Mejora de la Seguridad de la

Informacin para las Pymes Espaolas

Noviembre 2010

Objetivos

Los objetivos de esta jornada de presentacin a las Empresas

participantes en PYMESecurity son:

Presentar la organizacin del Programa

Definir la metodologa de trabajo

Establecer las actividades que debern realizar las PYMES

participantes

Exponer el esquema de financiacin

ndice

Objetivos
Modelo operativo
Organizacin
Fases del proyecto
Calendario
Estructura econmica

Objetivos del proyecto

La finalidad de PYMESecurity es promover entre las Pymes espaolas un sistema

TIC seguro, como medio para consolidar y avanzar en la Sociedad de la
Informacin, aprovechando la experiencia atesorada en la primera y segunda
edicin de PYMESECURITY.

Este programa se disea como un programa agrupado e integral, que facilita a la

empresa participante todos los servicios necesarios para implantar un Sistema de
Gestin de Seguridad de la Informacin (en adelante, SGSI), de acuerdo con la
norma UNE ISO/IEC 27001:2007, y su posterior certificacin.

Los objetivos secundarios, dirigidos a la consecucin del principal, planteados

para este proyecto son:

Sensibilizar, concienciar y comunicar a las PYMES acerca de las ventajas y

beneficios derivados de la mejora de la gestin de la seguridad

Formar al personal de las empresas participantes en los procesos y

herramientas establecidos durante la implantacin de los controles derivados
de la norma de referencia, para crear una nueva competencia interna
4

Beneficios para la empresa

Mejora la seguridad de los sistemas de informacin
empresariales (Confidencialidad, Integridad y
Disponibilidad de la Informacin).

La implantacin y certificacin de un SGSI basado en

la norma UNE EN/ISO 27001:2007 aporta ventajas de
reconocimiento de sus clientes y partners.

La norma de buenas prcticas UNE EN/ISO 27002:2009

explica los controles aplicables al SGSI, entre ellos,
cumplir con la legislacin aplicable: LOPD, LSSI,
propiedad intelectual, etc.

Preparacin ante incidentes de gravedad que puedan

parar el negocio.

Modelo operativo
El modelo operativo del Programa, para lograr el xito de la consecucin de los
objetivos de PYMESECURITY, se fundamenta en las premisas siguientes:

Estandarizacin y simplificacin de procesos y productos a generar

Metodologa unificada de implantacin de un SGSI
Tipificacin de empresas y controles a implantar
Direccin y coordinacin centralizada

Herramientas comunes de gestin del proyecto

Seguimiento y control de plazos, logros y presupuesto
Soporte continuo a las consultoras de implantacin
Alineacin con requisitos de certificacin de la entidad certificadora

Modelo operativo

Direccin

Oficina
Tcnica

Consultoras

PYMES

Formacin
especfica

Implantacin SGSI

Certificadora

Herramienta

Supervisin y
seguimiento

Formacin agrupada
Coordinacin
certificaciones

Documentacin
administrativa

Justificacin
econmica

Control y reporting

Consultora de
implantacin

Seguimiento y
resolucin de
incidencias
Control de
satisfaccin

Coordinacin
con
asociaciones
participantes

Coordinacin

Incidencias
Incidencias

Auditora

Auditorias

Coordinacin con
consultores

Asistencia a la
certificacin

Certificacin

Organizacin

La organizacin de PYMESURITY seguir un modelo de gestin cuya direccin y

coordinacin esta encomendada a ETICOM, que dispondr de una Oficina de
Proyecto que se encargar de la gestin de todos los aspectos tcnicos del
proyecto

La Oficina de Proyecto desempear las funciones siguientes:

Direccin Tcnica del proyecto, asegurando la estandarizacin y

homogeneidad de todos los procesos y productos de la implantacin del SGSI
en cada una de las PYMES participantes

Centro de Atencin a Usuarios, apoyando a las consultoras colaboradoras en

el proyecto en la planificacin y control de sus tareas, as como a las PYMES
participantes en la resolucin de cualquier incidencia

Oficina Tcnica
Direccin Tcnica

Estandarizacin de procesos y productos de implantacin del SGSI

Administracin de la herramienta de planificacin y gestin del proyecto
Establecimiento Plan actuacin y lneas de trabajo a desarrollar
Coordinacin con la empresa Consultora y la Entidad de Certificacin
Aseguramiento de la calidad de los productos y del servicio a participantes
Formacin agrupada
Auditoras

Centro de Atencin a Usuarios

Apoyo a los equipos de consultores del proyecto ante eventualidades

Seguimiento de incidencias
Atencin a la Web del proyecto
Lnea 900

Oficina Tcnica
Las siguientes herramientas son las utilizadas en el proyecto:

Herramienta
AGGIL

Se utilizar la herramienta AGGIL para la

gestin del proyecto, registro de incidencias y
apoyo en la implantacin en cada una de las
empresas participantes. La herramienta estar
disponible va Web para la Oficina Tcnica del
proyecto, consultora y PYMES participantes.

Satisfaccin
del cliente

Se utilizara como herramienta para determinar

el nivel de satisfaccin y el nivel de servicio
que se este brindando a las PYMES de manera
peridica.

10

Fases

Lanzamiento
del programa

Evaluacin
inicial

Implantacin
SGSI

Validacin
SGSI

Certificacin

Formacin inicial agrupada a PYMES participantes

Criterios y estndares para formacin de PYMES
Puesta en operacin herramientas de gestin de proyecto y de
incidencias

11

Fases

Apoyo del software AGGIL

Anlisis de
vulnerabilidades
tcnicas

Anlisis de
Riesgos

Software de
gestin

Plan de
tratamiento
de Riesgos

Implantacin
SGSI y
controles

Cumplimiento de
la LOPD

12

Auditoria
y Certificacin

Fases

Lanzamiento
del programa

Implantacin
SGSI

Evaluacin inicial

Validacin
SGSI

Certificacin

La consultora evaluar el estado actual de la seguridad de la

informacin de las empresas.
Se constituir el Comit de Seguridad de la Informacin.
Formacin inicial agrupada
Realizacin del Anlisis de Riesgos.
Establecimiento y aprobacin del Plan de Seguridad de la
Informacin.
Aprobacin del Plan de Formacin del Personal.
Aprobacin de la Poltica de Seguridad.

13

Evaluacin inicial y plan de seguridad

En esta fase se realizarn las siguientes actividades:

Establecimiento del alcance del sistema.

Anlisis diferencial del estado actual de la empresa respecto a las norma de referencia.

14

Evaluacin inicial y plan de seguridad

Se formalizar el comit de seguridad de la PYME, generando un documento en el que se

desarrollen, al menos, los siguientes puntos:

Integrantes y periodicidad de reunin del comit

Funciones del comit

Funciones y perfil de los roles de la empresa que tengan algn tipo de responsabilidad con la
seguridad. Al menos se deben definir para el Responsable del SGSI y para el auditor interno.

Se establecer un Plan Director de Seguridad para la PYME que parte de la situacin inicial identificada
en el anlisis diferencial y desarrolla las actividades a realizar conforme a la implantacin del SGSI.

En l se detallarn todas las actividades que conllevarn a la implantacin y

certificacin del sistema, indicando los recursos, responsabilidades y tiempos para cada fase
del proyecto.

Se establecer y aprobar la poltica de seguridad que regir toda la normativa de seguridad

de la PYME.
Se generar un documento que defina los objetivos y requisitos de seguridad de la empresa. Deber
contener una orientacin general sobre las directrices y principios de actuacin en relacin con la seguridad
de la informacin. Debe ser aprobado formalmente por la direccin.

15

Evaluacin inicial y plan de seguridad

Se establecer un plan de formacin, en materia de seguridad, con las siguientes

actividades:

Formacin especfica para los empleados identificados de la empresa que vayan a estar implicados en
la gestin del SGSI.

Sesiones de concienciacin necesarias para difundir el SGSI a todos los empleados. Incluyendo las
obligaciones y funciones del personal con respecto a la poltica de seguridad establecida.

Formacin tcnica para los responsables de la implantacin y mantenimiento de controles.

Se realizar un completo anlisis de riesgos que incluya:

Documento con la metodologa del anlisis. Debe incluir los criterios de valoracin que se han utilizado
a lo largo de todo el anlisis, as como los criterios para la aceptacin del riesgo.

Identificacin y valoracin de todos los activos relevantes que participen en el alcance definido.

Identificacin de amenazas, vulnerabilidades e impactos que afectan a los activos identificados.

Clculo de los valores de riesgo de la entidad. Debe calcularse el riesgo intrnseco (sin controles
aplicados) y el riesgo efectivo (considerando los controles que tenga implantados la empresa en el
momento del anlisis).

Establecimiento del nivel de riesgo asumible.

16

Evaluacin inicial y plan de seguridad

Para gestionar los riesgos no asumibles obtenidos se realizar una seleccin de

controles de la norma ISO/IEC 27002 y se establecer un plan de tratamiento
con el objetivo de mitigar los riesgos. Este plan debe contener los siguientes
puntos:

Actividades a realizar

Recursos necesarios

Responsabilidades

Prioridades

Se elaborar la declaracin de aplicabilidad que contenga para cada control de

la norma 27002, la siguiente informacin:

Justificacin de la aplicabilidad o no aplicabilidad del control.

Grado de implementacin de los controles.

Trazabilidad de los controles con la documentacin donde se desarrollen las actividades

relacionadas con el control.

17

Evaluacin inicial y plan de seguridad

Productos
Los productos a generar en esta fase sern los siguientes:
1.

Documento del Alcance del sistema.

2.

Informe del anlisis diferencial

3.

Documento y actas del comit de seguridad

4.

Plan Director de Seguridad

5.

Poltica de seguridad de la informacin

6.

Plan de formacin

7.

Metodologa del anlisis de riesgos

8.

Informe del anlisis de riesgos

9.

Plan de tratamiento de riesgos

10. Declaracin de aplicabilidad

18

Evaluacin inicial y plan de seguridad

La herramienta AGGIL como software de apoyo para el anlisis de riesgos.

19

Fases
Lanzamiento
del programa

1.
2.
3.
4.

Evaluacin
inicial

Implantacin SGSI

Validacin
SGSI

Implantacin de los controles seleccionados.

Despliegue del SGSI.
Formacin del personal.
Resolucin de incidencias.

20

Certificacin

Implantacin SGSI
Actividades
Durante esta fase las actividades a realizar son:

Implantacin de los controles seleccionados de acuerdo con el plan para el

tratamiento de riesgos establecido.

Imparticin de formacin a los empleados de las PYMES, tanto de

concienciacin como especfica a los gestores del SGSI o a los encargados del
funcionamiento de los controles a implantar.

Establecer un cuadro de mando de mtricas e indicadores que sirvan para

evaluar la eficacia de los controles implantados.

21

Implantacin SGSI
Productos

Los productos a generar en esta fase sern los siguientes:

1.

Procedimientos, instrucciones tcnicas o manuales

generados como consecuencia de la implantacin de
los controles planificados.

2.

Formacin especfica de los empleados y

concienciacin

3.

Cuadro de mando de mtricas e indicadores

22

Implantacin SGSI
La herramienta AGIL como software de apoyo para la implantacin de controles.

23

Fases
Lanzamiento
del programa

Evaluacin
inicial

Implantacin
SGSI

Validacin
SGSI

1. Seguimiento de la Implantacin del SGSI:

Validacin de la estructura de Seguridad
Validacin de Polticas y Directivas de Seguridad
Auditora Interna
2. Gestin de incidencias
3. Revisin por Direccin del SGSI

24

Certificacin

Validacin del SGSI

Actividades
Durante esta fase las actividades a realizar son:

Validacin y aprobacin de la estructura de seguridad creada y las normas y

procedimientos establecidos para los controles seleccionados.

Realizacin de la una auditora interna, que revise la situacin de la empresa

con respecto a las normas de referencia.

La auditora debe realizarse por un auditor independiente, que no haya

participado en la creacin e implantacin del SGSI.

Se documentar el procedimiento en el que se describa la metodologa y los

criterios a seguir en la realizacin de la auditora.

Se generar un informe que debe contener los siguientes puntos:

Actividades de revisin realizadas para los puntos de la norma UNE ISO/IEC 27001.

Pruebas de cumplimiento realizadas para cada control revisado de la norma

ISO/IEC 27002.

Desviaciones encontradas.
25

Validacin del SGSI

Actividades

Gestin de las acciones correctivas y de mejora.

Se generar un procedimiento que desarrolle la gestin de las no conformidades del

sistema, as como de las acciones correctivas y preventivas que se realicen.

El registro de acciones correctoras debe contener los siguientes campos:

Descripcin de la no conformidad con fecha de deteccin

Causa de la no conformidad

Descripcin de la accin correctiva

Responsable de la implantacin

Evidencias o registros de la implantacin

Revisin/valoracin de la accin implantada

Responsable y fecha de la verificacin

Revisin del SGSI por Direccin.

Se documentar el procedimiento que desarrolle la revisin del sistema por parte de

Direccin. Es necesario generar evidencias de la realizacin de esta revisin, por
ejemplo: informes, actas, etc.

26

Validacin del SGSI

Productos
Los productos a generar en esta fase sern los siguientes:

Procedimiento e informe de la auditora interna

realizada por un auditor independiente en la
implantacin del SGSI de la empresa.

Procedimiento de gestin y registro de las no

conformidades y acciones correctivas y preventivas.

Procedimiento y registro de la realizacin de la

revisin por direccin.

27

Fases
Lanzamiento
del programa

Evaluacin
inicial

Implantacin
SGSI

Validacin
SGSI

Certificacin

1. Coordinacin de Auditoras de Certificacin (Externas)

2. Seguimiento Auditorias Externas
Fase 1
Fase 2
3. Plan de Acciones Correctivas
4. Emisin de Certificados

28

Certificacin
La certificacin consta de las siguientes fases:

Fase I: Anlisis de la documentacin y visita previa

Fase II: Auditora

Durante estas fases las consultoras darn apoyo presencial a la PYME. As mismo,
se les asesorar para que realicen el plan de acciones correctivas resultante de la
fase II.

29

Calendario
CALENDARIO
TAREAS

2010

2011

S O N D E F M A M J J A S O N D

FASE I. Lanzamiento
FASE II. Evaluacin Inicial

FASE III. Implantacin

SGSI
FASE IV. Seguimiento
Validacin SGSI
FASE V. Certificacin
30

Esfuerzo
Consultor:
Soporte en la empresa y en remoto hasta la auditora de certificacin.
Colaboracin va software AGGIL.

Empresa:
Dedicacin mnima de 1 persona al 15% durante la duracin del proyecto.
Compromiso de la direccin
Conocimiento por parte de todo el equipo de la parte del SGSI que le afecta

31

Estructura econmica
PYMESECURITY
- Presupuesto del proyecto= 14.580
- Cofinanciacin de la PYME: 4.500

FECHA EMISIN FACTURA

FECHA PAGO FACTURA

FACTURAS

CUANTA
4.500,00

1 PAGO PARCIAL

1 Quincena Enero 2011

2 Quincena Enero 2011

2.500,00

2 PAGO PARCIAL

1 Quincena Marzo 2011

2 Quincena Marzo 2011

2.000,00

EL RESTO DE PAGOS SE FACTURARN A NOMBRE DE CONETIC, QUE COMO ENTIDAD

SOLICITANTE SUFRAGAR EL RESTO DE PAGOS CON LA SUBVENCIN DEL PROYECTO,
QUE ESTE AO SE CONCEDE, EXCLUSIVAMENTE, AL ORGANISMO SOLICITANTE

32

33