Cómo aprovechar mejor el Webinar

Transcripción

1 Cómo aprovechar mejor el Webinar Utilice la herramienta de P&R (Preguntas y Respuestas) con la opción preguntar a todos los miembros del panel (DNV) marcada. Esta herramienta puede ser utilizada en cualquier momento. Al final de la presentación tendremos un espacio para P&R. Acuerdese de activar el audio de su computadora. El micrófono de los participantes permanecerá inactivo durante el evento. Este webinar será grabado y estará disponible en nuestra página web. En caso de que tenga problemas con la herrramienta, por favor comuniquese con Beatriz Seia en el teléfono Le deseamos un excelente webinar! 1

2 Sistema de Gestión de Seguridad de la Información basado en ISO Ing. Natacha Zucchiatti Abril / 2013

3 Temas Abordaremos: - Beneficios al implementar un Sistema de Gestión de Seguridad de la Información - Requisitos de la norma ISO Enfoque basado en riesgos - Seguridad de la Información en el área de la Salud

4 Antecedentes Necesidades de seguridad de la información de salud de pacientes previo a desarrollo de nuevas tecnologías.

5 Actualidad Aumento del volumen de datos Desarrollo y difusión de nuevas tecnologías Legislación - en materia sanitaria. - de protección de datos de carácter personal. Ética profesional.

6 Paciente

7 Responsabilidad Hospital Pre pagas Clínica Obras sociales Paciente Laboratorio Servicios de emergencia Consultorio Internación

8 Impactos

9

10

11

12

13

14 Algunos números Primer trimestre 2013: + 40 incidentes Tipo de organización: Servicios de Salud Tipo: Privacidad / Datos personales Subtipos: - Difusión no autorizada de información sensible - Hacking o código malicioso - Interno - Pérdida física - Dispositivos móviles - Dispositivos no móviles - Otros

15 Por donde comenzar? Personas Procesos Tecnología

16 SGSI - Sistema de Gestión de Seguridad de la Información ISMS - Information Security Management System

17 Información Puede estar impresa o escrita en papel, puede estar almacenada electrónicamente, ser transmitida por correo o por medios electrónicos, se la puede mostrar en videos, o exponer oralmente en conversaciones.

18 Seguridad es Confidencialidad?

19 Los elementos de la seguridad de la información Confidencialidad Integridad Disponibilidad propiedad por la cual la información no esté disponible ni sea divulgada a individuos, organismos o procesos no autorizados. propiedad de proteger la precisión y la totalidad de los activos. propiedad de estar accesible y ser utilizable a demanda por parte de un organismo autorizado.

20 Sistema de Gestión de Seguridad de la Información (SGSI) La parte del sistema global de gestión, basada en un enfoque de riesgos empresariales, para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la información.

21 Propósito Proveer protección adecuada a los activos de la información organizacionales Planificar Un marco para la mejora continua Actuar Hacer Enfoque en procesos provee un método para la gestión de riesgos Verificar ver 3.0, Slide 21

22 Por qué implementar un SGSI? Un enfoque sistemático Un mejor entendimiento de los aspectos empresariales Reducir las violaciones de seguridad y / o reclamos Reducir la publicidad desfavorable Una mejor clasificación de riesgos por parte de la aseguradora Identificar activos críticos mediante la evaluación de riesgos empresariales Suministrar una estructura para la mejora continua Ser un factor de confianza tanto interna como externamente Ampliar el conocimiento y la importancia de temas relacionados a la seguridad a nivel dirección. Asegurar que el capital del conocimiento se almacene y gestione en un sistema de gestión empresarial ver 3.0, Slide 22

23 Qué ofrece la norma ISO 27001? La norma es un conjunto de requisitos mínimos basados en el feedback de la experiencia de miles de usuarios en cuanto a sistemas de gestión de seguridad de la información. Es un enfoque sistemático hacia el cambio y la mejora (Planifique, Haga, Verifique, Actúe PDCA). Se focaliza en activos de información, amenazas, vulnerabilidades, riesgos, procesos, gestión y personas. ver 3.0, Slide 23

24 Compatible con otros Sistemas de Gestión

25 Otras normas relacionadas con el estándar ISO ISO/IEC Principios y vocabulario del SGSI ISO/IEC Códigos de práctica de técnicas de seguridad ISO/IEC Guias de implementación del SGSI ISO/IEC Métricas y mediciones del SGSI ISO/IEC Gestión de riesgos del SGSI ISO/IEC Brinda guías para los organismos de acreditación ver 3.0, Slide 25

26 Certificación Familia de normas ISO certificable

27 Situación actual ISO Survey 2011: Overall number of certificates increase

28 A qué tipo de empresas aplica Tipo Naturaleza Tamaño

29 Ciclo de mejora continua Planificar Actuar Hacer Verificar

30 SGSI - ISO Mejora Continua Partes Interesadas Establecer el SGSI Partes Interesadas Mantener y mejorar el SGSI Implementar y operar el SGSI Requisitos y Expectativas de Seguridad de la Información Monitorear y revisar el SGSI Seguridad de la Información Gestionada Slide 30

31 La gestión de riesgos como fundamento

32 Definiciones Activo: cualquier cosa que tenga valor para la organización Amenaza: una causa potencial de un incidente que puede derivar en perjuicio del sistema u organización Vulnerabilidad: una debilidad de un activo o grupo de activos que puede ser explotada por una o más amenazas Impacto: el resultado de un incidente relacionado a la seguridad de la información ver 3.0, Slide 32

33 Proceso de Gestión de Riesgos

34 Identificación del riesgo ver 3.0, Slide 34

35 Priorización del riesgo Probabilidad Alto 3 4 Medio Bajo Bajo Medio Alto Consecuencia ver 3.0, Slide 35

36 Clasificación del riesgo Alta Probabilidad Riesgo medio 2 1 Riesgo alto 3 4 Baja Riesgo bajo 5 Riesgo medio Baja Consecuencia Alta ver 3.0, Slide 36

37 Nivel de seguridad Necesidades del negocio Amenaza, Probabilidad y Consecuencia = Riesgo Necesidad de protección ver 3.0, Slide 37

38 Opciones de tratamiento de riesgos Reducir el riesgo Evitar el riesgo ver 3.0, Slide 38

39 Opciones de tratamiento de riesgos Transferir el riesgo Aceptar el riesgo ver 3.0, Slide 39

40 Evaluación del riesgo Tratamiento del riesgo Selección de objetivos de control y controles Para reducir el riesgo a un nivel aceptable Para alcanzar los requerimientos legales Para alcanzar los requerimientos regulatorios Para alcanzar los requerimientos contractuales ver 3.0, Slide 40

41 Implementación A.5 Política de seguridad A.6 Organización de la seguridad de la información A.7 Gestión de activos A.8 Seguridad de RRHH A.9 Seguridad física y ambiental A.10 Gestión de operaciones y comunicaciones A.11 Control de accesos A.12 Adquisición, desarrollo y mantenimiento de sist. de inf. A.13 Gestión de incidentes de seguridad de la información A.14 Gestión de continuidad de negocios A.15 Cumplimiento ver 3.0, Slide 41

42 Mejora continua Partes Interesadas Establecer el SGSI Partes Interesadas Mantener y mejorar el SGSI Implementar y operar el SGSI Requisitos y Expectativas de Seguridad de la Información Monitorear y revisar el SGSI Seguridad de la Información Gestionada

43 Preguntas y respuestas

44 Muchas gracias!