Tecnologías y servicios para la Administración Pública del S.XXI

Transcripción

1 Tecnologías y servicios para la Administración Pública del S.XXI

2 AudiSec, Seguridad de la Información : QUIÉNES SOMOS Audisec Seguridad de la Información, una empresa dedicada a aportar seguridad a sus clientes en el tratamiento de su activo más importante, sus datos, su información. Nuestras áreas de actividad se centran en: Esquema Nacional de Seguridad Implantación de Normas ISO de Sistemas de Gestión de Seguridad de la Información ISO de Sistemas de Gestión de Servicios TI BS de continuidad de Negocio Calidad de Software, CMMI, SPICE Desarrollo de productos para esos servicios. Global SUITE

3 AudiSec, Seguridad AudiSec, de la Seguridad Información de S.L.: la Información EQUIPO : QUIÉNES SOMOS Equipo técnico con alta cualificación y experiencia: Ingenieros Abogados Auditores CISA, CISM Lead Auditor ISO 27001, ISO Certificado BCI en continuidad de negocio BS25999 Primera empresa en España en obtener: La certificación ISO La certificación ISO La certificación BS de continuidad de negocio Hemos empezado la implantación de SPICE.

4 AudiSec, Seguridad de la Información : I + D + I Audisec ha apostado muy fuerte por la investigación, desarrollo e innovación en seguridad de la información. Entre nuestras principales líneas de investigación podemos destacar: PROYECTO MEDUSAS Mejora y evaluación del diseño, usabilidad, seguridad y mantenibilidad del software. PROYECTO ARMONÍAS Armonización de estándares ISO, como ISO27001, ISO 20000, etc. PROYECTO ARCA Armonización de marcos de calidad y seguridad del software (CMMI, SPICE, ISO 15504, ISO 90003, etc.) PROYECTO GLOBAL CONTINUITY MODEL Creación de un marco para la evaluación, mejora y gestión de la capacidad de la continuidad de negocio en las organizaciones Modelo de procesos para la continuidad de negocio Modelo de capacidades y madurez Modelo de evaluación y mejora De forma paralela estamos en constante contacto con diferentes Universidades, colaborando con sus grupos de investigación en temáticas relacionadas con seguridad de la información

5 SOLUCIONES DE ÉXITO EN LA IMPLANTACIÓN: GLOBAL SUITE Desde AudiSec hemos desarrollado soluciones tecnológicas que APOYAN nuestro trabajo de consultoría para conseguir el objetivo del cliente. su solución

6 MEJORA DE PROCESOS EN EL ENS

7 El ENS ES SEGURIDAD ENS -> Protección adecuada de la información. ENS -> asegurar el acceso, integridad, disponibilidad, autenticidad, confidencialidad, trazabilidad y conservación de los datos. ENS-> Anexo II con controles de seguridad. Pero.. Sólo es Seguridad???

8 El ENS ES SEGURIDAD Objetivo Principal: aportar seguridad a los servicios implicados en la e-administración. Objetivo secundario: MEJORAR EN SEGURIDAD a lo largo del tiempo. Objetivos ocultos : Hay orientación a gestión de servicios (ISO y/o ITIL)

9 El ENS QUIERE MEJORAR El ENS no tiene un ciclo PDCA de mejora como tal. Sí tiene muchos conceptos de mejora continua. Pretende MEJORAR

10

11 Existe cultura de gestión. Veamos el artículo 4 de los principios básicos: Se deberá tener en cuenta el principio de reevaluación periódica

12 En el apartado o del artículo 11 de requisitos mínimos encontramos: mejora continua del proceso de seguridad. Por qué no ampliarlo a mejora continua de los procesos de gestión?

13 Artículo 34: auditoría de seguridad. Por qué no ampliarlo a auditoría de procesos? Conseguiremos una revisión detallada y profunda de todos nuestros procesos, identificando oportunidades de mejora.

14 Los artículos 39 y 40 son totalmente de gestión: ciclo de vida de servicios y sistemas el 39; mecanismos de control el 40. Esto no es que suene a ITIL, es que usa su lenguaje! Y ni rastro de la palabra seguridad

15 Clara orientación a un ciclo de mejora continua. Idea: adoptar el ciclo PDCA de la ISO (Seguridad de la Información) y alinearlo con los requisitos del ENS

16 Hasta aquí los Principios Básicos y los Requisitos Mínimos, con marcado espíritu de mejora. Además, tenemos un Anexo II de controles de seguridad. Sólo de seguridad? -> NO Existen controles de gestión.

17 Dimensionamiento/Gestión de Capacidades Pretende asegurar que tendremos la capacidad suficiente para prestar nuestros servicios con garantías. Estos conceptos los podemos encontrar en ITIL e ISO

18 Proceso de gestión de derechos de acceso Para que un proceso pueda ser mejorado hay que asegurarse de que no pueda ser accedido por personal no autorizado. Detalle: habla de Gestionar, no de dar o conceder.

19 Gestión de la configuración Para que un servicio sea mejorado lo primero es que funcione dentro de un entorno controlado. CMDB?, ITIL?, ISO 20000?, de qué estamos hablando?

20 Gestión de cambios Este proceso nos garantiza que los cambios que afectan al servicio son llevados a cabo de forma correcta, eficaz y eficiente, que han sido probados y que no perjudicarán la calidad de los servicios prestados. CMDB?, ITIL?, ISO 20000?, de qué estamos hablando?

21 Gestión de incidencias Puede un servicio que quiere mejorar mostrarse impasible ante la ocurrencia de incidencias? La respuesta claramente es no. CMDB?, ITIL?, ISO 20000?, de qué estamos hablando?

22 Gestión diaria Propone una revisión del servicio para evitar posibles desvíos frente a los que sería una correcta prestación del mismo. Filosofía de mejora del proceso en estado puro. Quizás el control más de gestión.

23 Resumiendo Los principios básicos y los requisitos mínimos nos hablan de seguridad y de gestión. Tenemos controles que sólo hablan de gestión y tenemos controles específicos de seguridad. Qué tenemos?

24

25 Qué propone Audisec? Optimizar la implantación del ENS, mejorándola en sí misma con la automatización de ciertos procesos. Un proceso mejorado es más eficaz y eficiente

26 Cómo se puede mejorar? Gracias a

27 Qué beneficios nos aporta GlobalENS? - Ahorro de tiempo - Automatiza procesos - Optimiza los procesos - Usabilidad y sencillez - Sin coste de implantación - Cumple con todos los requisitos

28 GlobalENS GlobalENS permite realizar el análisis de riesgos de manera ágil y sencilla

29 GlobalENS

30 GlobalENS

31 El ENS; CONCLUSIONES La mejora en seguridad es clave y es clara. Hay que aprovechar la inversión en el ENS no sólo para mejorar en seguridad, si no para mejorar los procesos internos. Siempre se puede seguir mejorando

32 El ENS; DUDAS RAZONABLES Impulso decidido a la implantación? Nivel de exigencia. cómo se va a exigir su cumplimiento? (Aparte del Real Decreto ) Quién va a auditar-acreditar la adecuación?

33 Conclusiones Gracias por su atención MANUEL VASALLO REBOREDA Director de Desarrollo de Negocio de Audisec