esanidad 2012 Cómo realizar una gestión eficaz en el ámbito sanitario: ISO 27001/ISO e ISO 20000

Transcripción

1 esanidad 2012 Cómo realizar una gestión eficaz en el ámbito sanitario: ISO 27001/ISO e ISO 20000

2 GRUPO AUDISEC: QUIÉNES SOMOS AUDISEC Seguridad de la Información, una empresa dedicada a aportar seguridad a sus clientes en el tratamiento de su activo más importante, sus datos, su información. Experiencia en Consultoría, Implantación y auditoría de: Sistemas de Gestión de Seguridad de la Información (SGSI) Norma ISO (LA MITAD DE LA EMPRESAS CERTIFICADAS EN ESPAÑA) Sistemas de Gestión de Servicios TI Norma ISO (MÁS DE LA MITAD DE LA EMPRESAS CERTIFICADAS EN ESPAÑA) Planes de continuidad de Negocio BS Sistemas de gestión para Protección de Infraestructuras Críticas Calidad de Software, CMMI, SPICE Sistemas de protección de datos de carácter personal (LOPD) Esquema Nacional de Seguridad (ENS) Desarrollo de proyectos de I + D + i Desarrollo de productos para esos servicios:

3 PANORAMA Mayor dependencia de los sistemas = mayor vulnerabilidad Seguridad Calidad del servicio Continuidad del servicio Creciente importancia del tiempo en las respuestas Concienciación ante incremento de catástrofes/acontecimientos Concienciación ante incremento de ataques (Hackers, Ciberterrorismo, espionaje, etc.) Concienciación de efectos de los anteriores en las empresas (Cuantiosos daños económicos, cuantiosos daños a la imagen corporativa, perdida de clientes, responsabilidades civiles o penales, etc.)

4 PANORAMA Normativas nacionales e internacionales: -LOPD -ENS(esquema nacional de seguridad) -LEY DE PROTECCIÓN DE INFRAESTRUCTURAS CRÍTICAS(LPIC) Empresas exigen garantías a sus proveedores. También administración pública. Cumplimiento en cascada (SLA s) Propia CONCIENCIACIÓN de las empresas/entidades

5 Desafío Cuáles son los retos a superar? GARANTIZAR LOS SERVICIOS Asegurar la confidencialidad e integridad de la información Asegurar la disponibilidad del servicio Cumplimiento exhaustivo de la LEGISLACIÓN/NORMATIVAS Ofrecer niveles de gestión más altos = Calidad Asegurar la transferencia del servicio de forma transparente al cliente Aportar una resolución de incidentes rápida, eficaz y eficiente Aportar continuidad a los servicios

6 Solución: Estándares Internacionales Pensemos en un servicio que prestemos

7 Solución: Estándares Internacionales Pensemos en un servicio que prestemos

8 Solución: Estándares Internacionales GENERAR CONFIANZA = REDUCIR RIESGOS Qué debemos ofrecer? Qué debemos exigir?

9 ISO Solución: Estándares Internacionales Qué deberíamos hacer primero? GARANTIZAR SEGURIDAD DEL SERVICIO y los ACTIVOS de los que depende

10 ISO Solución: Estándares Internacionales Una vez asegurada la seguridad del servicio y sus activos. Debemos establecer una correcta GESTIÓN DEL SERVICIO, haciéndolo más EFICAZ y EFICIENTE. ISO 20000

11 ISO Solución: Estándares Internacionales Ya tenemos el servicio asegurado y gestionado. Qué nos falta? Aportar CONTINUIDAD AL SERVICIO Iso 22301/ Bs ISO 20000

12 SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN SGSI (ISO27001) Único estándar INTERNACIONAL relativo a SEGURIDAD DE LA INFORMACIÓN. Objetivo: incrementar la seguridad INTERNA Y EXTERNAMENTE de los servicios de una compañía, con medidas tanto TÉCNICAS como ORGANIZATIVAS. Controles Control de acceso a los sistemas y aplicaciones Control de la red Seguridad Física Gestión de Incidencias Planes de continuidad Seguridad en los RRHH Cumplimiento legal Políticas de seguridad Gestión de activos Análisis de Riesgos Inventario y valoración de activos. Análisis de riesgos TI activo por activo. Plan de tratamiento de riesgos para reducir o eliminar los riesgos que afectan a los activos.

13 SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL ÁMBITO SANITARIO (ISO27799) Norma específica para la gestión de la seguridad de la información en el ámbito sanitario, es la ISO Orientación a las organizaciones sanitarias y a empresas relacionadas con el sector sobre la mejor forma de gestionar la seguridad de la información con la implantación de los controles indicados en la norma ISO Principales amenazas consideradas dentro del ámbito sanitario: Suplantación de identidad. Gestión de proveedores de servicio. Gestión de privilegios en las aplicaciones. Incidencias de disponibilidad. Robos o daños premeditados. Errores humanos.

14 SISTEMAS DE GESTIÓN DE RIESGOS: ISO Análisis y Gestión de los riesgos que afectan a las organizaciones de todo tipo: Legales, Operacionales, Mediambientales, Financieros, TI, etc. Objetivo: Conocerlos, valorarlos y tratarlos. Existe un estándar internacional: ISO31000

15 ESQUEMA NACIONAL DE SEGURIDAD - ENS Persigue el mismo objetivo que ISO 27001, pero ha sido creado única y exclusivamente para ADMINISTRACIONES PÚBLICAS ESPAÑOLAS. Objetivo: aumentar la confianza de los ciudadanos en la E-ADMINISTRACIÓN a través de la articulación de medidas de seguridad, que como en el caso de ISO 27001, van desde las más técnicas hasta las organizativas. e- Administración ENS- SEGURIDAD Ciudadanos

16 SISTEMA DE GESTIÓN DE SERVICIOS- SGS (ITIL - ISO 20000) : Muy relacionada con ITIL, ISO también pretende que los servicios sean gestionados de manera óptima para conseguir que estos sean más EFICACES Y EFICIENTES, partiendo de la base de que los servicios son cada vez más tecnológicos y que es ahí donde hay que mejorar las tareas de gestión.

17 PLANES DE CONTINUIDAD DE NEGOCIO: BS25999 ISO22301 Objetivo principal: asegurar que las organizaciones van a ser capaces de recuperarse en el menor tiempo posible de un desastre, reanudando las actividades en un espacio de tiempo tan corto que el impacto sobre el negocio sea mínimo. Objetivo 2: asegurar la supervivencia de las organizaciones. Continuidad tecnológica, alta disponibilidad, sistemas redundados, planificación de acciones en caso de desastre. Continuidad de RRHH y sedes, planificación de nuevos puestos y lugares de trabajo, comunicación interna y externa. Gestión y pruebas de los planes Continuidad Negocio

18 PROTECCIÓN DE INFRAESTRUCTURAS CRÍTICAS : (UNIÓN EUROPEA) Aúna los conceptos de ISO 27001, BS25999-ISO22301, ISO20000 y algunas particularidades para este tipo de escenarios. Objetivo: garantizar la seguridad y continuidad de las operaciones de aquellos operadores (públicos o privados) considerados como críticos y que en caso de no operar podrían causar un grave perjuicio económico, social, energético, sanitario, logístico, etc. Análisis de Riesgos Seguridad Física Continuidad de Negocio Infraestructuras críticas

19 GlobalSUITE : Solución integrada de Gestión SOLUCIONES DE ÉXITO EN LA IMPLANTACIÓN: GLOBAL SUITE GlobalSUITE Única herramienta que existe actualmente en el mercado mundial que gestiona ÍNTEGRAMENTE la implantación y mantenimiento de cualquier tipo de sistema de gestión GlobalSUITE permite gestionar de manera integrada o bien de manera separada cualquier tipo de sistema de gestión: ISO 27001, ISO 20000, ISO 31000, ISO22301/BS 25999, ENS, PIC, ISO 9001, ISO 14001, OSHAS 18001, LOPD

20 GlobalSUITE : Solución integrada de Gestión GlobalSUITE Es una aplicación que engloba múltiples soluciones para gestionar y mantener los Sistemas de Gestión en las organizaciones de manera integrada. GlobalSGSI Sistemas de gestión de seguridad de la información-sgsi (ISO/IEC 27001) GlobalCONTINUITY Planes de continuidad de negocio (BS25999/ISO ) Global20000 Sistema de gestión de Servicios de TI-SGSTI (ISO/IEC 20000) GlobalSGPIC Sistemas de Protección de Infraestructuras Críticas GlobalRISK Análisis y gestión de riesgos avanzados (ISO31000) GlobalENS Esquema Nacional de Seguridad. (ENS) GlobalBSC Cuadro de Mandos Integral (CMI-BSC) GlobalCOMPLIANCE Cumplimiento normativo GlobalLOPD Sistemas de protección de datos personales GlobalSG Sistemas de gestión de calidad-sgc (ISO 9001) GlobalSG Sistemas de gestión del medio ambiente-sga (ISO 14001) GlobalSG Sistemas de gestión de Seguridad y Salud Laboral-SGSSL (OSHAS 18001) Etc.

21 GlobalSUITE : Solución integrada de Gestión

22 GlobalSUITE : Solución integrada de Gestión HERRAMIENTAS INTEGRADAS: Herramienta para la gestión y mantenimiento de sistemas de calidad y medioambiente (ISO 9001 e ISO 14001). Herramienta para gestionar sistemas de gestión de Seguridad de la Información (ISO 27001) Para empresas TI Global permite la gestión de sistemas de gestión de sus servicios TI ( ISO 20000) Esta herramienta permite gestionar la continuidad de negocio bajo la norma ISO22301 / BS25999.

23 GlobalSUITE : Solución integrada de Gestión HERRAMIENTAS INTEGRADAS: ANÁLISIS Y GESTIÓN DE RIESGOS INTEGRAL aprovechando el motor de AGR avanzado de GlobalSGSI, nos permite analizar y gestionar riesgos, de cualquier tipo (Financieros, legales, operacionales, etc.) con cualquier metodología de análisis, y pudiendo personalizar los catálogos de amenazas, vulnerabilidades, controles, etc. CUMPLIMIENTO LEGAL Y NORMATIVO Gracias a los módulos GAP ANALYSIS y AUDITORÍA se pueden cargar esquemas de leyes, normas o estándares y realizar un análisis diferencial contra el esquema deseado para que luego GlobalCOMPLIANCE genere automáticamente el plan de adecuación.. BALANCED SCORECARD (BSC) Herramienta para la implantación y mantenimiento diario de un Cuadro de Mandos Integral (CMI) que además ayuda al mantenimiento de cualquier sistema de gestión (9001, 14001, 27001, etc.).

24 HERRAMIENTAS INTEGRADAS: GlobalSUITE : Solución integrada de Gestión Dentro de la plataforma también se integran otras herramientas que permiten cumplir con la legislación española y además SON OBLIGATORIOS en Europa y varios países LATAM(integrándose con el resto de sistemas o de manera aislada) Herramienta para que empresas privadas y administraciones públicas puedan adecuarse a la Ley de Protección de Datos Herramienta para la adecuación del Esquema Nacional de Seguridad, obligatorio para Administraciones Públicas Herramienta para la Implantación de Sistemas para la Gestión de la Protección de Infraestructuras Críticas

25 GlobalSGSI.:. Análisis Uno de los puntos más fuertes de GlobalSGSI lo encontramos en la pestaña de Análisis dónde la empresa podrá calcular la importancia de sus activos mediante la realización de un inventario, y posteriormente analizar todas las posibles amenazas a las que esté expuesto el activo gracias al amplio catálogo de amenazas disponible en GlobalSGSI.

26 GlobalSGSI.:. Análisis.:. Gestión de Riesgos En la pestaña de análisis también podrá encontrar la posibilidad de realizar un plan de tratamiento de riesgos a partir de los riesgos obtenidos en la realización del análisis. Esto consistirá en la planificación de una serie de acciones asociados a la implantación de controles con el objetivo de disminuir los riesgos. Para ello, GlobalSGSI proporciona un amplio catálogo de controles para cada una de las amenazas a las que puedan estar expuestos los activos de la organización.

27 GlobalSGSI.:. Análisis.:. Históricos Realice históricos de sus análisis de riesgos y los planes de tratamiento de riesgos de cada año gracias a la opción de GlobalSGSI que permite crear un imagen del estado actual y que sirva de histórico para ver la evolución de los riesgos a lo largo del tiempo.

28 GlobalContinuity.:. Inicio.:. Definición de Actividades GlobalCONTINUITY permite definir el árbol de servicios y procesos que serán objeto de los planes de continuidad de negocio y definir sus grados de dependencia. Con ello pasaremos a definir el alcance del proyecto.

29 GlobalContinuity.:. Análisis.:. BIAs GlobalCONTINUITY permite realizar múltiples BIAs (configurables) sobre un mismo servicio y/o proceso y poder consolidarlos en base a diferentes criterios para poder obtener un único BIA por proceso. Además calcula de manera automática el máximo tiempo admisible de interrupción (MTPD) y asiste a la hora de calcular el RTO y el RPO.

30 GlobalRISK.:. Mapas de Riesgos GlobalRISK permite visualizar en formato mapa de calor o mapa de riesgos los riesgos obtenidos, además de más visualizaciones adicionales.