Experiencia práctica. Implantación de SGSI en una...

Experiencia práctica. Experiencia práctica. Implantación de SGSI en Implantación de SGSI en una empresa española. una empresa española.

ÍNDICE

• Empresa objeto de implantación Grupo GMV

• Decisión de Implantación de SGSI• Resultados: Certificaciones• Resultados: Controles de Seguridad• Mejora en Seguridad de Personal• Mejora de Seguridad por Tecnología• Mejora de Seguridad por Normativas• Otros impactos en el Negocio• Conclusiones

Grupo GMV

• Soluciones en TICs para los mercados aeroespacial, defensa, transporte, telecomunicaciones y e-business

• Aproximadamente 800 empleados (90% titulados)

• Actividad internacional superior al 50%• GMV integra 5 filiales que operan en diferentes

sectores:

GMV Soluciones Globales Internet

• GMV Soluciones Globales Internet presta desde 1995 servicios especializados en Telecos y e-Business

• Liderazgo en Seguridad:– SGSI certificado ISO

27001:2005 en Madrid, Barcelona y Sevilla

– Certificación ISO 9001:2000 en Madrid (también ISO 14001:2004), Barcelona, Sevilla y Valladolid

• Equipo de casi 200 profesionales, 90% Ingenieros Telecomunicación

• Instalaciones de aprox. 7000 m2 en el P.T.M. de Madrid

• Laboratorios propios de I+D

Madrid

Sevilla

BarcelonaValladolid

ÍNDICE



La Decisión de Implantación (i)

• ¿Por qué un SGSI para GMV-SGI?– UNE 27001 ofrece ciclo continuo de mejora.

• Vs limitaciones de “Seguridad de Santa Bárbara”– Permite afrontar todos frentes de seguridad

• 11 capítulos de ISO 17799– Basado en realidades: Análisis de Riesgos

• Decisiones razonadas. “Conócete a ti mismo”– Es inadmisible tener problemas de seguridad

• Valor de información cedida por nuestros clientes

– Confianza en el Modelo• Por Dirección Seguridad: Responsable implantación• Por Dirección General: Respaldo SGSI

La Decisión de Implantación (ii)

• Realismo de OBJETIVOS• Certificación vs. Mejora continua

– Visión GMV-SGI • Mejora continúa de las medidas de seguridad ya

implantadas.• Certificación como evidencia esa decisión

• Realismo RECURSOS disponibles• Económicos, Humanos, etc.

– Visión GMV-SGI• Decisión sobre alcance inicial: todo Madrid• Dotación de Presupuesto acorde

La Decisión de Implantación (iii)

• Realismo en CONOCIMIENTOS• En Metodología SGSI y Tecnología

– GMV-SGI• 10 años de experiencia en proyectos.• En caso necesario, se hubiera recurrido a expertos

(generales, campos concretos)

• Realismo en MOTIVACIONES• Convencimiento vs. Caprichos y Modas

– GMV-SGI• Implicación Dirección General / Seguridad• SGSI como herramienta de mejora

La Decisión de Implantación (iv)

• Criterios de Decisión adicionales– Diseño SGSI

• Preparación para su extensión al resto de sedes y de Grupo GMV.

– Diseño SGSI como ayuda en el trabajo• Seguridad afecta a todas las áreas. Puede

ser visto como intruso por algunas áreas.• Implicación en aportación de inputs de toda

la compañía para las decisiones anteriores

ÍNDICE



Certificación SGSI

ÍNDICE



Estado de un Control

Estado Ideal

Ausente Estricto

Insuficiente

Innecesario

Nivel Riesgo Deseado

Ciclo de vida de controles

NoImplantado

NoImplantado

EvaluaciónEvaluación

A.Correctiva

A.Preventiva

Selección PrimeraImplantación

PrimeraImplantación

Control Innecesario

Control Innecesario Control IdealControl Ideal Control

EstrictoControl Estricto

Control Insuficiente

Control Insuficiente

¿ ?Segui-miento

EvaluaciónEvaluación

Implantación Control

GMV en 1a Implantación buscó controles estrictosGMV en 1a Implantación

buscó controles estrictos

Mejora a través de controles

• UNE 27001 no exige la implantación de TODOS los controles.– Error de algunas organizaciones, han invirtiendo en

implantación de controles más del riesgo.– Puede implantarse y certificarse SGSI con parte de

controles de ISO 17799.– Aunque mejora continua habitualmente supone

incrementar este indicador.

ÍNDICE



Mejoras en Personal (i)

• Security Awareness– Factor humano es determinante:

• Puede ser el Mayor Riesgo• Debe ser el Mejor Control

• Algunos resultados.– Más de 50% de incidentes de seguridad son

reportados por personal, sobre otras fuentes de detección.

Mejoras en Personal (ii)

• Programa de Formación– Coordinado con security awareness– Combinación de acciones formativas.– Importancia del nuevo empleado

• Algunos Resultados– Promedio: 10 acciones formativas / año– Mejora cumplimiento en controles aplicados por users

90%

82%78%

88%

66% 76%

72%

62%

57%50%

55%

60%

65%

70%

75%

80%

85%

90%

95%

2004 2005 2006 2007

Máximo CumplimientoCumplimiento MedioMïnimo Cumplimiento

ÍNDICE



Mejoras en Tecnología (i)

• Menor Capacidad de Mejora de Seguridad en este campo – Campo de actividad pre-SGSI, existen

muchos controles ya implantados.– Pero aún existe margen de mejora

• Algunos resultados– 62% de los controles han sido

mejorados durante aplicación del SGSI.

Mejoras en Tecnología (ii)

• Consistencia de Controles– Ampliación de alcance en 2005 revela algunas

diferencias en las aplicación de controles en distintas ubicaciones

• Algunos resultados– Definición de arquitectura de SS.II. y controles

de seguridad estándar.– Mejoras en cada ubicación por solución best-

of-breed de otra ubicación.

ÍNDICE



Mejoras en Normativa (i)

• Completitud de Normativa de Seguridad– Normativa pre-SGSI desarrollada de forma no

sistemática– Consistencia Normativas vs Procedimientos

• Algunas Mejoras– Rediseño de contenidos de Política de

Seguridad, se dispone de 12 Normativas– Desarrollo/mejora cerca de 30 Procedimientos– Difusión de Normativa de Seguridad

desarrollada

Mejoras en Normativa (ii)

• Adaptación de Normativa a Controles Seleccionados– Algunos Controles se pueden implantar

mediante Normativas / Procedimientos de Seguridad específicos.

– Consistencia Normativa vs. Controles.

• Algunas Mejoras– Normativa de Seguridad soporta indicadores

de efectividad de controles integrados en Cuadro de Mandos de Seguridad.

Mejoras en Normativa (iii)

• Auditoría de Seguridad– Enfoque de actividad auditoría– Periodicidad / comparabilidad de actividades

auditoras.

• Algunas mejoras– Ejecución anual de al menos 5 actividades de

auditoría de Seguridad.– 45 acciones de mejora derivadas de actividad

auditora desde implantación SGSI en 2004.

ÍNDICE



Impactos en el Negocio

• Mejora en el Nivel de Riesgo– Mejor capacidad de la compañía para cumplir

los requisitos de protección de la información de sus clientes.

Evolución de indicadores de riesgo desde implantación SGSI.

Identificación de Ataques

• Detección y Detención de Amenazas de Espionaje Industrial o por Terceros.

Impacto de Incidentes de Seguridad

• Detección más rápida de incidentes supone incidentes más leves– Efecto positivo de awareness– Efecto positivo de indicadores y herramientas

de detección.• Menor impacto / incidente de seguridad

– Permite recuperación del incidente más rápida y menos consumo de recursos / incidencia

• Balance global:– Más incidencias, pero de menos gravedad.– Mayor nivel de seguridad con igual consumo

de recursos

Uso de I+D+i Propia

• GMV- SGI desarrolla soluciones propias– Desarrollo de soluciones específicas por

GMV-SGI para dar soporte a su SGSI.– SGSI puede hacer uso temprano de algunas

de las aplicaciones desarrolladas, como entorno de prueba final.

• Balance Global– Soluciones GMV-SGI innovadoras en materia

de SGSIs.– Soluciones GMV-SGI más maduras/probadas.

ÍNDICE



Conclusiones

• SGSI como herramienta RENTABLE y ÚTIL, que aporta MEJORAS.

• Es crítico ser REALISTAS en los objetivos iniciales, AMPLIANDO su alcance posteriormente.

• SGSI necesita IMPLICACIÓN de la Dirección y APOYO de toda la Organización.

• Implantación requiere conocimiento de Seguridad experto, la AYUDA externa es en ocasiones imprescindible.

Mariano J. Benito GómezDirector de Seguridad / CISO GMV Soluciones Globales Internet S.A.

GRACIAS

Experiencia práctica. Implantación de SGSI en una...

Documents

Transcript of Experiencia práctica. Implantación de SGSI en una...