ANALITICS21 ENCARGADO DE SEGURIDAD INFORMÁTICA Y SOFTWARE DE APOYO. Una Nube de servicios especializados para el futuro

Transcripción

1 Una Nube de servicios especializados para el futuro ANALITICS21 ENCARGADO DE SEGURIDAD INFORMÁTICA Y SOFTWARE DE APOYO EXPERIENCIA E INNOVACIÓN ORIENTADAS A SEGURIDAD DE LA INFORMACIÓN

2 Muchas empresas instalan aisladamente sistemas, software o dispositivos de seguridad, pero sin un verdadero plan armonizado. ANALITICS21 crea con cada cliente su propio Plan Director de Seguridad, dentro del cual se implanta sólo aquello que vaya con los objetivos de negocio y con el Análisis de Riesgos que se realiza con la Dirección de la empresa y nuestra conducción y coordinación de proveedores, personal y objetivos. Un servicio de autoprotección vital para nuestras organizaciones y directivos. ENCARGADO DE SEGURIDAD INFORMÁTICA DE SU ORGANIZACIÓN -y software de apoyo- Toda empresa necesita un responsable de Seguridad de la Información que trabaje para la Dirección y para la empresa en su conjunto. En la actualidad, ANALITICS21 ofrece este novedoso servicio a algunos clientes, y también en colaboración con sus Partners especializados en Seguridad TIC. Ayudar a definir el Plan Director de Seguridad, caminar hacia la creación de un Plan de Gestión de Seguridad de la Información, conducir a la organización al cumplimiento legal preciso, formar al personal clave para crecer en independencia y protección, atender las crisis, conducir la implantación adecuada de sistemas y dispositivos por los proveedores, mantener un inventario de activos, realizar un análisis de riesgos cíclico, definir un plan de continuidad del negocio y optar a una certificación en seguridad son tareas que podemos conducir con eficacia, protegiendo a la empresa en su conjunto y ayudando a la Dirección de un modo especial a controlar su organización y defenderse de amenazas. Y cuando ya un directivo asume el rol de Responsable de Seguridad en su empresa, seremos su apoyo más formidable en todas las tareas que determine para el cumplimiento de la actividad, incluyendo información precisa de amenazas, tendencias y formación. Muchas de estas tareas suponen una cierta coordinación de proveedores en aspectos muy ligados a la seguridad TIC, y un reto en el objetivo de reducir costes. Esta reducción, y la alineación plena de la seguridad con los objetivos del negocio, son elementos clave para el cumplimiento del nuevo servicio que ofrecemos a nuestros clientes.

3 HERRAMIENTAS PROCESO CONTINUO ORIENTADO A ISO ACTIVIDADES Análisis Riesgos Análisis Diferencial Concienciación Formación Análisis de Vulnerabilidades Orientación SGSI Herramienta Firma electrónica/cifrado Informe y definición del plan Inventario y valoración Activos Análisis de Riesgos Informal general Análisis de Riesgos Detallado parcial Análisis Vulnerabilidades Videoconferencias Conocimiento Herramientas Coordinar Proveedores Certificados electrónicos Sede Electrónica Vídeo Conferencia Soft Administración remota Sistema de Backup Online Informe y posible redefinición del plan Informe y posible redefinición del plan Plan de Continuidad del Negocio Simulación PCN Gestión de Riesgos determinados Simulación real Plan de Continuidad del Negocio Apoyo a la Dirección Coordinación Seguridad Informes Coaching Tecnológico Informe y mejoras

4 Elementos de concreción del servicio: Control de inventario desde la perspectiva de ISO Asesoramiento y protección a los directivos de la organización Implantación gradual de los sistemas de apoyo que van con el servicio Análisis de Riesgos con Dirección y proveedores clave Protección preventiva de la organización en caso de ex-empleados, ex-proveedores, ex-socios Esquemas de activos de información, flujos de información y determinación de puntos de riesgo y mejora Control de la Gestión del riesgo (Seguridad perimetral, Virus, Accesos a datos, control documental, movilidad, cumplimiento legal, movilidad, Continuidad del Negocio, robo de información) Orientación a la Gestión de incidencias y tendencia a la calidad formal en seguridad TIC Activación de Backups Online y aporte de sistemas de seguridad incluidos en el servicio (ver esquema anterior) Diseño de un Plan de Gestión de Continuidad del Negocio con Dirección y Proveedores clave Apoyo a Dirección en coordinación de proveedores que asisten a la empresa en informática, comunicaciones, software, desde la perspectiva de seguridad. Asistencia a la Dirección en casos de crisis. Jornadas formativas en sistemas, dispositivos, amenazas y tendencias de protección. Desarrollo de seminarios web basados en sistemas de vídeo conferencia para reducir costes y ver tendencias. Búsqueda y análisis de soluciones y su impacto, incluyendo pruebas y negociación que busca reducción de costes pura Búsqueda de dispositivos y software de gestión eficaces, de coste/prestaciones adecuados a las necesidades del cliente Solución a necesidades de software seguridad y control del negocio Tender a la creación de un SGSI moderno y aprovechar los beneficios que plantea Control de fugas de información y análisis profundo de sucesos en la empresa Reducción de costes merced a la utilización/implantación de sistemas libres o gratuitos en seguridad

5 Tareas previas para el establecimiento del servicio.- Se hace necesario un informe previo que llamamos Análisis Diferencial. Se realizan reuniones con la Dirección e incluso algún proveedor para una correcta definición del ámbito y determinación de la situación en seguridad de la empresa, el nivel de riesgos y situación de madurez, desde el punto de vista de seguridad de la información. Es perfectamente posible que un profesional o empresa quiera obtener el informe Análisis Diferencial previo al servicio, y decidir más adelante si asumen el servicio o no en función del mismo, de su situación y planes de futuro. Los profesionales o empresas que asuman el servicio de Encargado de Seguridad tendrán su Análisis Diferencial dentro del marco de trabajo, del servicio de Encargado de Seguridad Informática y Soft de Apoyo que contratan. Escalado del servicio según tipo de empresa.- Despachos profesionales El coste se plantea igualmente en función de los miembros del Despacho y sus necesidades y siempre analizando si tienen una gestión separada de clientes. En el caso de varios profesionales que trabajan con los mismos clientes, sin separación en la gestión, el coste mensual para el Despacho, tomado como una unidad de negocio sin diferenciaciones, será de 199 mes, con 2h semanales de trabajo del Consultor asignado, dentro del coste de servicio*. Pymes donde la información y seguridad son críticas (Asesorías, clínicas, Laboratorios, Consultoras, Desarrolladoras de Software) El coste es de 299 mes, e incluye además del software de servicio, una asignación de 3 horas semanales por parte del Consultor asignado*. Solamente el software que se implanta tiene un coste de mercado, en modo pago por uso, de cerca de 350 mes. Al estar integrado en el servicio de Encargado de Seguridad, el ahorro es directo desde el primer momento. También puede contratarse el servicio mediante la activación de Bolsa de horas. Esta bolsas de horas, en tramos de 5h, tienen un coste de 250. Una vez completadas las horas tras las sucesivas acciones y trabajos, se activa otra Bolsa, a la que se asignan las siguientes acciones de apoyo, mantenimiento, consultoría, formación, asesoramiento o negociación de precios en ciertos productos de tecnología. (*)En todos los casos se incluye el soporte/mantenimiento del software de apoyo (Sede electrónica Web, Explorador de KSI, -ecofactura y ecoasesoría si disponen de él-). Este servicio, si se toma de modo independiente, tiene un coste 120 mes, pero está incluido en el servicio de Encargado de Seguridad y software de apoyo sin coste adicional.

6 Esquema de líneas generales de acción del servicio propiamente dicho.- Control de seguridad de la información Coordinación Proveedores Informática y Sistemas Información precisa a la Dirección Tender a la creación de un SGSI basado en ISO Apoyo en situaciones de crisis Análisis de Riesgos Búsqueda de soluciones soft y negociación de coste Gestión profesional del Riesgo Administración remota segura Plataforma segura de intercambio y movilidad Inventario de activos actualizado Aporte de sistemas de Firma y cifrado Esquemas de Red y Flujos información Formación a Dirección y personal Control de cumplimiento normativo y legal Video conferencia y seminarios web Ahorro en sistemas y software de seguridad Aporte de sistema de Backup Online Protección ante posibles amenazas a la empresa, como fugas de información Valoración de propuestas de proveedores desde perspectiva Seguridad y eficacia Análisis web, tienda online o estudios de implantación En general aquellas empresas que disponen de información crítica de clientes, sin la cual no podrían continuar con su negocio y actividad, sufren una dependencia de proveedores que los hace prácticamente cautivos, con pocas posibilidades de tomar el control pleno. Es necesario disponer de un marco que resuelva esa problemática, y que haga que las empresas tengan libertad absoluta. Fruto del control absoluto de sus sistemas y seguridad podrán tomar decisiones, con la seguridad de que su negocio e información no dependen de un proveedor concreto. El servicio de ENCARGADO DE SEGURIDAD INFORMATICA Y SOFTWARE DE APOYO no surge para desplazar a proveedores del ámbito de la organización, sino para aportar absoluta independencia y seguridad a la Dirección en cualquier momento y situación.

7 Concreción de actividades que ayudan a entender el servicio.- Creación de un primer informe de diagnóstico sobre situación de la organización en cuanto a seguridad TIC, que en el caso de ser completo llamamos ANALISIS DIFERENCIAL. Creación de un informe periódico de actividad, de coordinación, de avances, logros y problemas. Reuniones con Dirección: tanto para Análisis de Riesgos, Gestión de crisis, evaluación de sucesos, gestión de amenazas, determinación de objetivos, sesiones formativas y de apoyo, sesiones con proveedores de cualquier área, estudio de problemas y soluciones Implantación de plataforma segura de intercambio de información segura, trazabilidad, firma y cifrado Implantación gradual sistemas de firma y cifrado en toda la organización Formación y asesoramiento de los directivos en seguridad TIC (planes, ejecución, seguimiento, soluciones) Implantación de Backup Online como primera aproximación tras análisis y elección de objetivos. Análisis de Riesgos documentado y actualizado. Creación y mantenimiento actualizado de Mapa de activos, esquemas, amenazas, vulnerabilidades y riesgos. Plan de Gestión de Continuidad del Negocio documentado y actualizado. Aseguramiento de dispositivos (USB..), . Estudio y análisis de soluciones de soluciones de acceso remoto y productividad seguras. Encaminamiento hacia la creación de SGSI (ISO 27001) Implantación y formación en video conferencia Conducción y búsqueda de soluciones de bajo coste en sistemas de seguridad (negociación) o gratuitas Apoyo en la evaluación de servicios externos de proveedores Apoyo profesional en la evaluación de soluciones de gestión, web o tiendas online Coaching Tecnológico que permita estar al día en lo fundamental

8 HITOS generales que conducen en el proceso aproximación primer año Proceso anual orientativo inicial Mes1 Mes2 Mes3 Mes4 Mes5 Mes6 Mes7 Mes8 Mes9 Mes10 Mes11 Mes12 Análisis Diferencial Informes trimestrales muestran en los logros, problemas y aspectos relevantes. Muestran evolución, sucesos y sugerencias de acción. Plan Director de Seguridad PDS Plan de Gestión Continuidad Negocio PGC SIMULACIONES Inventario INVENT Análisis de Riesgos Formal AR Reuniones Dirección Implantaciones sistemas seguridad Sede Electrónica Backup Online Firma y Cifrado Vídeo Conf Certificados Herram. SGSI El ANALISIS DIFERENCIAL puede realizarse antes de la activación del servicio de Encargado de Seguridad Informática y Software de Apoyo. No supone que el servicio vaya a ser contratado, pero sí un estudio neutral de la situación en cuanto a Seguridad TIC de la organización. Tiene un coste específico, salvo para quien contrate el servicio de Encargado de Seguridad. Este informe puede ser solicitado por las empresas y profesionales para tener un informe profesional de su situación, que aporta los elementos fundamentales de la situación, pautas y sugerencias de mejora, al margen del propio servicio. Los profesionales y empresas que deseen este informe profesional neutral lo podrán obtener a un coste de 500 euros, y para su realización se recabará información específica a los actuales proveedores de informática y comunicaciones.

9 El camino hacia un SGSI: Hacia un Sistema de Gestión de la Seguridad de la Información Queremos mejorar contigo