1. Seguridad de la Información Servicios... 4

Transcripción

1 Guía de productos y servicios relacionados con la Seguridad de la Información

2 INDICE DE CONTENIDO 1. Seguridad de la Información Servicios Implantación Sistema de Gestión de Seguridad de información (SGSI) Modelos de Sistema de Gestión Modelos de Marco Normativo Auditoría Interna Planes de formación y concienciación Oficina técnica Revisión y mejora del sistema de gestión Diagnostico diferencial norma ISO FIRMA-E Clientes y referencias

3 1. Seguridad de la Información En el entorno actual, una organización no puede permitirse un incidente de seguridad que le impida su correcto funcionamiento durante días e incluso semanas. La seguridad de la información no debe reducirse a un conjunto de medidas técnicas establecidas en función de la disponibilidad de recursos humanos y económicos, es preciso proteger la información de la organización planificando cada decisión, analizando la rentabilidad de cada inversión, estando seguros que cada decisión es óptima en cuanto a la inversión y al resultado obtenido, todo ello indica que el camino a seguir es gestionar de forma adecuada la seguridad de la información. Para cumplir con este objetivo, se ha publicado el estándar internacional certificable ISO que establece los requisitos para diseñar e implementar Sistemas de Gestión de la Seguridad de la Información (SGSI), contribuyendo de esta manera a minimizar, en la medida de lo posible, los riesgos de los sistemas de información de las organizaciones a través de una gestión eficaz del proceso de seguridad. La construcción de sistemas de gestión basados en la norma ISO sigue el ciclo de mejora PDCA ( Plan, Do, Check, Act ) que se utiliza en los modelos de gestión de calidad. Ilustración. Ciclo de mejora continua En el ámbito de la seguridad de la información, FIRMA-E desarrolla sus actuaciones tomando como base la normativa internacional ISO 27001, 20000, BS 25999,, etc. Los servicios que FIRMA-E pone a disposición de sus clientes, para cubrir sus necesidades de asesoramiento en Seguridad de la información, se agrupan según el siguiente índice: 3

4 2. Servicios 2.1 Implantación Sistema de Gestión de Seguridad de información (SGSI) El objetivo de este servicio es asesorar y guiarle en cada uno de los pasos para implantar un SGSI. El primer paso es definir el ámbito de aplicación de la política del SGSI. Este paso es crítico para identificar los peligros potenciales a los que se enfrenta y decidir una metodología sistemática para evaluar esos riesgos. Una vez realizado, un SGSI apropiado incluye los pasos de implantación, puesta en funcionamiento, revisión, mantenimiento y mejora del sistema descritos en la ISO/IEC Modelos de Sistema de Gestión El objetivo de este servicio es ofrecer modelos de procedimientos para implantar los controles de la parte del sistema de gestión general de la ISO/IEC Esta documentación establece los procedimientos y mecanismo de control que soportan al SGSI, en su creación, implantación, operación, supervisión, revisión, mantenimiento y mejora de la seguridad de la información. 2.3 Modelos de Marco Normativo El objetivo de este servicio es ofrecer un marco normativo que facilite las tareas engorrosas y complejas del proceso de implantación de controles de la ISO/IEC Está constituido por normas y procedimientos de seguridad que minimizan los riesgos que se hayan detectado en el Análisis de riesgos hasta un nivel asumible por la organización. Las normas de seguridad definen qué hay que proteger y los niveles de protección deseados para poder satisfacer y cumplir cada uno de los objetivos de seguridad establecidos en la política. Los procedimientos de seguridad describen de forma concreta cómo proteger lo definido en las normas y las personas o grupos responsables de la implantación, mantenimiento y seguimiento de su nivel de cumplimiento. 4

5 2.4 Auditoría Interna El objetivo de este servicio es la realización de una auditoría interna del SGSI, conforme a la Norma ISO/IEC 27001, para determinar si los objetivos de control, los controles, los procesos y los procedimientos del SGSI cumplen con los requisitos de la norma y de seguridad identificados, así como la legislación y normativa aplicables. 2.5 Planes de formación y concienciación Este servicio ofrece una amplia gama de cursos de concienciación y sensibilización del personal en materia de seguridad de la información, tanto en Sistemas de Gestión de la Seguridad de la información (SGSI) como normas de uso de los sistemas de información que ayudarán a la Organización que sus empleados conozcan mejor su sistemas y las mejores prácticas en materia de seguridad de la información. 2.6 Oficina técnica El objetivo de este servicio es facilitar el apoyo necesario a la organización para la implantación de las medidas necesarias para el cumplimiento de la normativa, así como resolver dudas sobre el cumplimiento legal. Tras la finalización del Servicio de consultoría realizado por Firma-e para la adaptación de la organización en materia de protección de datos personales, se propone un servicio de oficina técnica a través del cual se elaborará un plan de acción para la aplicación de medidas para paliar las deficiencias detectadas o mejorar la protección y control de los tratamientos de información, atendiendo durante un año las consultas que se susciten en relación con la normativa de protección de datos y su aplicación. 2.7 Revisión y mejora del sistema de gestión Este servicio ofrece el apoyo y consultoría sobre propuestas de acciones preventivas y correctivas para subsanar el cierre de las No conformidades detectadas tanto en la auditoría Interna como de certificación. También se encuentra dentro del servicio el apoyo a la asistencia en la auditoría de Certificación por parte de personal cualificado de Firma-e. 5

6 2.8 Diagnostico diferencial norma ISO El servicio tiene como objetivo identificar el estado de las medidas de seguridad del sistema de información de acuerdo al código de buenas prácticas establecido por la ISO y de esta forma identificar los puntos vulnerables del sistema de información de la organización. La norma ISO es un código de buenas prácticas en materia de Seguridad de la Información, que proporciona una guía para seleccionar e implantar controles de seguridad. El objetivo de este servicio es conocer el estado de los controles ya existentes en la organización frente a este estándar. 6

7 3. FIRMA-E FIRMA-e inicia su andadura empresarial en el año 1999, creando un equipo multidisciplinar especializado en el asesoramiento legal, normativo y tecnológico en todos los aspectos relacionados con la gestión de la información. Proporcionamos a nuestros clientes completa confianza en la seguridad, efectividad, validez y funcionalidad de todos los procesos relacionados con el tratamiento del activo más importante de toda organización, su información. Aportamos valor añadido a nuestros servicios y productos como resultado de nuestra amplia experiencia, a través de ideas innovadoras y soluciones eficaces para las organizaciones, actuando como faro para guiarlas en la planificación de los medios necesarios para la consecución de sus objetivos, procurando siempre la completa satisfacción de nuestros clientes. Aplicamos la mejora continua a los servicios que prestamos, lo que nos permite abordar proyectos competitivos que mantienen un completo equilibrio tecnológico - financiero. Prestamos servicios en todo el territorio nacional, combinando recursos presenciales y telemáticos, optimizando así la inversión de nuestros clientes y facilitando una gestión ágil y práctica para la implementación de los servicios y productos contratados. Contamos con el reconocimiento de nuestros clientes y proveedores, Empresas, Administraciones Públicas y Entidades de certificación, que avalan la profesionalidad, competitividad y fiabilidad de nuestro trabajo. 7

8 3.1 Clientes y referencias En el sector público: Centro Regional de Estadística de Murcia En el sector privado: Centro Tecnológico de las Tecnologías de la Información y las Comunicaciones Centro Tecnológico del Mueble y la Madera Centro tecnológico del Metal Confederación comarcal de organizaciones empresariales de Cartagena 8

9 FIRMA PROYECTOS Y FORMACIÓN, S.L. Poeta Vicente Medina, Murcia T F