EL ENS: APLICACIÓN PRÁCTICA

Transcripción

1 JORNADA DIFUSIÓN ENS AMETIC LEÓN, 02 DE JUNIODE EL ENS: APLICACIÓN PRÁCTICA CÓDIGO: FECHA: 02/06/2011 VERSIÓN: 1 CÓDIGO INTERNO: GMVSGI 40087/11 V1/11 GMV SOLUCIONES GLOBALES INTERNET S.A. NO CLASIFICADA El presente documento ha sido clasificado como "Información No Clasificada" dentro del marco del Sistema de Gestión de la Seguridad de la Información (SGSI) de GMV Soluciones Globales Internet. Dicha clasificación permite a su receptor la utilización y difusión de la información contenida en el documento, referenciando la fuente de información y con respeto a los derechos de propiedad intelectual de la fuente, y ello sin perjuicio del cumplimiento de la normativa sobre propiedad intelectual y sobre protección de datos de carácter personal.

2 SOBRE GMV Grupo empresarial multinacional fundado en 1984 De capital privado español Oficinas en España, Portugal, Polonia, EEUU, Alemania, Malasia y Corea. Más de empleados en todo el mundo Origen vinculado al sector Espacio y Defensa Actualmente operamos en Aeronáutica, Espacio, Defensa, Seguridad, Sanidad, Transporte, Telecomunicaciones, y Tecnologías de la Información GMV Aerospace & Defence CMMI Nivel 5 ISO 9001: 2000 UNE-EN 9100:2003 Pecal 160 y 2110 ISO 14001: 2004 GMV Sistemas ISO 9001:2000 GMV Skysoft ISO 9001: 2000 GMV Soluciones Globales Internet IS0 9001:2000 ISO 27001:2005 ISO 20000:2005 ISO 14001: 2004 BS :2007 UNE 71599:2010 Pág. 2

3 ÍNDICE DÓNDE ESTAMOS CON EL ENS? QUÉ SE HA HECHO? LECCIONES APRENDIDAS QUÉ QUEDA POR HACER? CONCLUSIONES Pág. 3

4 IIIª JORNADA DIFUSIÓN ENS AMETIC LEÓN, 2 DE JUNIO DE DÓNDE ESTAMOS CON EL ENS? GMV SOLUCIONES GLOBALES INTERNET S.A. NO CLASIFICADA El presente documento ha sido clasificado como "Información No Clasificada" dentro del marco del Sistema de Gestión de la Seguridad de la Información (SGSI) de GMV Soluciones Globales Internet. Dicha clasificación permite a su receptor la utilización y difusión de la información contenida en el documento, referenciando la fuente de información y con respeto a los derechos de propiedad intelectual de la fuente, y ello sin perjuicio del cumplimiento de la normativa sobre propiedad intelectual y sobre protección de datos de carácter personal.

5 CALENDARIO PREVISTO POR RD 3/2010 ADECUACIÓN ENS FASE I ANÁLISIS DIFERENCIAL DESARROLLO CUERPO NORMATIVO PDSI PLAN DIRECTOR DE SEGURIDAD MANTENIMIENTO ENS (OSI) AUDITORÍA CUMPLIMIENTO ANÁLISIS DE RIESGOS INTEGRACIÓN SGSI GOBIERNO ENS / CUADRO DE MANDOS (OSI) Ley 11/2007 Entrada en vigor Ley 11/2007 Publicación ENS Plan de acción requerido Cumplimiento ENS Junio 2007 Diciembre 2009 SEDE ELECTRÓNICA Enero 2010 DNI-e LSSI / Ley de Firma Electrónica Enero 2011 PLAN DE CONTINGENCIAS / CONTINUIDAD DESPLIEGUE / OPERACIÓN IDS, Avs, DESPLIEGUE CONTROLES Marco Organizativo Marco Operacional Marco de Protección AUDITORÍA TÉCNICA SEDE ELECTRÓNICA... Enero 2014 Pág. 5

6 SITUACIÓN ACTUAL? Pág. 6

7 IIIª JORNADA DIFUSIÓN ENS AMETIC LEÓN, 2 DE JUNIO DE QUÉ SE HA HECHO? GMV SOLUCIONES GLOBALES INTERNET S.A. NO CLASIFICADA El presente documento ha sido clasificado como "Información No Clasificada" dentro del marco del Sistema de Gestión de la Seguridad de la Información (SGSI) de GMV Soluciones Globales Internet. Dicha clasificación permite a su receptor la utilización y difusión de la información contenida en el documento, referenciando la fuente de información y con respeto a los derechos de propiedad intelectual de la fuente, y ello sin perjuicio del cumplimiento de la normativa sobre propiedad intelectual y sobre protección de datos de carácter personal.

8 YA TIENEN IMPLANTADO TODO Pág. 8

9 ESTÁN A LA EXPECTATIVA Pág. 9

10 IMPLANTANDO ISO ISO Más controles Seguridad ENS Mejora Continua Seguridad Integral Gestión de Riesgos Prevención, Reacción, Recuperación Ajuste de Requisitos y Necesidad Líneas defensa y Controles Seguridad Reevaluación Periódica Auditoría Organización Pág. 10

11 YA DEFINIÓ SU PLAN DE ADECUACIÓN Pág. 11

12 IIIª JORNADA DIFUSIÓN ENS AMETIC LEÓN, 2 DE JUNIO DE LECCIONES APRENDIDAS GMV SOLUCIONES GLOBALES INTERNET S.A. NO CLASIFICADA El presente documento ha sido clasificado como "Información No Clasificada" dentro del marco del Sistema de Gestión de la Seguridad de la Información (SGSI) de GMV Soluciones Globales Internet. Dicha clasificación permite a su receptor la utilización y difusión de la información contenida en el documento, referenciando la fuente de información y con respeto a los derechos de propiedad intelectual de la fuente, y ello sin perjuicio del cumplimiento de la normativa sobre propiedad intelectual y sobre protección de datos de carácter personal.

13 GUIAS Y HERRAMIENTAS Pág. 13

14 CASOS DE ÉXITO Pág. 14

15 METODOLOGÍAS Y ESTRATEGIAS IMPRESCINDIBLE Plan de Adecuación al ENS Estrategias Útiles Vista al horizonte, mirada a suelo Trabajo en Fases ENS a plazos Reuso y Consolidación Encadenar Actuaciones Pág. 15

16 APLICABLES POR FASES Clasificación de información 5 dimensiones 3 niveles INFORMACIÓN Información A Información B Información C Información D Confidencialidad Integridad Disponibilidad Autenticidad Trazabilidad Categorización de sistemas INFORMACIÓN InformaciónA Información B Información C Información D Confidencialidad Integridad Disponibilidad Autenticidad Trazabilidad Medidas de seguridad Medidas para cada sistema Análisis de riesgos PLAN DE ADECUACIÓN INFORMACIÓN Información A Información B Información C InformaciónD Sistema 1 X X Sistema 2 X X X Sistema 3 X Sistema 4 X X Sistema 5 X Resultado Resultado Medida 1 Medida 2 Medida 3 Medida 4 Medida 5 Medida 6 Medida 7 Medida 8 Medida 9 Medida 10 Medida 11 Implantación de medidas de seguridad Mantenimiento de las medidas de seguridad + AUDITORIAS Pág. 16

17 Y SOSTENIBLES. Gestión unificada Monitorización Oficina ENS Estandarización Asesoramiento y Soporte Pág. 17

18 FUNDAMENTAL: ANÁLISIS DE RIESGOS Amenaza Riesgos controlados (vs. Riesgos residuales) QUIEN DEBE TOMAR ESTA DECISIÓN? Activo Vulnerabilidad Pág. 18

19 PODEMOS PERMITIRNOS LUJOS? Expectativas Seguridad Expectativas Organización ISO Optimizar inversión ENS Cumplir Mínimos Mejora Continua Cumplir Normativa Coste implantación Coste O&M Beneficios Pág. 19

20 IIIª JORNADA DIFUSIÓN ENS AMETIC LEÓN, 2 DE JUNIO DE QUÉ QUEDA POR HACER? GMV SOLUCIONES GLOBALES INTERNET S.A. NO CLASIFICADA El presente documento ha sido clasificado como "Información No Clasificada" dentro del marco del Sistema de Gestión de la Seguridad de la Información (SGSI) de GMV Soluciones Globales Internet. Dicha clasificación permite a su receptor la utilización y difusión de la información contenida en el documento, referenciando la fuente de información y con respeto a los derechos de propiedad intelectual de la fuente, y ello sin perjuicio del cumplimiento de la normativa sobre propiedad intelectual y sobre protección de datos de carácter personal.

21 EN QUÉ SITUACIÓN ESTOY? Pág. 21

22 IIIª JORNADA DIFUSIÓN ENS AMETIC LEÓN, 2 DE JUNIO DE CONCLUSIONES GMV SOLUCIONES GLOBALES INTERNET S.A. NO CLASIFICADA El presente documento ha sido clasificado como "Información No Clasificada" dentro del marco del Sistema de Gestión de la Seguridad de la Información (SGSI) de GMV Soluciones Globales Internet. Dicha clasificación permite a su receptor la utilización y difusión de la información contenida en el documento, referenciando la fuente de información y con respeto a los derechos de propiedad intelectual de la fuente, y ello sin perjuicio del cumplimiento de la normativa sobre propiedad intelectual y sobre protección de datos de carácter personal.

23 CONCLUSIONES ENS ofrece garantías a los ciudadanos Es una tarea abordable, con el conocimiento necesario Tras la implantación (ahora) vendrá su operación (sin fecha final). Y en la operación están los mayores retornos Pág. 23

24 Pág. 24

25 Gracias Mariano J. Benito Director de Seguridad SOLUCIONES GLOBALES INTERNET S.A GMV Soluciones Globales. DIFUSIÓN LIMITADA Internet NO CLASIFICADA S.A.U. El presente documento ha sido clasificado como "Información No Clasificada" dentro del marco del Sistema de Gestión de la Seguridad de la Información (SGSI) de GMV Soluciones Globales Internet. Dicha clasificación permite a su receptor la utilización y difusión de la información contenida en el documento, referenciando la fuente de información y con respeto a los derechos de propiedad intelectual de la fuente, y ello sin perjuicio del cumplimiento de la normativa sobre propiedad intelectual y sobre protección de datos de carácter personal.