Implantación de un Sistema de Gestión de la

S
Seguridad
id d de
d la
l Información
I f ió (SGSI) según
ú
norma ISO/IEC 27001 para la Banca
El t ó i de
Electrónica d Unicaja
U i j (Univía
U i í )
Univía)
Vi ió Global
Visión Gl b l de
d Ingenia.
I i Fundación
F d ió y Accionariado
A i i d

• Fundación: Octubre 1992

• Delegaciones:
• Sede
S d CCentral:
t l Parque
P Tecnológico
T ló i ded Andalucía
A d l í
• Sedes en Sevilla y Barcelona
• Delegación en México

feb-08 2
I
Ingenia
i en cifras.
if Evolución
E l ió en los
l últimos
últi años
ñ

FACTURACIÓN PLANTILLA
2006: 10,844 millones € 2006: 225 empleados

feb-08 3
Líneas de Negocio

• Comunicaciones, Infraestructuras e Integración de Sistemas

• Consultoría Estratégica de Seguridad y Sistemas
• P t l
Portales, Comercio
C i electrónico
l t ó i yC Contenidos.
t id E
E-learning
l i
• Desarrollo Software
• Administración de Sistemas y Seguridad. DataCenter
• Formación
• Marketing Directo e Interactivo

feb-08 4
Algunos Datos sobre Univía
UniVía fue la mejor valorada en la última encuesta de CECA sobre banca
electrónica
l tó i
Unicaja ha logrado el primer puesto en el Esta posición positiva no es imputable a un
estudio sobre el nivel de satisfacción del grupo concreto de aspectos del servicio, ya
cliente con el canal Internet que,
que sobre 16 que Unicaja obtiene medias superiores al
Cajas de ahorros, ha realizado CECA en global en las 16 dimensiones del servicio
colaboración con STIGA (Estudios de evaluadas, registrando diferencias
calidad de servicios). estadísticamente significativas de forma
generalizada y encabezando el ránking en 11
El nivel de satisfacción mostrado por los de los parámetros.
clientes de la Caja con el servicio recibido
por el Canal sitúa a Unicaja, con una media Unicaja lidera el ranking en los aspectos
de 8.30,
8 30 en la primera posición entre las 16 relativos a usabilidad,
usabilidad facilidad con que se
participantes. realizan consultas de saldo y movimientos e
información que se facilita, Información sobre
La Caja supera a la media de Cajas en Productos y Servicios de la entidad,
todos los segmentos formados según Proactiva del Canal Internet,
Internet Funcionalidades
variables sociodemográficas o de relación (variedad de operaciones y productos) y en
con el canal. Atención al Cliente.
Algunos Datos sobre Univía

Indicador Valor
Contratos Univía 500.000
Envíos mensuales de remesas 45.000
Operaciones mensuales 10.000.000
Ritmo de crecimiento anual 22%

feb-08 6
Objetivos
Obj ti Perseguidos
P id por Unicaja
U i j para abordar
b d la
l
implantación de un SGSI

• Disponer de mecanismos para conocer y controlar el estado de la seguridad de los

Sistemas de Información y Datos como parte íntegra del Negocio.
• Obtener un sello de calidad en la gestión de la seguridad que transmita confianza a
l clientes.
los li t
• Para llegar a esos objetivos, había que responder a las siguientes cuestiones:
• ¿Cuál es el estado de la seguridad actual de la organización?
• Se realiza un Análisis de Riesgos
• ¿Cuál es el estado de la seguridad que se quiere alcanzar?
• La Dirección establece los objetivos
• ¿Cómo se alcanza el estado de seguridad requerido?
• Se elabora un Plan de Acción
• ¿Cómo saber que se ha alcanzado el estado de seguridad requerido?
• Se establecen y monitorizan indicadores

feb-08 7
El Establecimiento del Alcance

• Elegir adecuadamente un alcance es de suma importancia a la

hora de abordar la implantación de un SGSI.
• Un alcance excesivo puede hacer el proyecto inabordable y
llevarlo al fracaso.
• Un alcance muy reducido puede no contemplar aspectos
importantes y dar un resultado que no sea útil para los propósitos
de la organización.
• Para una correcta delimitación del alcance hay que combinar
c ite ios de negocio
criterios negocio, criterios
c ite ios organizativos
o gani ati os y criterios
c ite ios técnicos

feb-08 8
 El Establecimiento del Alcance

• Que sea acotado y manejable

• Que aporte valor al Negocio

Personal que interviene en la prestación de los servicios Equipos: Servidores y Equipos

de comunicaciones y seguridad
Datos asociados a los servicios relacionados con los servicios
•Código fuente Servicios finales •Switches
•Servicios a clientes •Cortafuegos y consolas de
•Código ejecutable cortafuegos
•Datos configuración •Servicios internos •Servidores (web, DNS, correo,
•Logs
L etc.))

Aplicaciones en que se apoyan los servicios Enlaces de comunicaciones

•Acceso a Internet
•Red corporativa

feb-08 9
El Alcance Elegido

• El alcance del primer SGSI de Unicaja ha sido Univía, la banca

electrónica de Unicaja.
• Incluye la banca por internet
internet, banca WAP
WAP, banca imode
imode, banca PDA y
servicios asociados como envío de remesas por internet o TPV
virtuales en comercios.
• Las razones:
• Entorno con muy altas medidas de seguridad previamente implantadas.
• Administración del servicio con un alto grado de procedimentación.
• Se apuntaba como un entorno donde no debería ser muy difícil
implantar un SGSI formal.
• Al ser un servicio con entidad ppropia
p y visible hacia los clientes,, había
un retorno claro en términos de imagen.
feb-08 10
Las Etapas de un SGSI: Detalle de actividades I
Plan

• Fase “Plan” (Planificación) Act Do

• Se analizan los riesgos Check

• Se
S analiza
li lla situación
it ió actual
t l en contraste
t t a llo exigido
i id por lla normativa
ti
• Se identifican puntos de mejora, si el riesgo residual no es asumible
• Se plantean líneas de proyecto para implantar las mejoras identificadas
Plan

• Fase “Do” (Implementación y Operación) Act Do

• Implementación del plan de tratamiento de riesgos Ch k

Check

• Impartición de los programas de formación y concienciación en el SGSI

• Definición de las métricas y de los indicadores de la efectividad de los
controles
t l o grupo d de controles
t l
feb-08 11
Las Etapas de un SGSI: Detalle de actividades II

• Fase “Check” (Monitorización y Revisión)

• Revisión y monitorización de que se cumple la política y los procedimientos de seguridad
• Revisión de indicadores
Plan
• Revisiones
R i i d
dell análisis
áli i dde riesgos
i
• Realización de auditorías internas del SGSI Act Do

• Revisión del sistema por parte de la Dirección Check

• Registro de acciones y eventos

• Fase “Act” (Mantenimiento y Mejora)

• Llevar a cabo las acciones que sean necesarias en función de los resultados de: Plan
• La revisión del cumplimiento de la política y procedimientos Act Do
• Los valores de los indicadores que son leídos en la fase “Check
Check
• Implementar las mejoras que se detecten en las auditorías internas
• Identificación y revisión de los documentos afectados como resultados de las acciones

feb-08 12
 Plan

Act Do

El Análisis de Riesgos
Check

• El Análisis de Riesgos constituye una fase fundamental. Permite

conocer cómo de segura está la organización en base a las
amenazas que le afectan y a las salvaguardas implantadas.
• Permite establecer un Plan de Acción para alcanzar un
determinado nivel de seguridad.
• Se ha empleado la metodología MAGERIT v2
• Metodología elaborada por el Consejo Superior de Administración
Electrónica del MAP.
• Como herramienta, se ha empleado EAR

feb-08 13
 Plan

Act Do

Las Fases seguidas para el Análisis de Riesgos

Check

• Identificación de activos, dentro del alcance establecido

• Servicios, sistemas, aplicaciones, datos, comunicaciones, personas.
• Valoración
V l ió dde activos,
ti de
d acuerdo d all negocio,
i y basándose
b á d en la
l
escala de Magerit.
• Establecimiento de dependencias entre los activos.
• Identificación de las amenazas para cada uno de los activos.
• Valoración del impacto y frecuencia de cada amenaza en cada uno
de los p
planos de seguridad.
g

feb-08 14
 Plan

Act Do

Las Fases seguidas para el Análisis de Riesgos

Check

• Valoración de las salvaguardas en base a su grado de implantación, o

capacidad para aminorar el impacto o frecuencia de una amenaza.
• Para el catálogo
g de salvaguardas
g se ha seguido
g ISO 17799:2005 más
algunas salvaguardas específicas.
• Las salvaguardas desplegadas pueden ser de varios tipos:
• Políticas
• Procedimientos
• Soluciones técnicas
• Soluciones físicas
• Cada uno de los 133 controles se ha valorado asociándole un conjunto de
aspectos medibles. Se han valorado, en total, unos 2000 aspectos.

feb-08 15
 Plan

Act Do

Las Fases seguidas para el Análisis de Riesgos

Check

• La valoración de cada aspecto se ha hecho en base a 6 niveles de

implantación o de efectividad de la salvaguarda:

Nivel Procedimientos Efectividad

Salvaguarda
LO Inexistente 0%

L1 Estado inicial/Ad-hoc 10%

L2 Repetible pero intuitivo, no 50%

d
documentado
t d
L3 Proceso definido y documentado 90%

L4 Proceso gestionado y medible 95%

L5 Optimizado, integrado con el negocio 100%

feb-08 16
 Plan

Act Do

El Plan de Acción
Check

• A partir del riesgo medido (riesgo presente), la Dirección de Unicaja

decidió qué nivel de riesgo quería asumir como máximo.
• Con esa información se identificaron aquellos
q p
puntos de mejoraj q
que
permitirían disminuir el riesgo a un valor aceptable.
• En base a las mejoras identificadas se elaboró un Plan De Acción:
• Líneas de proyecto
y que abordaban mejoras
j de salvaguardas
g existentes o
despliegue de nuevas salvaguardas, y que permitían bajar el riesgo sobre los
activos por debajo del máximo admitido por la Dirección.
• Un calendario de ejecución, en función de la importancia de las medidas para el
negocio.
i
• Un presupuesto económico
• El Plan de Acción fue aprobado por la Dirección.

feb-08 17
 Plan

Act Do
Resumen d
R de aspectos
t que se presentaron
t para
ser aprobados por la Dirección Check

Documento Contenido
Documento Descripción del SGSI (manual). Su aprobación implica la aceptación
Maestro del SGSI,, así como del resto de documentos que
q deben ser
aprobados
Objetivos de
Es la política del SGSI. Incluye los criterios de aceptación del riesgo
seguridad
Análisis de riesgos Estado actual del riesgo (aceptado en el presente, sujeto a un plan
de mejora)
Grado de cumplimiento de los controles del estándar ISO 17799
Gestión de riesgos Plan de reducción del riesgo
Plan de acción para conseguir dicha reducción
Catálogo de Definición de indicadores de eficacia del SGSI: qué medir, cuál es el
indicadores valor de referencia,, frecuencia de las mediciones,, acciones en
función del valor del indicador
feb-08 18
 Plan

Act Do
Ejemplo
Ej l de
d Informe
I f de
d Riesgos
Ri presentado
t d a la
l
Dirección Check

Riesgo potencial (sin Riesgo presente (con Riesgo Planificado

salvaguardas) salvaguardas) (tras plan de acción)
Dimensión

Servicio D A_S T_S D A_S T_S D A_S T_S

Servicio 1 4 1 1

Servicio 2 5 5 3 2 3 1 1 1 1

Servicio 3 5 5 3 2 3 1 1 1 1

Servicio 4 4 5 3 1 3 1 1 2 1

Servicio 5 4 5 3 1 3 1 1 2 1

Servicio 6 4 5 3 1 3 1 1 2 1

Servicio 7 4 5 3 1 3 1 1 1 1

feb-08 Valores ficticios 19

 Plan

Act Do
Ejemplo
Ej l de
d IInforme
f d
de Cumplimiento
C li i t ded
Controles ISO presentado a la Dirección Check

Área de la Norma ISO 17799 Presente Plan

Política de seguridad 60% 90%
Organización de la seguridad de la información 64% 81%
Gestión de activos 60% 80%

Seguridad relacionada con los recursos humanos 81% 86%

Seguridad física y del entorno 70% 80%
Gestión de comunicaciones y operaciones 65% 91%
Control de acceso 75% 90%

Adquisición desarrollo y mantenimiento de sistemas

Adquisición, 70% 91%
Gestión de incidentes 63% 89%
Gestión de la continuidad del negocio 68% 96%
Conformidad 74% 90%

feb-08 Valores ficticios 20

 Plan

Act Do

El Desarrollo del Plan

Check

• Además de abordar los proyectos específicos identificados en el

Plan de Acción, se han acometido otras actividades necesarias:
• Identificación de indicadores
indicadores, que permitieran medir la eficacia de
las salvaguardas y comprobar que se estaba evolucionando en la
dirección adecuada.
• Muchos de ellos ya existían previamente
• Otros se definieron a propósito
• Una acción formativa para divulgación y concienciación del SGSI
• Un cuadro de mando, para que la Dirección pudiera ver fácilmente
la evolución de indicadores.

feb-08 21
 Plan

Act Do

El Seguimiento del SGSI

Check

• Un Sistema de Gestión de la Seguridad, al igual que cualquier otro

sistema de gestión, implica una revisión continua de que las medidas
identificadas se están implantando correctamente y que la evolución de
los indicadores es la esperada.
• Para ello se ha constituido un Comité de Seguridad que se reúne con
carácter periódico y en el que se analizan las incidencias y actuaciones
y se toman decisiones en base a ello.
• En el Comité de Seguridad están representadas todas las áreas que
intervienen en el alcance definido de Banca Electrónica: Sistemas
Sistemas,
Comunicaciones, Seguridad, Explotación, Administración, etc.
• El Comité de Seguridad está presidido por la Dirección de Unicaja.

feb-08 22
 Plan

Act Do

El Seguimiento del SGSI

Check

• Otras actividades que se realizan, o que están planificadas para

ser realizadas, son:
• Revisión y monitorización de que se cumple la política de seguridad y
los procedimientos de seguridad
• Gestión de incidencias de seguridad.
• Revisión
R i ió d de iindicadores
di d ((revisión
i ió mensual)
l)
• Revisiones del análisis de riesgos (prevista una revisión anual)
• Realización de auditorías internas del SGSI (p(prevista una auditoría
anual)
• Registro de acciones y eventos
• Revisión periódica del sistema por parte de la Dirección
feb-08 23
 Plan

Act Do

El Mantenimiento y La Mejora Continua

Check

• A partir del seguimiento de evolución de indicadores, y las

revisiones planificadas de análisis de riesgos y auditorías internas,
el Comité de Seguridad establece las acciones correctivas que
hubiera que llevar a cabo.
• Se está planteando el establecimiento de un Oficina Técnica que
asuma las tareas de seguimiento e identificación de tareas
correctivas, para una mejor gestión del Sistema.
• La Oficina Técnica reportaría al Comité de Seguridad y
garantizaría un seguimiento más cercano de los procedimientos
establecidos.

feb-08 24
La Certificación

• Certificar el sistema de gestión es una forma de verificar que los

procedimientos de gestión y los mecanismos establecidos están
en línea con la normativa internacional.
• La certificación constituye un elemento motivador y que transmite
imagen hacia los clientes de la organización.
• No obstante,
obstante la certificación en sí misma no debe ser un fín.
fín Lo
importante realmente es contar con un sistema de gestión de la
seguridad.

feb-08 26
¿Cuándo certificarse?

• Una vez que estén establecidos los procedimientos de gestión

definidos por ISO 27001, la situación del riesgo sea razonable y
exista un plan de mejora, se está en disposición de certificar el
sistema.
• No es preciso tener un sistema excesivamente maduro para optar
a la certificación
certificación. Se trata de un proceso de mejora continua
continua.
• Una vez que se ha llegado a un cierto nivel en la gestión y en el
estado del riesgo, el ir más allá puede ser costoso, complejo y
dilatado en el tiempo.
tiempo

feb-08 27
Beneficios de contar con un SGSI certificado

• Para la organización:
• Tener la confianza de que la gestión de la seguridad que se realiza
coincide con las mejores prácticas reconocidas internacionalmente
• Garantía de “calidad de la seguridad” gracias a la mejora continua
• Garantía de continuidad del negocio y reducción de riesgos
• Garantía del cumplimiento con la legislación vigente
• Para el negocio:
• Una entidad externa a la organización (Entidad de Certificación)
certifica que el sistema está correctamente implantado
• Aumento del valor comercial y mejora de la imagen frente a clientes y
proveedores
• Diferenciación con respecto a la competencia
feb-08 28
feb-08 29
 www.ingenia.es

SIEMPRE A SU DISPOSICIÓN EN:

MÁLAGA
C/María
C/ í Curie,
C i 9-11.
9
Parque Tecnológico de Andalucía
T.: (34) 952 02 93 00 e-mail: [email protected]

SEVILLA
Isla de la Cartuja. Centro de Empresas Pabellón de
Italia
Avda. Isaac Newton nº4 3ª planta SO
T.: (34) 954 46 04 48 e-mail:
e mail: [email protected]

BARCELONA
C/ Marqués de Sentmenat, 54-4º-2ª
T.: (34) 93 363 56 70 e-mail: [email protected]

feb-08 30