CUMPLIMIENTO LEGAL Y GESTIÓN DE LA SEGURIDAD

Transcripción

1 CUMPLIMIENTO LEGAL Y GESTIÓN DE LA SEGURIDAD CÓDIGO: FECHA: 22/11/2006 VERSIÓN: 1 CÓDIGO INTERNO: SGISA 4033/06 GMV SOLUCIONES GLOBALES INTERNET S.A. INFORMACIÓN NO CLASIFICADA El presente documento ha sido clasificado como "Información No Clasificada" dentro del marco del Sistema de Gestión de la Seguridad de la Información (SGSI) de GMV-SGI. Dicha clasificación permite a su receptor la utilización y difusión de la información contenida en el documento con respeto a los derechos de propiedad intelectual de la fuente y referencia a la misma, y ello sin perjuicio del cumplimiento de la normativa sobre propiedad intelectual y sobre protección de datos de carácter personal.

2 CONTENIDO 1. GMV Soluciones Globales Internet 2. Las AAPP y la Seguridad Hoy 3. Cumplimiento de la Normativa Legal Vigente (LOPD) 4. Modelos de Gestión de Servicios IT (ITIL) 5. Sistemas de Gestión de la Seguridad de la Información (SGSI) 6. Conclusiones Pág. 2

3 GMV SOLUCIONES GLOBALES INTERNET GMV SOLUCIONES GLOBALES INTERNET S.A. INFORMACIÓN NO CLASIFICADA NO CLASIFICADA El presente documento ha sido clasificado como "Información No Clasificada" dentro del marco del Sistema de Gestión de la Seguridad de la Información (SGSI) de GMV-SGI. Dicha clasificación permite a su receptor la utilización y difusión de la información contenida en el documento con respeto a los derechos de propiedad intelectual de la fuente y referencia a la misma, y ello sin perjuicio del cumplimiento de la normativa sobre propiedad intelectual y sobre protección de datos de carácter personal.

4 GMV SOLUCIONES GLOBALES INTERNET Servicios TIC Desarrollo Seguridad 1. Planificación de Seguridad Definición de Políticas y Procedimientos Realización de Análisis de Riesgos Soporte a la Certificación de SGSIs Modelo de Gestión de Servicios IT (ITIL) Marco de Control para Gobierno IT (CObIT) Implantación de Cuadros de Mando de Seguridad Auditorías de estado LOPD 2. Infraestructuras de Seguridad Diseño de Arquitecturas Seguras Implantación de Soluciones de Seguridad 3. Operación de la Seguridad Implantación y O&M 7*24 (basado en ITIL) Servicios Gestionados de Seguridad Pág. 4

5 GMV SOLUCIONES GLOBALES INTERNET GMV Soluciones Globales Internet tiene entre sus empleados personal con diversas acreditaciones de Seguridad GMV Soluciones Globales Internet dispone de certificación en los siguientes Sistemas de Gestión ER-0023/2003 CGM-03/465 Pág. 5

6 INTRODUCCIÓN GMV SOLUCIONES GLOBALES INTERNET S.A. INFORMACIÓN NO CLASIFICADA NO CLASIFICADA El presente documento ha sido clasificado como "Información No Clasificada" dentro del marco del Sistema de Gestión de la Seguridad de la Información (SGSI) de GMV-SGI. Dicha clasificación permite a su receptor la utilización y difusión de la información contenida en el documento con respeto a los derechos de propiedad intelectual de la fuente y referencia a la misma, y ello sin perjuicio del cumplimiento de la normativa sobre propiedad intelectual y sobre protección de datos de carácter personal.

7 LAS AAPP Y LA SEGURIDAD HOY La Administración Pública ofrece cada día un mayor número de servicios y de mayor relevancia a través de los sistemas telemáticos Incorpora a sus Sistemas de Información una mayor cantidad de datos sensibles y en ocasiones de carácter personal Proporciona a la sociedad el valor añadido que aporta las Tecnologías de la Información Esta evolución de los Servicios debe tener tres implicaciones claras para la Administración Evolucionar el sistema de gestión de los servicios para garantizar su calidad Optimizar y adecuar los costes asociados a los recursos empleados Ejemplificar promoviendo confianza a los ciudadanos y a los empresarios En nuestra experiencia, para cubrir estas implicaciones las AAPP deberían considerar las siguientes líneas de acción: Nuevo Reglamento de Medidas de Seguridad (LOPD) -> Antes de finales 2006 Metodologías y Modelos de Gestión IT como -> ITIL / ISO Normativas Certificables para el establecimiento de SGSIs -> ISO Pág. 7

8 CUMPLIMIENTO DE LA NORMATIVA LEGAL VIGENTE (LOPD) GMV SOLUCIONES GLOBALES INTERNET S.A. INFORMACIÓN NO CLASIFICADA NO CLASIFICADA El presente documento ha sido clasificado como "Información No Clasificada" dentro del marco del Sistema de Gestión de la Seguridad de la Información (SGSI) de GMV-SGI. Dicha clasificación permite a su receptor la utilización y difusión de la información contenida en el documento con respeto a los derechos de propiedad intelectual de la fuente y referencia a la misma, y ello sin perjuicio del cumplimiento de la normativa sobre propiedad intelectual y sobre protección de datos de carácter personal.

9 LEY ORGÁNICA DE PROTECCIÓN DE DATOS La LOPD es una iniciativa propia de las AAPP para velar por los derechos fundamentales de los ciudadanos Es una garantía de calidad que pretende favorecer y potenciar las relaciones comerciales: sector público-sector privado, sector privado-sector privado Histórico: Ley Orgánica 5/1992 de 29 de Octubre (LORTAD) - Estatal Real Decreto 994/1999 de 11 de Junio (RMS) - Estatal Ley Orgánica 15/1999 de 13 de Diciembre (LOPD) Estatal Tanto el ámbito Público como el Privado necesitan de nuevo reglamento (previsiblemente, antes de fin de año) Vocación de crear un marco unificado y elaborar una regulación clara minimizándose las diferencias interpretativas Pág. 9

10 ALGUNAS DIFERENCIAS EN EL REGLAMENTO Nivel Básico Alcance Concepto Gestión de soportes Copias de respaldo Todo fichero que contenga datos de carácter personal No lo contempla Como mínimo semanalmente Anterior reglamento Nivel Medio Nuevo reglamento + Datos de nivel alto que se traten únicamente con la finalidad de efectuar la gestión de obligaciones por el retenedor o para la transferencia dineraria a las entidades de las que los afectados sean asociados o miembros Destrucción/Borrado siempre que se deseche Cada 6 meses para comprobación y verificación Concepto Alcance Gestión de soportes Registro de accesos Auditoría Concepto Alcance Comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros y prestación de servicios de solvencia y crédito No se especifica No aplica (Sólo nivel alto) Anterior reglamento Obligatoria bianual para nivel alto y medio Nivel Alto Anterior reglamento Ideología, religión, creencias, origen racial, salud o vida sexual y los recabados con fines policiales sin el consentimiento del interesado Nuevo reglamento + Menores de 14 años y violencia de género sin agresión física Dispositivos portátiles: cifrado siempre que salgan de la Organización Aplica también a nivel medio + Obligación de notificar a la AEPD la fecha del informe de auditoría y si es externa o interna Nuevo reglamento + Violencia de género con agresión física, tráfico-localización (operadoras) y datos para la generación de certificados digitales Pág. 10

11 EL NUEVO REGLAMENTO DE MEDIDAS DE SEGURIDAD Fuerza unos requisitos mínimos para la seguridad de la información a lo largo del ciclo documental en Papel Sirviendo de ejemplo para la sociedad: Garantizan la confianza del ciudadano para poder aportar valor Equilibrio entre el derecho a la protección de datos y el derecho a la libre empresa Mayor garantía de seguridad para los ciudadanos Esclarecimiento de competencias estatales y autonómicas Mayor hincapié en la función de auditoría Es una buena oportunidad para revisar los aspectos fundamentales en materia de protección de datos El que no prevé las cosas lejanas se expone a próximas desgracias Confucio Pág. 11

12 MODELOS DE GESTIÓN DE SERVICIOS IT (ITIL) GMV SOLUCIONES GLOBALES INTERNET S.A. INFORMACIÓN NO CLASIFICADA NO CLASIFICADA El presente documento ha sido clasificado como "Información No Clasificada" dentro del marco del Sistema de Gestión de la Seguridad de la Información (SGSI) de GMV-SGI. Dicha clasificación permite a su receptor la utilización y difusión de la información contenida en el documento con respeto a los derechos de propiedad intelectual de la fuente y referencia a la misma, y ello sin perjuicio del cumplimiento de la normativa sobre propiedad intelectual y sobre protección de datos de carácter personal.

13 EVOLUCIÓN DE LA FUNCIÓN IT Valor de la Función IT Gestión de infraestructuras Gestión de Servicios IT Gobierno IT Proveedor de HW y SW Proveedor de Servicios Socio Comercial Mayor eficiencia Soluciones Tecnológicas Gestión y control de la infraestructura y de los datos gestionados por la misma (CMDB) Mayores niveles de eficiencia IT está todavía separado de la organización Presupuestos IT como algo añadido IT como gasto a controlar Los gestores de IT son técnicos expertos IT es gestionada por Acuerdos a Nivel de Servicios: niveles de calidad y coste acordados Definición del catálogo de servicios demandado por los clientes Se trata de evitar el comportamiento reactivo El control empresarial se extiende también a IT: Cuadros de mando IT Presupuestos IT como parte de los planes estratégicos. IT como inversión a gestionar. Abarca de forma global a IT. Capacidad para demostrar que IT es valiosa para la Organización. Mayor adaptación a las leyes y regulaciones. La suerte no existe, lo que usted llama suerte, es la atención a los detalles Winston Churchill Pág. 13

14 INFORMATION TECHNOLOGY INFRAESTRUCTURE LIBRARY (ITIL) Es un estándar de Gestión de Servicios IT que propone un marco de procesos y mejores prácticas para incrementar la eficiencia y eficacia ITIL contribuye a la Seguridad de la Información Permite el uso eficaz y eficiente de los recursos IT Proporciona un marco de procesos estandarizados para la realización de actividades propias de los Departamentos de IT Vela por el control de la Confidencialidad, Integridad y Disponibilidad de la información Permite el establecimiento y seguimiento de SLAs Se puede proyectar contra la ISO 17799:2005 ISO dice QUÉ mientras que ITIL propone el CÓMO Pág. 14

15 SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI) GMV SOLUCIONES GLOBALES INTERNET S.A. INFORMACIÓN NO CLASIFICADA NO CLASIFICADA El presente documento ha sido clasificado como "Información No Clasificada" dentro del marco del Sistema de Gestión de la Seguridad de la Información (SGSI) de GMV-SGI. Dicha clasificación permite a su receptor la utilización y difusión de la información contenida en el documento con respeto a los derechos de propiedad intelectual de la fuente y referencia a la misma, y ello sin perjuicio del cumplimiento de la normativa sobre propiedad intelectual y sobre protección de datos de carácter personal.

16 SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ISO Único estándar internacionalmente aceptado para la Gestión de la Seguridad de la Información La gestión de riesgos sobre el negocio es la piedra angular: Perdida de imagen y credibilidad Pérdidas económicas y financieras La certificación tiene carácter estratégico y proporciona un importante grado de confianza en la ciudadanía Hay una pasión superior a todas y es la satisfacción interior por el bien que hacemos a los otros René Descartes Pág. 16

17 SGSI - PDCA Definir alcance Definir Política de Seguridad Definir metodología de evaluación de riesgos PLANIFICAR Propuestas de mejora Acciones correctivas Acciones preventivas ACTUAR HACER Definir un plan de tratamiento de riesgos Controles ISO Otros controles discreccionales VERIFICAR Auditoria interna, registros, indicadores Pág. 17

18 CONCLUSIONES GMV SOLUCIONES GLOBALES INTERNET S.A. INFORMACIÓN NO CLASIFICADA NO CLASIFICADA El presente documento ha sido clasificado como "Información No Clasificada" dentro del marco del Sistema de Gestión de la Seguridad de la Información (SGSI) de GMV-SGI. Dicha clasificación permite a su receptor la utilización y difusión de la información contenida en el documento con respeto a los derechos de propiedad intelectual de la fuente y referencia a la misma, y ello sin perjuicio del cumplimiento de la normativa sobre propiedad intelectual y sobre protección de datos de carácter personal.

19 CONCLUSIONES Los niveles de exigencia en cuanto a calidad, optimización de costes y cumplimiento normativo son cada día mayores La Administración Pública dispone de la oportunidad de potenciar la confianza de los ciudadanos y empresas mediante el incremento en la eficiencia, la calidad de servicio y el cumplimiento normativo legal vigente Asegurar el cumplimiento normativo: Nuevo Reglamento de Medidas de Seguridad Dotarse de mecanismos para aumentar la eficacia y la eficiencia de las actividades de los Departamentos IT: ITIL / ISO Dotarse de mecanismos para aumentar la seguridad de sus sistemas: SGSI / ISO Suerte es lo que sucede cuando la preparación y la oportunidad de encuentran y se fusionan Voltaire Pág. 19

20 Gracias Pedro López Peña Director de Operaciones GMV Soluciones Globales Internet, S.A GMV SOLUCIONES GLOBALES INTERNET S.A. INFORMACIÓN NO CLASIFICADA NO CLASIFICADA El presente documento ha sido clasificado como "Información No Clasificada" dentro del marco del Sistema de Gestión de la Seguridad de la Información (SGSI) de GMV-SGI. Dicha clasificación permite a su receptor la utilización y difusión de la información contenida en el documento con respeto a los derechos de propiedad intelectual de la fuente y referencia a la misma, y ello sin perjuicio del cumplimiento de la normativa sobre propiedad intelectual y sobre protección de datos de carácter personal.