ISO-27001

ISO-27001 y las PyMEs

PyMEs

Consultor
a y Servicios en Seguridad
Consultora
www.ncs-spain.com

Alejandro Corletti Estrada

acorletti@ncs-spain.com

Quienes somos?
9 NCS es una empresa de consultora tecnolgica, que viene
operando en el rea de las Tecnologas de la Informacin
desde el ao 1996.
9 Desde hace ms de 10 aos, contamos con la confianza de
grandes empresas que provienen tanto de la economa
tradicional, como de la nueva economa, y son lderes en sus
respectivos segmentos.
9 El objetivo principal de NCS es el de proveer una consultora
personalizada, pragmtica y de alta calidad a nuestros
clientes, proporcionndoles las soluciones que les permita sentir
cada da como las nuevas tecnologas les ayudan a mejorar.
9 Nuestra mayor apuesta para 2008, es ISO-27001 (Primer
empresa Espaola en certificar el 100% de sus SSII)

Turismo
Turismo de Naturaleza (una de las mximas fuentes de
ingresos de Espaa)
Turismo de Historia-Arte (Aporte del hombre): Poco
conocido/valorado, Nacional e
Internacionalmente.
Por qu?:

Tenemos de todo !!

(bero, Celtbero, Fenicio, Griego, Cartagins,

Romnico, Visigodo, Bizantino, Arbigo, medieval,
moderno, postmodernismo....).

Industria
Aprovechamiento Naturaleza (agricultura, ganadera,
minera)
Aprovechamiento de la tecnologa (Aporte del hombre):
Poco conocido/valorado
Nacional e Internacionalmente.
Por qu?:

Tenemos de todo !!

(Naval, Area, Ferroviaria, Telecomunicaciones,

Petrleo, Textil, etc...)
A nivel PyME, las fbricas (Hace aos que Certifican)
A nivel TI............?

Estrategia
Todas las definiciones de

conduccin

coinciden en
que se trata bsicamente de
un proceso de decisin para
convertir ideas en accin.

Desde un punto de vista

prctico, la conduccin

estratgica se ocupa de
operacionalizar objetivos,
esto
es,
convertir
intereses
retricos
en

objetivos pragmticos.

La conduccin estratgica
se caracteriza por su racionalidad
interdependiente
(de fines y medios) que
busca Libertad de accin
mediante la dialctica de
voluntades en situacin de
incertidumbre (apuesta a
futuro).
Libro: Lgica, teora y
prctica de la Estrategia
(Frischknecht y otros)

Tendencia mundial
Abrir, expandir mercados

Seminario ICEX
07-nov-2007

IDEA: Abrir mercados tecnolgicos Plan Internacionalizacin

de la tecnologa
ACCIN: Adecuar medios a fines
FIN:
Alcanzar y demostrar competitividad en tecnologa
MEDIOS: Los tenemos de sobra en grandes y pequeas industrias
Estn adecuados los medios al mercado internacional?
Libertad de accin: Adecuar fines y medios............
Conduc. Estratg: de Retrica a Pragmatismo Operacionalizar
Slo con lo que
Dios nos dio?
Tenemos o no
tenemos IT?

Cmo?

Slo con nuestros

recursos naturales?

Si la tenemos, CMO SE
OPERACIONALIZA LA IDEA?

Cmo se operacionaliza la idea

En TI no hay ninguna duda DEMOSTRNDOLO!
Cmo se demuestra en el mercado Internacional?

En su lenguaje
Cul es su lenguaje? Los estndares que todos dominan.

ISO: 9000, 14000, 15000, 20000, 22000, 27000....

Las industrias de manufactura ya lo han demostrado

Y las de alta dependencia de IT?
Banca, Seguros, I+D, Bioqumica, Sanidad,
Desarrollos, Petroleras, Defensa, AAPP.......?

Charla AENOR (08-nov-2007)

Las cuestiones de proteccin de la informacin, entre
las que est el Know How de las Compaas, es un
tema directamente relacionado con la

mercado.

Economa de

Soporte y compromiso de la Direccin.

Gestin orientada al negocio.

CLAVES:

Educacin y formacin.
Comunicacin eficiente a todo nivel.
Tener un sistema de medicin.
Acompaar la Gestin de la Seguridad con
medidas tcnicas.

Motor y lo que este mueve (SGSI y Medidas tcnicas)

Segn Carlos M. Fernndez AENOR

Motor Conocimiento.

Otro Indicador: Desembarco certificadora

Internacional en Espaa (ABS-Quality Evaluations)

9 Encuesta E&Y de Segur. Info. - 2007

Aplicada a 1.200 Organizac. en 48 pases y 20 tipos de industrias diferentes.

Resultados:

El 75% de las organizaciones cuentan con un Oficial de Seguridad.

El 73% mantienen a la funcin de seguridad integrada al proceso
corporativo de administracin de riesgos (AR).
El 61% utiliza procedimientos formales para integrar la seguridad de
la informacin al proceso corporativo de AR.
En los ltimos 12 meses el cumplimiento regulatorio fue el principal
habilitador para el desarrollo de prcticas de seguridad a nivel global.
Entrenamiento en proteccin de la informacin y concienciacin (Dirs:
40%, Pers.Seg.Info: 56%, User: 57%, Personal TI: 55%, otros: 25%).
PCN: (Eval.Riesgos: 75%, Anlisis impacto: 63%, Priorizar e
identificar procesos crticos para el negocio: 79%, Procedim.Escalado
incidentes: 58%, Planes accin recuperacin de proc.Crticos: 71%).
Estndares que se estn aplicando de manera formal: (ISO
17799/27001: 45%, COBIT: 30%, ITIL: 46%).
Beneficios de adoptar un estndar:
9 Ser capaz de compararse con otras organizaciones: 41%.
9 Demostrar a clientes un compromiso con prcticas Segur: 67%.
9 Incrementar mejores prcticas p/Seguridad Info: 75%.

Vamos a vender tecnologa?

Artculo: En seguridad informtica hay que hacer y
saber vender (Biografa de Van Gogh).

Van Gogh
GENIO
Brillante
nico

Vendemoto
Hace

vende

y no

y no

vende

Hace

Desagradable
Falsa imagen
Poco fiable

Ambos actan MAL

EN SEGURIDAD HAY QUE:
HACER Y SABER VENDER

Exportar Comercio Exterior

Congreso ICEX: La constante fue:

Calidad
Gestin

Resumen

En reas de IT, Qu industria queremos?

Deseamos
abrir
nuevos
mercados?
(o
nos
quedaremos con lo que la naturaleza y Dios nos dio).

Si lo hacemos, Buscaremos la libertad de accin

entre fines y medios?

Conduccin Estratgica OPERACIONALIZAR LA IDEA

PODEMOS Y ESTAMOS EN PLENA CAPACIDAD DE

COMPETIR TECNOLGICAMENTE
(....Turismo, industria......)

CON LENGUAJE INTERNACIONAL

(Encuesta E&Y: Estndar ISO17799/27001: 45%, se est

aplicando en el mundo...)

Cmo Propone NCS Enfrentar una

Certificacin ISO/IEC 27001:2005
para una PyME

SECUENCIA DE ACCIONES PROPUESTA POR NCS

Anlisis y Estudio del mbito de Aplicacin (Alcance de la Certificacin
ISO/IEC 27001:2005).
Identificacin de Activos.
Anlisis de Riesgos (orientado a procesos de negocio).
Declaracin de Intenciones de la Direccin.
Plan de Accin para implementar ISO/IEC 27001:2005.
Inicio del Rodaje:
Procedimental (documentos, plantillas, guas).
Tcnico (mediciones, bastionado, segmentacin, incidencias, etc).
Seleccin de Hitos (Medibles, demostrables: RODAJE).
Estndar de Seguridad:
Especificacin de requisitos.
Anlisis de controles a aplicar.
Documentos relacionados atributos importancia.
Relacin Documental.
LOPD y LSSI (conformidades legales).
Planeamiento y Ejecucin de Formacin y Concienciacin.
Auditora Interna (plan, realizacin, resultados, mejoras).
Preparacin de Presentacin del SGSI a auditores.
Solucin de Observaciones y No Conformidades.

CMO TRABAJAMOS
NCS propone un anlisis previo de la ISO/IEC 27002:2005 como primer
paso desarrollar un SGSI segn la norma internacional ISO/IEC
27001:2005.
Dicho anlisis de la situacin actual de la seguridad en los Sistemas de
Informacin, cubre aspectos de:

Gestin: Polticas, Normativas y Procedimientos Documentados.

Jurdicos: Leyes y Contratos.
Tcnicos: Arquitectura, Herramientas y Tecnologas aplicadas).

ANLISIS DE RIESGOS

DECLARACIN DE INTENCIONES DE LA DIRECCIN

En relacin al Anlisis de Riesgos realizado en MES de AO donde se propusieron
una serie de cursos de accin propuestos con el fin de implantar un nivel de
seguridad aceptable, con todo ello la Direccin se compromete a llevar a cabo uno
de los cursos de accin propuestos en un periodo no superior a X aos.

PLAN DE ACCIN
Acciones a desarrollar para alcanzar la certificacin:

INICIO DEL RODAJE

SELECCIN DE HITOS I
Se establecen revisiones y metas para comprobar la eficacia del
SGSI.

SELECCIN DE HITOS II

ESTNDAR DE SEGURIDAD
Describe las especificaciones que deben seguirse para la utilizacin
de los Sistemas de Informacin y las pautas a seguir por todo el
personal.
Tambin sirve para indexar los procedimientos y normas existentes
en el SGSI.

RELACIN DOCUMENTAL I

RELACIN DOCUMENTAL II

LOPD & LSSI

FORMACIN & CONCIENCIACIN

Planes de formacin continuada acorde al puesto de trabajo para una
mejora ms efectiva en la Poltica de Seguridad de la Informacin.

AUDITORA INTERNA

PRESENTACIN SGSI

Es vital que la Compaa que aspire a obtener

la certificacin sepa vender que ha diseado
e implantado un SGSI de acuerdo a la Norma
ISO/IEC 27001:2005, explicando los pasos que
ha seguido a lo largo del tiempo.
Desarrollando una presentacin: preparada,
ensayada y metdica.
Llevando la voz cantante en la presentacin
inicial, para poder incidir en los puntos ms
fuertes y no dejando lugar a dudas.

CMO?

Intentando llevar el control de la Auditora (EL

QUE PEGA PRIMERO PEGA 2 VECES!!!).

LO CORTS NO QUITA LO VALIENTE

OBSERVACIONES & NO CONFORMIDADES

POR QU UN SGSI Y CERTIFICARLO POR LA ISO/IEC 27001:2005

El hecho de implantar un SGSI no garantiza que la compaa sea 100% segura (LA
SEGURIDAD ABSOLUTA NO EXISTE). Sin embargo, proporciona muchas ventajas:
Compromiso: El registro de actividades garantiza y demuestra la eficacia de los esfuerzos
realizados para asegurar la organizacin a todos los niveles, y probar la eficiencia de
los administradores.
Cumplimiento de los Requisitos Legales: El registro permite demostrar que la
compaa observa TODAS las leyes y normativas aplicables a su alcance.
Anlisis y Gestin de Riesgos: Se consigue un mejor conocimiento de los S.I., sus
debilidades y sus medios de proteccin.
Credibilidad y Confianza: Los socios, accionistas y clientes pueden comprobar la
importancia que la Compaa concede a la proteccin y gestin de la Informacin. La
certificacin marca la diferencia con la competencia en el mercado.
Reduccin de Costes: Costes vinculados a las incidencias de seguridad, ofreciendo la
posibilidad de reducir las primas del seguro.
Sensibilizacin del Personal: El personal de la Compaa comprende mejor la necesidad
de la seguridad y las responsabilidades de cada uno dentro de la Compaa.
No Quedar Fuera: En estos momentos se est creando un grupo de empresas
certificadas que disfrutan de grandes beneficios por el hecho de haber obtenido la
certificacin.

ISO-27001
ISO-27001 y las PyMEs

PyMEs

Muchas gracias
Consultor
a y Servicios en Seguridad
Consultora
www.ncs-spain.com

Alejandro Corletti Estrada

acorletti@ncs-spain.com