestros
Tiene
es
que ser muy
servicios,
potente,
asíbarato
que tiene
de instalar
que funcionar!!!
y mantener
estar
accesible y
sólo
a
usuarios
finalizado a tiempo!!!
Confidencialidad
Disponibilidad
autorizados
Integridad
Copyright © 2010, FCSC. All rights reserved.
Other brands and name are property of their respective owners.
Atributos de la Seguridad
¡¡¡Tienes
¡¡¡Pero que
lo más
diseñar
difícilun
esCentro
que vamos
de Supercomputación.
a cobrar por nuestros
Tiene
que ser muy
servicios,
potente,
asíbarato
que tiene
de instalar
que funcionar!!!
y mantener y estar
finalizado
a tiempo!!!
Asegurar
que la
información es
accesible sólo a los
usuarios autorizados
Asegurar que los
usuarios
autorizados tienen
acceso cuando lo
requieran a la
información y los
activos asociados
Garantizar la
exactitud y
completitud de la
información y los
métodos de
proceso
Copyright © 2010, FCSC. All rights reserved.
Other brands and name are property of their respective owners.
Contenido
¡¡¡Tienes que diseñar un Centro de Supercomputación. Tiene
que ser muy potente, barato de instalar y mantener y estar
finalizado a tiempo!!!
 El Problema de la seguridad
 La norma ISO 27001 “Gestión de Seguridad de
Sistemas de Información”
 Experiencia en la FCSCL
Copyright © 2010, FCSC. All rights reserved.
Other brands and name are property of their respective owners.
La Norma ISO 27001
•
¡¡¡Tienes
¡¡¡Pero
que
lo de
más
diseñar
difícilun
es
Centro
que vamos
de Supercomputación.
a cobrar por nuestros
Tiene
Parte del sistema
general
gestión
que
que ser muy
servicios,
potente,
asíbarato
que tiene
de instalar
que funcionar!!!
y mantener y estar
comprende la política, la estructura
finalizado a tiempo!!!
organizativa, los procedimientos, los
procesos, y los recursos necesarios para
implantar la gestión de la seguridad de
la información.
•
La herramienta de que dispone la
Dirección para implantar las políticas y
objetivos de Seguridad de la Información.
•
Permite, establecer y reordenar la
Seguridad de los Sistemas de Información
en concordancia con los Planes
Estratégicos de la Organización y con sus
Políticas de Seguridad.
Copyright © 2010, FCSC. All rights reserved.
Other brands and name are property of their respective owners.
Riesgo Gestionado
•
•
•
¡¡¡Tienes
¡¡¡Perono
que
lo existe
más
diseñar
difícilun
esCentro
que vamos
de Supercomputación.
a cobrar por nuestros
Tiene
La seguridad absoluta
que ser muy
servicios,
potente,
asíbarato
que tiene
de instalar
que funcionar!!!
y mantener y estar
Siempre
hay
que
convivir finalizado
con
a tiempo!!!
situaciones de riesgo
El riesgo conocido puede ser analizado
y gestionado.
Copyright © 2010, FCSC. All rights reserved.
Other brands and name are property of their respective owners.
Lo que debe ser…
¡¡¡Tienes
¡¡¡Pero que
lo más
diseñar
difícilun
esCentro
que vamos
de Supercomputación.
a cobrar por nuestros
Tiene
que ser muy
servicios,
potente,
asíbarato
que tiene
de instalar
que funcionar!!!
y mantener y estar
finalizado
tiempo!!!
Seguridad
de laaInformación
Políticas
Organización
Medidas
Técnicas
Copyright © 2010, FCSC. All rights reserved.
Other brands and name are property of their respective owners.
Es…
¡¡¡Tienes
¡¡¡Pero que
lo más
diseñar
difícilun
esCentro
que vamos
de Supercomputación.
a cobrar por nuestros
Tiene
que ser muy
servicios,
potente,
asíbarato
que tiene
de instalar
que funcionar!!!
y mantener y estar
finalizado a tiempo!!!
Medidas
Técnicas
Políticas
Organización
Copyright © 2010, FCSC. All rights reserved.
Other brands and name are property of their respective owners.
El error de toda organización
!!!Dejar en manos del equipo de TI la
toma de decisiones políticas y
organizativas!!!
Copyright © 2010, FCSC. All rights reserved.
Other brands and name are property of their respective owners.
La ISO 27001 es…
¡¡¡Tienes
¡¡¡Pero que
lo más
diseñar
difícilun
esCentro
que vamos
de Supercomputación.
a cobrar por nuestros
Tiene
que ser muy
servicios,
potente,
asíbarato
que tiene
de instalar
que funcionar!!!
y mantener y estar
malo”
para
finalizado a tiempo!!!
El “poli
“hacer cosas” que
no podríamos
justificar de otra
forma
Copyright © 2010, FCSC. All rights reserved.
Other brands and name are property of their respective owners.
Metodología ISO 27001
¡¡¡Tienes
¡¡¡Pero que
lo más
diseñar
difícilun
esCentro
que vamos
de Supercomputación.
a cobrar por nuestros
Tiene
que ser muy
servicios,
potente,
asíbarato
que tiene
de instalar
que funcionar!!!
y mantener y estar
finalizado a tiempo!!!
Mantener y
mejorar el SGSI
Monitorizar y
revisar el SGSI
Act
Plan
Check
Do
Establecer el SGSI
Implantar y operar
el SGSI
Copyright © 2010, FCSC. All rights reserved.
Other brands and name are property of their respective owners.
Establecer el SGSI
¡¡¡Tienes que diseñar un Centro de Supercomputación. Tiene
que ser muy potente, barato de instalar y mantener y estar
 Definir la política del SGSI finalizado a tiempo!!!
 Definir el alcance del SGSI
 Definir los objetivos
 Identificar los riesgos
 Gestionar los riesgos
 Seleccionar los controles de
Seguridad
Copyright © 2010, FCSC. All rights reserved.
Other brands and name are property of their respective owners.
Implantar y Operar el SGSI
• Definir e implantar el plan de
gestión de riesgos
• Implantar controles seleccionados
• Implantar el sistema de gestión
Copyright © 2010, FCSC. All rights reserved.
Other brands and name are property of their respective owners.
Monitorizar y Revisar el SGSI
•
¡¡¡Tienes que diseñar un Centro de Supercomputación. Tiene
que ser muy potente, barato de instalar y mantener y estar
finalizado
a tiempo!!!
Desarrollar procedimientos
de
monitorización
• Revisar regularmente el SGSI
• Revisar los niveles de Riesgo
• Auditar internamente el SGSI
Copyright © 2010, FCSC. All rights reserved.
Other brands and name are property of their respective owners.
Mantener y Mejorar el SGSI
• Implantar las mejoras
• Adoptar acciones correctivas y
preventivas
• Comunicar acciones y resultados
• Verificar que las mejoras cumplen
su objetivo
Copyright © 2010, FCSC. All rights reserved.
Other brands and name are property of their respective owners.
Estructura SGSI
¡¡¡Tienes que diseñar un Centro de Supercomputación. Tiene
que ser muy potente, barato de instalar y mantener y estar
finalizado a tiempo!!!
Manual
Procedimientos
Instrucciones de
Trabajo
Registros
Copyright © 2010, FCSC. All rights reserved.
Other brands and name are property of their respective owners.
Contenido
¡¡¡Tienes que diseñar un Centro de Supercomputación. Tiene
que ser muy potente, barato de instalar y mantener y estar
finalizado a tiempo!!!
 El Problema de la seguridad
 La norma ISO 27001 “Gestión de Seguridad de
Sistemas de Información”
 Experiencia en la FCSCL
Copyright © 2010, FCSC. All rights reserved.
Other brands and name are property of their respective owners.
Alcance
“Prestación
de que
Servicios
¡¡¡Tienes
¡¡¡Pero
lo más
diseñar
difícilun
esde
Centro
que Supercomputación
vamos
de Supercomputación.
a cobrar por nuestros
Tieney
que ser muy
servicios,
potente,
asíbarato
que tiene
de instalar
que funcionar!!!
y mantener y estar
Cloud Computing.
Desarrollo
de
Proyectos
de I+D+i
finalizado a tiempo!!!
en áreas de Supercomputación, Cloud Computing y
Eficiencia Energética.”
Copyright © 2010, FCSC. All rights reserved.
Other brands and name are property of their respective owners.
Establecer el SGSI
¡¡¡Tienes que diseñar un Centro de Supercomputación. Tiene
que ser muy potente, barato de instalar y mantener y estar
 Definir el alcance del SGSI finalizado a tiempo!!!
 Definir la política del SGSI
 Definir los objetivos
 Identificar los riesgos
 Gestionar los riesgos
 Seleccionar los controles de
Seguridad
Copyright © 2010, FCSC. All rights reserved.
Other brands and name are property of their respective owners.
Implantar el SGSI
SERVICIOS
Gestión del Riesgo I
DATOS
SOFTWARE
Inventario de Activos
• Abstracción
• Agrupación
HARDWARE
COMUNICACIONES
• Responsabilidades
INSTALACIONES
PERSONAL
Copyright © 2010, FCSC. All rights reserved.
Other brands and name are property of their respective owners.
Implantar el SGSI
Gestión del Riesgo II
133 Controles!!
RIESGOS
Copyright © 2010, FCSC. All rights reserved.
Other brands and name are property of their respective owners.
Implantar el SGSI
Gestión del Riesgo III
•
Amenazas
•
Cálculo del Riesgo
•
Estado aplicabilidad controles
RIESGOS
•
Indicadores  CMI
•
Gestor documental
Copyright © 2010, FCSC. All rights reserved.
Other brands and name are property of their respective owners.
Implantar el SGSI
RIESGOS
Copyright © 2010, FCSC. All rights reserved.
Other brands and name are property of their respective owners.
www.fcsc.es
Fundación Centro Supercompurtación de Castilla y León
Edificio CRAI-TIC
Campus de Vegazana s/n
24071 León (España)
Tlf.: (+34) 987 29 3160
Copyright © 2008, Fundación Centro de Supercomputación de Castilla y León. Redondo Gil, C.
FCSCCYL Confidential – For Use under NDA only.
All plans, dates and figures are subject to change without any notice as they apply.
Other names and brands may be claimed as the property of other.
Copyright © 2010, FCSC. All rights reserved.
Other brands and name are property of their respective owners.
Descargar

Es… ¡¡¡Tienes que diseñar un Centro de