ISO 27001 EN UNA UNIVERSIDAD PBLICA COLOMBIANA. Diana Rocio Plata Arango Diana.plata@uptc.edu.co Por qu es Importante?? La Gestin de Servicios de Tecnologa de Informacin se ha convertido en un requisito, para las Organizaciones y en las Universidades no hay excepcin, cada vez es ms comn que se requiera calidad en la prestacin de los servicios, el reto para los Departamentos de Tecnologa es cada da mayor, dados los diferentes estndares, para la adopcin de buenas prcticas que existen en el mercado, no se conoce an una metodologa que se pueda seguir para lograr con xito la implementacin de estndares. Sin embargo persiste la exigencia de qu pasos se deberan seguir para garantizar que los servicios de tecnologa en la Universidades estn garantizando el servicio, la seguridad y demostrando la mejora continua? Caractersticas UPTC Universidad Pedaggica Y Tecnolgica de Colombia UPTC - cifras Estudiantes : 27000 Docentes: 1600 Funcionarios: 1100 Sedes en Tunja, Duitama, Sogamoso, Chiquinquir. Bogot, Paipa 25 CREADS en el pas. SEDE INTERNET DATOS COMPUTADORES CENTROS DE CABLEADO Tunja 120 Mbps 40 Mbps 1900 23 Duitama 50 Mbps 6 Mbps 250 6 Sogamoso 50 Mbps 6 Mbps 250 7 Chiquinquira 25 Mbps 4 Mbps 100 3 Grupo Organizacin y Sistemas. Tiene definidas 4 reas de trabajo: Desarrollo y administracin de los sistemas de Informacin, Redes y Telecomunicaciones Soporte a Usuarios en Hardware y Software. Administracin de aulas de Informtica para prstamo a Docentes y estudiantes. ESTRATEGIAS Contar con el apoyo de la Alta Direccin. 2010: inclusin del proyecto Adopcin de Buenas Prcticas en el rea de TI bajo los estndares ISO 20000 e ISO 27000. Meta certificados a 2014. Buscar Asesora con expertos. Empresas Consultoras. CAPACITACIN - MOTIVACIN. Trabajo por procesos. Universidad Certificada con las normas ISO 9001 y NTCGP:1000 Proceso Gestin de Recursos Informticos El objetivo del proceso es: Gestionar La Infraestructura Informtica Y De Telecomunicaciones, Que Permita La Prestacin De Servicios Para La Satisfaccin De Necesidades De Los Clientes Contiene 4 procedimientos. 1. Procedimiento para la Incorporacin de los Sistemas de Informacin. 2. Soporte y Administracin de Recursos Informticos. 3. Seguridad de la Informacin 4. Administracin de Aulas de Informtica. Proceso Gestin de Recursos Informticos. ESTRATEGIAS Proponer un modelo ESTRATEGIAS IMPLEMENTACIN DE PROCESOS COMUNES
1. Proceso Control de Documentos, se tiene ya plenamente establecido, en
el cual se protegen y controlan los documentos, adems se observa que se tienen previsto las actividades para elaboracin, actualizacin y control de versiones de los documentos que hacen parte de los sistemas de Gestin. 2. Proceso Control de Registros, el proceso existente garantiza que se establecen y se mantienen los registros para establecer la evidencia y la conformidad con la operacin y los requisitos de los dos estndares. 3. Proceso Auditoras Internas. Las dos normas lo requieren y este proceso debe contar con los criterios, el alcance, la frecuencia y los mtodos de auditoria adems los criterios de seleccin de los auditores. 4. Proceso de Revisin por la Direccin. Se establece la frecuencia, y las entradas para el proceso de la revisin tal como est requerido por los dos estndares. PROCESOS COMUNES ENTRE LAS NORMAS
Proceso Gestin de Incidencias requerido por las
dos normas. Proceso Gestin de activos en ISO 27001 se relaciona con Gestin de la Configuracin en ISO 20000. Proceso Seguridad de la Informacin, requerido por ISO 20000 se cumple con las polticas adoptadas a partir de ISO 27001. ESTRATEGIAS La norma ISO 20000, se presenta como una alternativa, para mejorar el procesos desde ISO 9001 y que permitan garantizar la prestacin satisfactoria de los servicios de TI y la gestin que se realice sobre estos, para lograr la satisfaccin de los Usuarios. ESTRATEGIAS ISO 20000 ITSM:ITService Management es la disciplina que se enfoca a la gestin del conjunto personas, procesos ytecnologa que cooperan para asegurar la calidad de los servicios TI, con arreglo a unos niveles deservicio acordados previamente con el cliente. Concepto ITSM Procesos de ISO 20000 ESTRATEGIAS ISO 20000 Apoyarse en una Herramienta de Software. Actualmente las empresas dedicadas a ofrecer servicios de TI, son las mas interesadas en certificar sus servicios bajo este estndar. De tal forma que se han desarrollado diferentes herramientas de Software que ayudan a cumplir los procesos de ITIL que son la base de ISO 20000. Se busca implementar de manera ms rpida algunos de los procesos requeridos por la norma: Entra las disponibles se encuentran: SAP Solution Manager. BMSC Software ITSM V 8.1 PROACTIVA NET v8 EASY VISTA 2012 HELPEOPLE ARANDA SOFTWARE ESTRATEGIAS ISO 20000 La Universidad UPTC seleccion PROACTIVA NET, cumple 10 procesos, es muy fcil de manejar, se encuentra en espaol y ofrece una interfaz muy amigable al usuario final, con la seleccin de esta herramienta se contaba con el avance en los siguientes procesos: Gestin de la Configuracin y gestin de activos, ofrece diferentes opciones para el levantamiento de informacin de los diferentes elementos de Configuracin que hacen parte de la Infraestructura dela Universidad, es decir equipos de cmputo, porttiles, servidores, impresoras, switch, Telfonos IP, Software. A partir de esto se puede crear la CMDB, junto con el catlogo de servicios que ofrece el rea de TI.. Gestin de Incidentes, Gestin de problemas. Ofrece toda la infraestructura para el reporte de incidentes y la debida atencin por parte de los tcnicos de primer y segundo nivel, adems el escalamiento en caso de que se conviertan en problema se puede realizar automticamente y all dejar definidos los diferentes reportes de cada caso. ESTRATEGIAS ISO 20000 Gestin de cambios y Gestin de entregas. Se realizan las solicitudes y se generan los planes requeridos para nuevas implementaciones y la debida implementacin de las mismas. Gestin del nivel del servicio y presentacin de Informes. La herramienta genera todos los reportes al nivel de detalle que se desee, adems all mismo se crean los acuerdos de niveles de servicio, y se puede realizar el seguimiento del cumplimiento que se le da a los mismos. ESTRATEGIAS ISO 20000 Apoyo con la empresa Consultora. Aprovechar el conocimiento de la empresa consultora para crear las polticas del Sistema de Gestin de Servicios de TI SGSTI, y un primer borrador de la documentacin requerida como planes de la gestin del servicio, esto es crear el plan de gestin del Servicio que se entiende como un Plan Estratgico de tecnologa Informtica que debe ir alineado con los objetivos de la universidad y el plan de desarrollo para garantizar asignacin de fondos y presupuestos, funciones y responsabilidades y riesgos entre otros. ESTRATEGIAS ISO 20000 Apoyo con la empresa Consultora Se debe identificar la relacin con los otros procesos como Talento Humano, Jurdica y manejo de proveedores, para implementar los roles requeridos por la norma, la aplicacin de acuerdos de nivel de servicio en el manejo de contratos, entre otras caractersticas. Mejorar el proceso actual existente para la gestin financiera, de tal forma que incorpore el presupuesto y contabilidad de los servicios de Tecnologa de la Informacin. El procedimiento de Seguridad de la Informacin, se vincula con lo desarrollado en ISO 27001. Mejorar el proceso existente para el manejo de los proveedores con el fin de que tenga en cuenta los requisitos de la norma, basada en el entendimiento del cliente y su negocio, para los proveedores internos y los proveedores externos. Las vulnerabilidades cada vez son mas frecuentes. La utilizacin de modelos, normas y/o estndares, se ha convertido en la herramienta ms eficiente para evitar incidentes de seguridad, en especial aquellos que contemplan no solo el tema tecnolgico, sino, que abarcan toda la Organizacin. Un ejemplo se puede observar en la circular 052 de 2007, de la Superintendencia Financiera de Colombia, en la cual se imparten instrucciones relacionadas con los requerimientos mnimos de seguridad y calidad en el manejo de informacin, a travs de medios y canales de distribucin de productos y servicios para clientes y usuarios [7]. ISO 27001. ISO 27001 Actualmente son muy comunes los ataques informticos, y los usuarios que se ven afectados por desconocer de qu manera pueden protegerse, incluso el Estado colombiano ha comenzado programas como Gobierno en lnea donde unos de los componentes importantes busca que las organizaciones estatales generen estrategias relacionadas con la seguridad de la Informacin. Otra iniciativa es la Ley de proteccin de Datos personales que se aplica al tratamiento de datos personales efectuado por entidades pblicas o privadas, dentro del pas o cuando el Responsable o Encargado no establecido en territorio nacional le sea aplicable la legislacin colombiana en virtud de normas y tratados internacionales. ISO 27001 Casos para recordar el ataque hacia la plataforma tecnolgica de la Registradura del Estado Civil de Colombia, durante la realizacin de las pasadas elecciones presidenciales del mes de junio de 2011, y no muy lejano el de las pasadas elecciones en Venezuela en el mes de abril de 2013, donde ingresaron a la cuenta del entonces candidato Nicols Maduro. Casos de suplantacin de Identidad (Phishing) ISO 27001 Componentes de un modelo de ISO 27001 APOYO CON LA EMPRESA CONSULTORA DOCUMENTAR REQUERIMIENTOS DE LA NORMA. Gestin de activos La gestin de activos busca, entre otros, identificar todos aquellos activos que componen un proceso o la cadena de valor de la Organizacin, indicando la propiedad de los mismos. As mismo se deben establecer las directrices de clasificacin de los activos identificados, adems de los procedimientos para etiquetar y manejar la informacin. Todo esto se puede resumir en el inventario y clasificacin de activos de informacin. Estrategias ISO 27001 Gestin de riesgos
Comprende el conjunto de actividades para controlar y
dirigir la identificacin y administracin de los riesgos de la seguridad de la informacin para poder alcanzar los objetivos del negocio. En este punto se trabaja con los activos inventariados y clasificados anteriormente y para lograr el objetivo es necesario identificar las amenazas contra tales activos y las vulnerabilidades que se pueden aprovechar. La gestin de riesgos debe garantizar que el impacto de las amenazas que explotan las vulnerabilidades estn dentro de los lmites y costos aceptables Estrategias ISO 27001 Gestin de la continuidad Consiste en desarrollar y administrar una capacidad para responder ante incidentes destructivos y perjudiciales, relacionados con la seguridad de la informacin y la forma de recuperarse de los mismos. En otras palabras, permitirle a la Organizacin continuar con sus operaciones en caso de una interrupcin y restaurar los servicios tan rpida y eficazmente como sea posible.
En este punto es importante la realizacin de tres etapas:
Anlisis de impacto al negocio, BIA Anlisis de riesgos por prdida de disponibilidad Definicin de la estrategia(s) de recuperacin Estrategias ISO 27001 Gestin de la cultura en seguridad de la informacin Premisa: no existen parches para lidiar con el desconocimiento de las personas. Para llevar a buen trmino la implantacin de un SGSI es importante tener en cuenta las personas. Todo el personal de la Organizacin debe estar involucrado y debe hacer parte activa del proceso y parte de la exigencia de la norma de contar con el apoyo manifiesto de la Alta Gerencia. Estrategias ISO 27001 Gestin del cumplimiento
Hace referencia al cumplimiento de todos aquellos
requisitos legales, polticas y normas de seguridad de la informacin y algunas consideraciones de auditora exigidas por la norma. Se deben tener en cuenta leyes (Habeas data y Delitos Informticos, por ejemplo), normatividad del sector (circulas 052 y 038 de la SFC), normatividad interna (resoluciones), polticas (de seguridad de la informacin) y en general todos aquellos requisitos legales y de cumplimiento que la Organizacin debe cumplir. Estrategias ISO 27001 Gestin de incidentes
El ltimo y no menos importante proceso, hace
referencia a la gestin de incidentes. Es muy importante resaltar la definicin de incidente dentro de la norma ISO 27001: evento o serie de eventos de seguridad de la informacin no deseados o inesperados, que tienen una probabilidad significativa de comprometer las operaciones del negocio y amenazar la seguridad de la informacin Estrategias ISO 27001 ESTRATEGIAS CAPACITACION. Con la inmersin de formacin, las empresas pueden reducir la sensibilidad media de empleados a los ataques dirigidos a menos del 10%. No slo los empleados capacitados son mejores a la hora de evitar las trampas del phishing, adems pueden ser los ojos y los odos que sirvan para alertar a los miembros relevantes del equipo de seguridad de la organizacin de intentos de allanamiento. Tomado de: http://iso27000.es/ PARA FINALIZAR BENEFICIOS RESUMEN BENEFICIOS ISO 20000 La estrategia de Tecnologa alineada con el Plan de Desarrollo de la Universidad. Costos reducidos y controlados, esto se logra a travs de la aplicacin de los procedimientos de Gestin financiera para el rea de TI. Tiempo ms rpido en la implementacin de los cambios, debido a que se encuentran controlados y descritos en los procedimientos, no solo las actividades a realizar en un cambio sino el responsable de llevarlo a cabo. Fiabilidad y Disponibilidad del servicio , lo que resulta en la satisfaccin del cliente, esto llevado a cabo a travs de los acuerdos de nivel de servicio y la correcta gestin de incidencias o de problemas segn sea el caso. BENEFICIOS ISO 20000 Integracin con los proveedores y socios, pues estarn ms enfocados en los servicios requeridos por la Organizacin y el correcto cumplimiento de lo contratado. Reduccin y Control de los riesgos, aunque en este punto se lograrn mejores resultados combinando con ISO 27000. Calidad de los servicios de Tecnologa de la Informacin y Fiabilidad de los Sistemas de Tecnologa. Motivacin y compromiso en el personal Beneficios ISO 27001 Establecimiento de una metodologa de gestin de la seguridad clara y estructurada. Reduccin del riesgo de prdida, robo o corrupcin de informacin. Los clientes tienen acceso a la informacin a travs medidas de seguridad. Los riesgos y sus controles son continuamente revisados. Confianza de clientes y socios estratgicos por la garanta de calidad y confidencialidad comercial. Las auditoras externas ayudan cclicamente a identificar las debilidades del sistema y las reas a mejorar. Tomado de: http://iso27000.es/ Beneficios ISO 27001 Continuidad de las operaciones necesarias de negocio tras incidentes de gravedad. Conformidad con la legislacin vigente sobre informacin personal, propiedad intelectual y otras. Imagen de empresa a nivel internacional y elemento diferenciador de la competencia. Confianza y reglas claras para las personas de la organizacin. Reduccin de costes y mejora de los procesos y servicio. Aumento de la motivacin y satisfaccin del personal. Aumento de la seguridad en base a la gestin de procesos en vez de en la compra sistemtica de productos y tecnologas. RESUMEN ESTRATEGIAS Cuente con el apoyo de la Alta Direccin. Contrate con empresas expertas para dar inicio al proceso. Si ya cuenta con una gestin por procesos como ISO 9001:2008 ya hay bastante abonado para los procesos comunes. Sino el trabajo por procesos sirve para las dos normas. Rena a los lderes de procesos como talento Humano, Financiera, Proveedores y Jurdica. Capacitar al personal del rea de TI en las normas. Socialice y capacite a otros lderes de proceso RESUMEN ESTRATEGIAS Genere estrategias para la divulgacin a los usuarios finales, videos, radio, impresos, mensajes al correo, en la intranet. Para ISO 27001 permita que los asesores de la empresa consultora realicen el anlisis GAP, la gestin de activos, gestin de riesgos y gestin de continuidad y vulnerabilidad Empodere al personal de Administracin de redes y servidores para generar polticas para proteger los activos de los equipos. Capacitarse en Auditoras internas de cada norma para conocer el punto de vista del auditor y preparase para las auditoras internas y de certificacin. Realice auditoras internas. GRACIAS