LPIC, PSO, PPE, BIA, AGR, Por qué no más sencillo? Gestión integral e integrada de todos estos sistemas. Global SGPIC

Transcripción

1 LPIC, PSO, PPE, BIA, AGR, Por qué no más sencillo? Gestión integral e integrada de todos estos sistemas. Global SGPIC Alejandro Delgado, Director de Proyectos

2 INDICE 1. Audisec 2. LPIC: oportunidad 3. Complejidad 4. Estándares internacionales 5. Grandes Beneficios 6. IC en sector financiero 7. Problemas encontrados 8. Soluciones

3 AUDISEC: QUIÉNES SOMOS AUDISEC Seguridad de la Información, una empresa dedicada a aportar seguridad a sus clientes en el tratamiento de su activo más importante, sus datos, su información. Experiencia en Consultoría, Implantación y auditoría de: Sistemas de Gestión de Seguridad de la Información (SGSI) ISO (LA MITAD DE LA EMPRESAS CERTIFICADAS EN ESPAÑA) Sistemas de Gestión de Servicios TI ISO (MÁS DE LA MITAD DE LA EMPRESAS CERTIFICADAS EN ESPAÑA) Planes de continuidad de Negocio ISO Sistemas de gestión para Protección de Infraestructuras Críticas Calidad de Software, CMMI, SPICE Sistemas de protección de datos de carácter personal (LOPD) Esquema Nacional de Seguridad (ENS) Desarrollo de proyectos de I + D + i Desarrollo de productos para esos servicios: GlobalSUITE

4 AUDISEC: QUIÉNES SOMOS Primera empresa en España en obtener: La certificación ISO > seguridad. La certificación ISO > gestión eficaz y eficiente. La certificación ISO > continuidad y disponibilidad. Señal de garantía a nuestros clientes.

5 Introducción Qué es la Ley de Protección de Infraestructuras Críticas? Qué es el PPE? Qué es el PSO? Qué es un BIA? Qué es un AGR? Qué es un BCP? Qué es un DRP?

6 Introducción Qué es la Ley de Protección de Infraestructuras Críticas? Qué es el PPE? Qué es el PSO? Qué es un BIA? Qué es un AGR? Qué es un BCP? Qué es un DRP?

7 LPIC: Oportunidad ES UNA OPORTUNIDAD Es una oportunidad de acometer esos proyectos que siempre están encima de la mesa pero que nunca se hacen; LPIC es la excusa perfecta. Se abordan a la vez diferentes aspectos. Se habla de negocio y tecnología.

8 LPIC: Oportunidad ES UNA OPORTUNIDAD Seguridad Continuidad Gestión

9 LPIC: Oportunidad ES UNA OPORTUNIDAD NEGOCIO Seguridad Continuidad Gestión

10 Proyecto complejo COMPLEJIDAD Diseñar el PSO y los PPE son tareas complejas y que requieren de un equipo con un alto grado de conocimiento de la IC y con grandes conocimientos técnicos. La gran mayoría de las IC son de gran tamaño y con sistemas complejos. La repercusión mediática en caso de error a la hora de diseñar e implementar los planes puede ser enorme, dados los daños materiales y humanos que pueden ocurrir.

11 Proyecto complejo Gran cantidad de medidas técnicas En la Ley 8/2011 y más concretamente en el Plan de Seguridad del Operador (PSO) y en los Planes de Protección Específicos (PPE) encontramos un gran número de medidas que necesitaremos tener implantadas si queremos cumplir con todos los requisitos que nos marca la Ley para una adecuada protección de una Infraestructura Crítica (IC). Sin embargo, es sabido que las medidas técnicas no son suficientes para conseguir un grado de protección adecuado y así lo resalta el PSO en su apartado Modelo de Gestión Aplicado.

12 Proyecto complejo Qué nos quieren decir el PSO y el PPE? Medidas técnicas LPIC Gestión

13 Soluciones: estándares internacionales Soluciones?

14 Soluciones: estándares internacionales Implantar un sistema de gestión INTEGRADO Tenemos muchos marcos de referencia en los que basarnos, donde la experiencia positiva de la implantación de un sistema de gestión para controlar y mejorar las medidas técnicas nos puede valer como guía. Los más relacionados con lo exigido por la Ley 8/2011 son: ISO 27001: sistemas de gestión de seguridad de la información. ISO 20000: sistemas de gestión de servicios (TI). ISO 22301: sistemas de gestión de continuidad de negocio.

15 Soluciones: estándares internacionales Implantar un sistema de gestión INTEGRADO

16 Soluciones: estándares internacionales 3 normas que colaboran y cubren los requisitos

17 Soluciones: estándares internacionales Hay mucha experiencia en España

18 Soluciones: estándares internacionales Es fácil

19 Soluciones: estándares internacionales Ciclo de Implantación de un SGPIC Planificación del proyecto. Grupo de Trabajo. Alcance. Políticas. Planes, PSO y PPE. Análisis de Riesgos. BIA Implementación de PSO y PPE. Implementación de procesos. Implementación de controles. Formación y concienciación. PLAN DO ACT CHECK Gestión No Conformidades, acciones preventivas y correctivas. Implantación de Mejoras. Revisión del SG. Cuadro de mando. Auditoría interna. Validación del SG. Mediciones. Revisión por Dirección.

20 Grandes Beneficios Vamos a conseguir grandes beneficios Un sistema de gestión provee un entorno de control sobre todo aquello que hayamos implementado, articulando procedimientos formales de revisión y monitorización. Seremos proactivos, anticipándonos a la ocurrencia de incidentes gracias a los datos aportados por el sistema de gestión. Seremos más eficaces y eficientes a la hora de resolver incidentes gracias a la información recopilada sobre otros incidentes similares.

21 Grandes Beneficios Vamos a conseguir grandes beneficios Mantenimiento continuo: tan importante es desarrollar e implementar correctamente los planes definidos como mantenerlos actualizados en el tiempo. Los sistemas cambian y las amenazas también, por lo que todos los aspectos de revisión del sistema que nos propone un sistema de gestión basado en el ciclo PDCA cobran gran importancia. Las revisiones periódicas, el cuadro de mando y las auditorías bienales persiguen este objetivo.

22 IC en el SECTOR FINANCIERO Nivel de Madurez Avanzado La mayoría de las IC financieras están certificadas en ISO (seguridad de la información). Prácticamente todas han elaborado ya sus planes de continuidad de negocio y sus planes de recuperación ante desastres. Todas tienen analizados sus riesgos. La mayoría han adoptado buenas prácticas de ITIL (relacionada con ISO 20000).

23 IC en el SECTOR FINANCIERO Nivel de Madurez Avanzado ISO Otros LPIC ISO ISO 22301

24 IC en el SECTOR FINANCIERO Dificultades Encontradas 1) Falta de cohesión interna a) Riesgos no habla con continuidad. b) Seguridad no habla con riesgos ni con continuidad. c) Continuidad =/ Recuperación Desastres. d) No hay voz en el comité de dirección. e) No hablan el mismo idioma que negocio.

25 IC en el SECTOR FINANCIERO Dificultades Encontradas 2) Problemas con las herramientas: a) Herramientas muy complicadas. b) Herramientas que exigen duplicar datos. c) Herramientas que no pueden conectarse con las herramientas existentes en la organización. d) Ausencia de herramientas -> procesos manuales -> el proyecto se alarga y se complica -> se va en costes -> muere por inanición.

26 IC en el SECTOR FINANCIERO Dificultades Encontradas 3) Problemas de costes: a) Hay poco presupuesto. b) Si no se automatizan los procesos éstos se alargan y se van en costes. c) Tener a un consultor full time no es la solución. Hay que ir desterrando esa costumbre -> hay que conocer y asimilar el sistema, no subcontratarlo. Hay que optimizar los procesos.

27 IC en el SECTOR FINANCIERO Dificultades Encontradas Necesidad de integrar dichos sistemas

28 Herramientas GlobalSuite SGPIC: Sistemas de gestión para la protección de las infraestructuras críticas

29 Índice del PSO Cumplimiento de todos los requisitos técnicos por parte de GlobalSGPIC.

30 Introducción a GlobalSGPIC GlobalSuite es la herramienta gracias a la cual podrá implantar y mantener cualquier Sistema de Gestión basado en las normas ISO 27001, ISO 20000, ISO 22301, Esquema Nacional de Seguridad (ENS), Ley de Protección de Datos (LOPD), y también con los requisitos para ayudar a la implantación y mantenimiento de SGPICs (Sistemas de Gestión para la Protección de Infraestructuras Críticas). GlobalSuite permite implantar y gestionar sistemas de gestión ya sea de manera individual así como ampliarlos a otros sistemas de manera integrada. Cumple también con el ciclo de gestión PDCA de otros estándares como ISO 9001, ISO 14001, etc. permitiendo su llevanza de manera integrada con los anteriores o bien de manera separada.

31 GlobalSGPIC : : Modelado de Procesos de Negocio

32 GlobalSGPIC : : Modelado de Árbol de Activos

33 GlobalSGPIC.:. Análisis.:. Gestión de Riesgos

34 GlobalSGPIC. : :. BIA

35 GlobalSGPIC. : :. RTOs y RPOs

36 GlobalSGPIC. : :. Plan de Gestión de Incidentes

37 GlobalSGPIC. : :. Plan de Continuidad

38 GlobalSGPIC. : :. Activación del Plan de Continuidad

39 Contenido del PSO y cumplimiento con GlobalSGPIC Interconexiones con otros sistemas Tan importante como la funcionalidad es la capacidad que una herramienta pueda tener para hablar con sistemas ya existentes en las organizaciones. GlobalSGPIC puede comunicarse de manera automática con la mayoría de sistemas de información. Ejemplos: controladores de dominio, sistemas de ticketing, sistemas de gestión de incidencias, sistemas de monitorización y autodescubrimiento de activos, gestores de proyectos, etc.

40 Contenido del PSO y cumplimiento con GlobalSGPIC Facilidad de Uso Interfaz amigable y fácil de usar. Módulo interno de seguridad. Servicio certificado en ISO Mejores prácticas de gestión de la plataforma al estar certificada en ISO Continuidad de la plataforma al estar certificada en ISO Integra y cohesiona los sistemas.

41 Más información MADRID BARCELONA CIUDAD REAL BOGOTÁ MÉXICO D.F. Visítenos en nuestra web