TOP
Protección de Datos
Protección de Datos
Compliance Penal
Compliance Penal
Servicios LSSI
Servicios LSSI
Seguridad de la Información
Seguridad de la Información
Prevención de Blanqueo de Capitales
Prevención de Blanqueo de Capitales
Formación
Formación

Seguridad de la Información


ISO 27001



La implantación de la Norma ISO 27001:2017, sus normas complementarias y su proceso de certificación es abordado por HELAS a través de un equipo experto y acreditado que, con el soporte de plataformas de automatización en el proceso, aportan valor no solo en la implantación sino también en todo el ciclo posterior de mantenimiento y evolución del SGSI, minimizando las cargas de trabajo internas, optimizando las tareas y actividades requeridas por la Norma y generando dentro del  CLIENTE  una conciencia práctica sobre Seguridad de la Información basada en una formación diseñada en base a su modelo de negocio y desarrollada durante el proceso de implantación.

Este enfoque aporta vías muy importantes en un proceso que, de no abordarse con estas premisas, puede suponer un impacto significativo en los modos de trabajo del personal de la Organización y, con ello, generar reticencias y factores inhibidores. Cuando un SGSI se implanta de forma que su lógica de seguridad se diseña e integra con el modelo de negocio, las personas lo adoptan como una evolución de su papel en la Organización dado que perciben en todo momento su alineamiento con dicho modelo y la aportación de valor que le supone.

HELAS plantea un proyecto en cuya metodología destaca el nivel de automatización de las actividades requeridas por la Norma y el enfoque integrador del equipo de consultoría entre la Norma y el modelo de negocio. Esta metodología permite abordar, implementar y facilitar la certificación al fusionar Norma y procesos de negocio de forma natural, no intrusiva y altamente automatizada. Y, por supuesto, facilitar el mantenimiento de la certificación al incorporar la seguridad como un proceso continuo dentro de las funciones de negocio.

Es importante resaltar que en la metodología de HELAS y con el mismo sistema de información propuesto, EL CLIENTE puede incorporar proyectos de cumplimiento y, en su caso, certificación de otras Normas adicionales, como:

-
ISO 20000. Gestión de Servicios TIC.
-Esquema Nacional de Seguridad. En caso de servicios ofrecidos a las Administraciones Públicas. Alineamiento requerido tras la publicación del Real Decreto 951/2015 de modificación del Esquema Nacional de Seguridad y la Instrucción Técnica sobre acreditación de cumplimiento de ISO 27001 que también obliga a las Empresas que presten servicios a las AAPPs. Ampliable desde una Norma ISO 27001:2017 existente o en proceso de implantación.
-ISO 22301. Gestión de la Continuidad de Negocio.
-COBIT 5. Gobierno de las TI.
-RGPD Reglamento General de Protección de Datos.
-LOPD.
-Etc.

Todas las Normas comparten controles y actividades comunes, por lo que los trabajos realizados para la implantación de cualquiera de ellas son reutilizables para la implantación del resto sin generar trabajo adicional.

Esto incluye temas tan importantes como el análisis y la gestión de riesgos, CMDB unificada para todos los activos de la Organización, como:

-
Estructuras organizativas.
-
Gestión de Continuidad.
-
Políticas y procedimientos comunes.
-
Controles y medidas comunes.
-
Cuadros de mando e informes.
-
Gestión de niveles de servicio.
-Etc.

Optimizando con ello la implantación de Normas que aumentan el potencial de EL CLIENTE en un mercado donde son cada vez mayores las exigencias al respecto.

La CMDB, de hecho, ya incorpora datos válidos para todas ellas, estén o no implantadas (continuidad, gestión de servicios, etc.) con el fin de preparar desde el proyecto inicial todo el conjunto de requerimientos de la Norma en curso y el resto de ellas.

Así, en los proyectos ISO 27001 se incluyen en la CMDB los parámetros de Continuidad requeridos en el dominio 17 del Anexo A de la misma que, a su vez, son utilizados para ISO 20000, ISO 22301 y COBIT 5, por ejemplo. Asimismo, se incluyen en el módulo base SLAs, contratos, externalizaciones, etc.

CONTEXTO DEL PROYECTO



Las Tecnologías de la Información y las Comunicaciones (TIC en adelante) forman parte consustancial en el Modelo de Negocio / Servicio de cualquier Organización, pública o privada, dado que soportan todo el conjunto de sus transacciones de negocio y, con ello, reforzar los parámetros básicos de su Seguridad (Disponibilidad, Integridad y Confidencialidad) supone, por ello, asegurar el propio Modelo de Negocio.

Es prácticamente inviable hoy en día desarrollar operaciones de negocio por medios manuales, ni sustituir por actuaciones manuales una posible caída de los servicios informáticos de cualquier Organización, evento que privaría a ésta de la información y capacidad de proceso necesaria para ofrecer a sus interlocutores de negocio y partes interesadas las funcionalidades apropiadas para en su interacción.

La cada vez más frecuente integración entre sistemas de información de diferentes clientes, proveedores, administraciones públicas, etc, obligan a definir un marco de seguridad de los sistemas que permita establecer un escenario de confianza donde estas transacciones cruzadas sean desarrolladas de forma segura y auditable. En este punto, la existencia de dicho marco de seguridad ha llevado a la definición y evolución de Normas estándares que, siendo aceptadas universalmente como “buenas prácticas” en materia de Seguridad de la Información, permiten desarrollar proyectos certificables (si así se plantea) pero, en cualquier caso, implementar las medidas que otros interlocutores esperan encontrar cuando se plantea una relación de cualquier tipo en la que, indefectiblemente, se verán involucrados en diferentes grados de interacción diversas plataformas informáticas.

Estas Normas recogen el ciclo de vida continuo de la seguridad y su gestión, dado que los continuos cambios tecnológicos y organizativos que se producen en los modelos de negocio actuales, así como las amenazas y riesgos asociados, configuran un entorno de mejora continua del proceso de Seguridad en el que, de forma permanente, se desarrollan actividades tendentes a prevenir, detectar, corregir e informar sobre los eventos de todo tipo que se producen y, reflejando este modelo continuo, se implementan los Sistemas de Gestión de la Seguridad de la Información (SGSI) como el que se propone en esta propuesta.

En el año 1995, la entonces denominada Norma BS7799 implementó los requerimientos de un SGSI y su catálogo de controles. Desde entonces, ha ido evolucionando hasta convertirse actualmente en el estándar “de facto” de los SGSI bajo la denominación ISO/IEC 27001:2017 (requerimientos) e ISO/IEC 27002:2017 (catálogo de controles), más una serie de normas complementarias que aportan criterios relevantes sobre numerosos aspectos del SGSI.

La Norma UNE-EN ISO/IEC 27001:2017 es certificable. Esta certificación se está convirtiendo en un requerimiento de negocio cada vez más habitual entre Organizaciones e interlocutores de negocio y partes interesadas, dado que certifica un modelo de Seguridad homogéneo entre todos ellos y, por su rigor, asegura el cumplimiento de niveles de seguridad adecuados a la información gestionada.

La implementación de un SGSI aporta, además de una posible certificación, un modelo consolidado, sistemático y controlado de la Seguridad de la Información a todos los niveles, desde los directivos hasta los operativos, facilitando establecer Planes Estratégicos con el soporte de las TIC, factor fundamental para poder materializarlos.

Las actividades, medidas y controles de estas Normas forman parte de la Organización cuando el proyecto de implantación de las mismas consigue establecer un escenario fluido, muy automatizado y con alta percepción de aporte de valor adicional al que la propia exigencia de negocio pueda haber originado.

Este escenario es fundamental para el éxito del proyecto dado que, una vez implementado el SGSI, éste requiere su gestión y evolución dentro del ciclo de vida continuo que lo define, por lo que, al igual que otros procesos de negocio considerados igualmente de ciclo continuo, el SGSI debe integrarse de forma natural en la Organización.

Este factor es clave para una posible certificación, pero también lo es para el mantenimiento de la misma dado que podría perderse en las auditorías preceptivas de renovación en caso de que el SGSI no mostrara al equipo auditor su cumplimiento de los requerimientos, entre los que figura la acreditación de sus actividades dentro del escenario corporativo.

Un SGSI inactivo tras su certificación supone un alto riesgo de no renovación y, con ello, la posible pérdida de negocio donde sea requerido.  Adicionalmente, la propia pérdida de Seguridad ya supone en sí misma un riesgo contra el Modelo de Negocio, esté el SGSI certificado o no.

Los factores clave para conseguir una implementación de estas Normas y sus objetivos son:

1.1.EQUIPO DE PROYECTO INTERNO.

La Organización debe participar activamente en el proceso de implantación de las Normas, no solo en sus áreas técnicas sino en todos los estamentos implicados en el alcance del proyecto.

Estas Normas piden una participación de la Dirección, ya que, como gestores del Modelo de Negocio, tienen la capacidad de decisión adecuada para decidir las medidas corporativas que, traducidas en actuaciones organizativas y técnicas, consigan los objetivos marcados.

En la metodología empleada por HELAS, el equipo de proyecto interno ve minimizada la carga de trabajo dentro del proyecto y optimizada su participación al disponer de Cuadros de Mando y herramientas de seguimiento a nivel directivo que permite no solo desarrollar sus actividades en los momentos requeridos sino también participar activamente en el seguimiento de los objetivos de negocio marcados en relación con el SGSI.

Esta optimización también se alimenta de los ciclos de formación específicos que HELAS propone como parte del proyecto, y que aportan el conocimiento y lenguaje adaptados a cada nivel y función del equipo interno.

1.2.EQUIPO DE PROYECTO HELAS.

HELAS dispone de un amplio equipo de especialistas en los diferentes Marcos Normativos y estándares sobre los que desarrolla sus proyectos. Entre sus características:

*     Titulados universitarios.

-Ingenieros en Informática. Perfiles técnicos / Organizativos.

-Licenciados en Derecho. Perfiles jurídicos / Organizativos.

*     Formación y prácticas cruzadas entre perfiles.

*     Actualización permanente.

*     Acreditaciones. Los equipos de proyecto disponen, adicionalmente a su titulación académica, de acreditaciones complementarias. Entre ellas:

-Derecho de las TIC. Perfiles jurídicos y técnicos.

-CISA – ISACA.

-CISM – ISACA.

-CGEIT – ISACA.

-COBIT 5 – F+Implementation

-Lead Auditor ISO 27001. Seguridad de la Información.

-Certificaciones de fabricantes.

1.3.METODOLOGÍA.

Metodología orientada a la optimización del ciclo de vida y calidad del proyecto mediante una organización sistemática (y adaptada a sus características) de los perfiles jurídicos, organizativos y técnicos que pueden intervenir en el mismo.

Las personas que forman parte de los equipos de proyecto de HELAS participan activamente como autores en publicaciones sobre las materias objeto de este tipo de proyectos, foros, ponencias, congresos y, en general, en todo tipo de actividades relacionadas con la Seguridad y Gobierno TIC y los Marcos Normativos y Estándares relacionados.

1.4.SISTEMA DE INFORMACIÓN – AUTOMATIZACIONES.

El ciclo de vida de un SGSI requiere la intervención de un sistema de información que implemente todas las actividades requeridas por las Normas dentro de su ciclo continuo, minimizando las cargas de trabajo internas y optimizando la calidad del cumplimiento y su acreditación, aspectos clave tanto para su posible certificación como para un adecuado desarrollo del mismo.

HELAS, en función de las características del proyecto, propondrá utilizar una plataforma informática que permita aportar un valor diferencial en todas las fases del proyecto, así como en su mantenimiento y evolución posterior.

Esta plataforma permite, cuando la Organización lo estime oportuno, implementar otras Normas o Leyes, como LOPD, ISO 9001, ISO 22301, ISO 20000, PCI-DSS, bajo un marco de gestión común y compartiendo los puntos comunes entre ellas.

1.5.PLANTILLAS DE PROCEDIMIENTOS – GESTOR DOCUMENTAL.

Las Normas ISO 27001 e ISO 27002, como el resto de los sistemas de gestión, requieren el desarrollo de procedimientos documentados con el fin de trasladar y gestionar los conocimientos, directrices y criterios a soportes accesibles a quienes lo necesiten y dispongan de los permisos pertinentes.

HELAS dispone (e incluye en la propuesta) las plantillas de TODOS los procedimientos requeridos, por lo que la redacción de los mismos se limita a la personalización de los temas específicos de cada uno de ellos en base a las características determinadas en la fase de consultoría.

Estos procedimientos han sido utilizados en numerosos proyectos de implementación y certificación bajo estas Normas, por lo que su formato y contenido están contrastados.

1.6.PLANTILLAS DE REGISTROS.

Estas Normas requieren la creación y mantenimiento de una serie de registros que recogen una diversa colección de eventos que están relacionados con todas las fases de su ciclo de vida. HELAS dispone de plantillas para la activación de estos registros y, con ello, su implementación es prácticamente directa dependiendo exclusivamente de su personalización en la fase de consultoría.

1.7.CONSIDERACIONES SOBRE LOS FACTORES CLAVE.

La propuesta de HELAS contempla los recursos humanos, técnicos y organizativos adecuados para conseguir los objetivos marcados por la Organización, pero, simultáneamente, minimizando costes, plazos y cargas de trabajo. Adicionalmente, el proyecto queda preparado para un ciclo de vida continuo (mantenible por EL CLIENTE, por HELAS o conjuntamente) bajo los mismos criterios de eficiencia y optimización.

1.8.CERTIFICACIÓN.

El proceso de certificación no está incluido en nuestros servicios, dado que sólo puede ser realizado por Empresas acreditadas en ENAC.

Se puede incluir una auditoría de la implementación realizada, en la cual se verifican los mismos parámetros que los analizados en un proceso de certificación. De esta forma, tanto si la Organización desea certificarse como si no lo estima oportuno la auditoría medirá el estado de cumplimiento en su momento.

Opcionalmente, puede contratarse el soporte directo de HELAS durante el proceso de auditoría de certificación, el cual se presupuesta en base a las jornadas que la Empresa certificadora propone para este proceso.




ENS

El Esquema Nacional de Seguridad se crea como el marco homogéneo de criterios, preceptos y medidas de seguridad aplicables a los servicios electrónicos de todas las Administraciones Públicas españolas.

Responde al Art. 42 de la Ley de Acceso Electrónico de los Ciudadanos a los Servicios Públicos (Ley 11/2007 de 22 de junio, LAECSP en adelante) y fue promulgado como R.D. 3/2010 de 8 de enero y publicado en el BOE de 29 de enero de 2010. Contiene la especificación del Sistema de Gestión de Seguridad de la Información (SGSI en adelante) que debe implementar cualquier Organismo Público que ofrezca servicios por medios electrónicos.

Su función se describe en el mencionado artículo de la Ley 11/2007:

2. El Esquema Nacional de Seguridad tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la presente Ley, y está constituido por los principios básicos y requisitos mínimos que permitan una protección adecuada de la información.

En este contexto, el concepto de “servicio electrónico” abarca todos los servicios prestados por la Administración a los Ciudadanos utilizando cualquier medio electrónico, de forma independiente a la forma en que el Ciudadano acceda a dichos servicios, tal como recogen los foros de praxis del ENS del Centro Criptológico Nacional (CCN). Es decir, comprende cualquier procedimiento administrativo del Organismo que utilice Sistemas de Información para su desempeño, lo cual extiende el alcance del ENS a, prácticamente, todas sus actividades. Sólo quedarían excluidas aquéllas cuyos destinatarios sean personas u Organismos de la propia Administración. Es conveniente recordar el concepto de “Ciudadano” que recoge la Ley 11/2007, a la que el ENS responde en materia de seguridad, cuya definición se ha expuesto en el punto anterior.

Esta definición hace visible la diferencia de alcance del ENS respecto a LOPD. Mientras que RGPD y LOPD hacen referencia a personas físicas, ENS extiende su alcance a personas físicas, empresas y asociaciones de todo tipo que interactúen con el Organismo, abarcando la práctica totalidad de servicios ofrecidos.  Cuando un organismo público tiene informatizados sus servicios a Ciudadanos, todos ellos entran en el alcance del ENS y debería abordarse el cumplimiento del mismo desde este prisma.  Asimismo, en el caso de servicios electrónicos externalizados, bien sobre otras Administraciones o sobre empresas externas, se identifican los requerimientos que estos terceros deben cumplir para mantener los principios de responsabilidad y titularidad del Organismo en relación a los mismos.  El pleno cumplimiento del ENS era requerido en fecha 30 de enero del año 2014.


IMPULSORES DEL CUMPLIMIENTO DEL ENS EN LA ADMINISTRACIÓN PÚBLICA


Cumplimiento normativo. El ENS es una norma de obligado cumplimiento, de carácter básico. Adicionalmente, promueve el cumplimiento de otros Marcos, como LOPD – RDLOPD y completa el de la propia LAECSP en su Art. 42.2.

Marco de seguridad corporativo. El ENS, en su articulado, establece requerimientos técnicos pero también organizativos, así como una implicación explícita y documentada de los denominados “órganos superiores competentes”. Es un marco integrador que refleja el paradigma de la Seguridad de la Información.

- Defensa y soporte ante incidentes de seguridad. En el contexto de la AAPP, donde la práctica totalidad de los servicios están soportados por sistemas de información, la probabilidad de ser afectados por incidentes de todo tipo, eventuales y/o intencionados, es cada vez mayor.

Estos incidentes pueden provocar perjuicios a los ciudadanos, al propio Organismo e incluso generar reclamaciones en instancias judiciales por los daños sufridos. No existe la seguridad completa, por lo que la implantación del ENS no va a proporcionar un entorno plenamente seguro, pero la acreditación de su cumplimiento proporciona a los Entes de la AAPP no solo una mejora objetiva en sus medidas de seguridad sino también una línea de defensa utilizable ante posibles reclamaciones, al cumplir el marco normativo que regula y gestiona la seguridad de los sistemas de información utilizados en la prestación de servicios.

- Alineamiento con los servicios de la Administración en Sedes Electrónicas. El ENS responde a preceptos de LAECSP. Aun cuando en la actualidad el despliegue y utilización de servicios en las Sedes Electrónicas es todavía reducido, la progresiva incorporación de oferta de servicios “no presenciales” y la cada vez mayor presencia de “nativos digitales” como interlocutores de la Administración, definen un escenario donde la tendencia es claramente indicadora de niveles de utilización importantes en el corto / medio plazo.

Reformas en la Administración. Las recientes reformas aprobadas promueven de forma explícita y prioritaria la “Administración Electrónica” como forma de interacción entre Administración y ciudadanos, lo que supone una potenciación a todos los niveles de la utilización de los medios electrónicos, impulsando los “no presenciales” para materializar estas iniciativas. Este escenario conlleva un importante aumento de las transacciones desarrolladas por medios electrónicos y, con ello, la necesidad de reforzar los niveles de seguridad sobre las mismas, aplicando el ENS y acreditando su cumplimiento.

Mantener la validez legal de las transacciones electrónicas desarrolladas por medios presenciales o telemáticos es uno de los motivos principales para la implementación del ENS. Los incidentes relacionado con eventos en los Sistemas de Información del Organismo, así como una inadecuada custodia y gestión de la vigencia de los documentos electrónicos que intervienen en las transacciones electrónicas, pueden derivar en problemas legales en el ejercicio de los derechos de los Ciudadanos en sus relaciones con el Organismo mediante servicios electrónicos, concedidos y regulados en la Ley 11/2007 y otros Marcos Normativos, y pueden constituir un serio inhibidor en el uso de medios electrónicos en la Administración.


SINCRONIZACIÓN CON CUMPLIMIENTO LOPS-RDLOPD: BASES NORMATIVAS

El ENS tiene entre sus objetivos básicos dotar de las medidas de seguridad adecuadas todo el entorno asociado con la Administración Electrónica, reforzando la validez jurídica de las transacciones desarrolladas a través de este medio y sus evidencias electrónicas derivadas, así como (y se recalca en numerosas ocasiones a lo largo de su texto) proteger un derecho fundamental como es la privacidad, mediante el alineamiento y cumplimiento con la LOPD y su Reglamento (RDLOPD).

El ENS enlaza con la LOPD (Ley 15/1999) y su Reglamento (RD 1720/2007, RDLOPD) desde su propio preámbulo:

La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y sus normas de desarrollo, determinan las medidas para la protección de los datos de carácter personal. Además, aportan criterios para establecer la proporcionalidad entre las medidas de seguridad y la información a proteger.

          …….

La información tratada en los sistemas electrónicos a los que se refiere este real decreto estará protegida teniendo en cuenta los criterios establecidos en la Ley Orgánica 15/1999, de 13 de diciembre.

En su Artículo 27.2:

2. Cuando un sistema al que afecte el presente real decreto maneje datos de carácter personal le será de aplicación lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, y normativa de desarrollo, sin perjuicio de los requisitos establecidos en el Esquema Nacional de Seguridad.

Anexo II. 4.3.8 / 5.7.1 /

2. Cuando un sistema al que afecte el presente real decreto maneje datos de carácter personal le será de aplicación lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, y normativa de desarrollo, sin perjuicio de los requisitos establecidos en el Esquema Nacional de Seguridad.

Anexo II. 3.1. Política de Seguridad.

La política de seguridad debe referenciar y ser coherente con lo establecido en el Documento de Seguridad que exige el Real Decreto 1720/2007, en lo que corresponda.

Asimismo, se contemplan numerosas referencias en las Guías CCN-STIC 800.

Es particularmente relevante la constatación explícita a lo largo del ENS y de sus Guías de Implantación sobre la prevalencia de la protección de los datos de carácter personal sobre cualquier medida y/o criterio del propio ENS u otros Marcos. Esta prevalencia se basa en la consideración de la privacidad como derecho fundamental, reconocido en la Constitución Española y desarrollado por una Ley Orgánica (LOPD) y su Reglamento (RDLOPD).

HELAS desarrolla sus proyectos de actualización y evolución del cumplimiento del ENS, basandose en una serie de criterios y factores diferenciales:

Equipo de proyecto con los conocimientos, experiencia, especialización y acreditaciones adecuadas para obtener un pleno cumplimiento de los objetivos, integrando perfiles jurídicos, organizativos y técnicos para el ENS y, adicionalmente, identificación de sus puntos comunes con Ley 39/2015, Ley 40/2015, ENI y LOPD con sus planteamientos complementarios, optimizando el desarrollo del proyecto global.

Experiencia y conocimiento de los servicios de nuestros clientes, sus relaciones, aplicaciones informáticas, infraestructuras, etc, así como sus implicaciones sobre ENS, ENI, LOPD y RDLOPD.

Oficina de Cumplimiento. HELAS incluye los servicios de soporte jurídico, organizativo y técnico sobre ENS como mejora en la propuesta. Esto permite no solo disponer del mencionado soporte especializado sino también obtener la formación y experiencia necesarias internamente para poder desarrollar estas tareas de forma autónoma si así se considera.

Sistema de Información diseñado y construido para la implementación, gestión, control, mantenimiento y evolución del ENS en todas las fases de su ciclo de vida.

Optimización y sincronización del cumplimiento multi-marco (ENS, ENI, RGPD, LOPD), lo que permite desarrollar las correspondientes actividades requeridas en todos ellos de forma única en los controles comunes, registros, criterios, etc.

Integración con otras Normas y Estándares (Continuidad, Gestión de Servicios, etc.).

Pleno alineamiento con las Guías del ENS (CCN-STIC serie 800) aplicando los criterios derivados de todos estos entornos directores de su implementación y acreditación.

Módulos de Métricas e Indicadores y Business Intelligence integrados. Alineados con INES, ISO 27004 y Guía CCN-STIC 815-824.

Consultoría completa en el ciclo de cumplimiento integral y evolución del ENS, sincronizado con LOPD – RDLOPD.  Implementación del SGSI ENS plenamente alineado con las directrices de los del CCN al respecto e incorporando el modelado corporativo mediante el estándar TOGAF Archimate.

Gestión de la evolución de los Marcos Normativos. Analizando y planteando la transición a las evoluciones de los mismos y las de Marcos colaterales, como la Ley 39/2015, Ley 40/2015, etc.