ÍNDICE INTRODUCCIÓN DE LA INFORMACIÓN A LA SEGURIDAD DE LA INFORMACIÓN LAS NORMAS ISO Y LA NECESIDAD DE UNA HERRAMIENTA DE APOYO A LA CONSULTORÍA

Transcripción

1

2 ÍNDICE INTRODUCCIÓN DE LA INFORMACIÓN A LA SEGURIDAD DE LA INFORMACIÓN LAS NORMAS ISO Y LA NECESIDAD DE UNA HERRAMIENTA DE APOYO A LA CONSULTORÍA GESCONSULTOR 10 RAZONES PARA UTILIZAR GESCONSULTOR SOPORTE Y CONTACTO 2

3 INTRODUCCIÓN Qué es la Información? La información es un ac0vo que, como otros ac0vos importantes del negocio, 0ene valor para una organización y, por lo tanto necesita ser protegido ISO / IEC 27001:2005 3

4 DE LA INFORMACIÓN A LA SEGURIDAD DE LA INFORMACIÓN Marco Regulatorio La Ley Orgánica de Protección de Datos (LOPD) regula a nivel legal una parte importante de los Sistemas de Información de la empresa, los datos de carácter personal. Complementariamente, el Reglamento de Desarrollo RD1720/2007 especifica controles técnicos, Isicos y organizakvos para garankzar la Protección de citados datos. Los datos de carácter personal son un subconjunto del ackvo más importante que maneja una empresa: INFORMACIÓN Información Confidencial Información clasificada Información Pública Planes estratégicos, salario del personal, operaciones financieras Ofertas comerciales, ERP, contabilidad, planes ejecuxvos Site público de la empresa, publicidad Datos de carácter personal Empleados, pacientes, clientes 4

5 ISO Sistema de GesXón de la Seguridad de la Información La información es un ackvo vital para la conknuidad y desarrollo de cualquier organización pero la implantación de controles y procedimientos de seguridad se realiza frecuentemente sin un criterio común establecido. La Organización Internacional de Estandarización (ISO), a través de las normas recogidas en ISO/IEC 27000, establece un modelo para la implementación efeckva de la seguridad de la información empresarial. ISO 27000: Términos y definiciones. ISO 27001: Requerimientos del SGSI. ISO (ISO 17799): Guía de buenas prácticas. 5

6 ISO y LOPD Los objekvos principales de la serie son la protección de la información en sus diversas dimensiones, garankzando la: Confidencialidad: Indica que la información debe ser conocida exclusivamente por las personas autorizadas, en el momento y forma prevista. Integridad: Indica que la información Kene que ser completa, exacta y válida, siendo su contenido el previsto de acuerdo con unos procesos predeterminados, autorizados y controlados. Disponibilidad: Indica que la información debe estar accesible y uklizable por los usuarios autorizados en todo momento, debiendo estar garankzada su propia persistencia ante cualquier eventualidad. La aplicación de la LOPD recoge un subconjunto de buenas práckcas y procedimientos para proteger eficazmente los Datos de Carácter Personal La norma ISO amplia el alcance de la LOPD y se integra perfectamente con Sistemas de GesXón presentes en la empresa 6

7 Las normas ISO: Modelo común de GesXón En todas las normas ISO y en concreto entre la ISO 9001 e ISO 27001, el concepto del sistema de geskón es común a ambas normas, estableciendo sinergias entre ambas y un marco de actuación, estructural y documental común. Este sistema de geskón está compuesto por: Manual de Calidad y Seguridad. Procesos/Procedimientos OperaKvos Generales. Instrucciones de Trabajo Específicas. Registros de Calidad y Seguridad. 7

8 Las normas ISO: Modelo PDCA (Plan, Do, Check, Act) Definir el alcance del SG Definir la políxca del SG Análisis y gesxón del riesgo Declaración de Aplicabilidad Adoptar acciones prevenxvas y correcxvas Implantar las mejoras propuestas Comunicar las mejoras Verificar que las mejoras cumplen su objexvo (Act) Actuar Mantener y Mejorar el SG (Plan) Planificar Establecer el SG Monitorizar y Revisar el SG (Do) Hacer (Check) Verificar Implantar y Operar el SG Implantar controles seleccionados Implantar el Sistema de GesXón Indicadores y métricas Formación y concienciación Establecimiento de registros Revisar regularmente el SG Auditar internamente el SG 8

9 LAS NORMAS ISO Y LA NECESIDAD DE UNA HERRAMIENTA DE APOYO A LA CONSULTORÍA Normas ISO: Beneficios para la empresa Metodología de geskón de seguridad clara y estructurada. Seguridad garankzada en base a la geskón de procesos en vez de en la compra sistemákca de productos y tecnologías. Reducción del riesgo de pérdida, robo o corrupción de información. Los riesgos y sus controles son conknuamente revisados. Confianza de clientes y socios estratégicos por la garanwa de calidad y confidencialidad comercial. Las auditorías externas ayudan cíclicamente a idenkficar las debilidades del sistema y las áreas a mejorar. Integración de los diversos sistemas de geskón (ISO9001, ISO14001, OHSAS ). ConKnuidad de las operaciones. Conformidad con la legislación vigente. Imagen de empresa a nivel internacional y elemento diferenciador de la competencia. Reduce costes y mejora los procesos y servicios. Proporciona confianza y reglas claras al personal de la organización. Aumenta la mokvación y saksfacción del personal. Aspecto organizaxvo Aspecto legal Aspecto Funcional Aspecto comercial Aspecto financiero Aspecto humano 9

10 Dificultades de Implantación Complejidad técnica y organizakva de las normas. Elevado volumen de documentación y necesidades de estructuras documentales específicas Se requieren conocimientos avanzados en múlkples materias No existe un modelo de implementación claramente establecido Requisitos específicos según la norma de referencia (Ej: la ISO exige la aplicación de una metodología de Análisis y GesKón de Riesgos que es compleja y diicil de implementar) Mantenimiento de los registros complejo GesKón de indicadores compleja Burocracia excesiva Necesidad de automakzar la GesKón de los Sistemas NECESIDAD DE UNA HERRAMIENTA QUE GUIE AL CONSULTOR Y A LA EMPRESA DURANTE TODO EL PROCESO 10

11 GESConsultor proporciona una solución integral para consultores y empresas a la hora de implementar y geskonar un Sistema de GesKón, facilitando las dificultades anteriormente expuestas. GESConsultor es una herramienta para la implantación y el seguimiento del Ciclo Completo de Sistemas de GesKón en la que destacan las siguientes caracterískcas: Implantación de normas. GesKón documental. Análisis de Riesgos 11

12 DESCRIPCIÓN GENERAL Lugar de encuentro entre consultores, empresa, y los equipos de trabajo que se relacionan con los Sistemas de GesKón. GesKón a través de Web para acceso desde cualquier lugar por cualquier perfil. Portal personalizado según el perfil de acceso. 12

13 FUNCIONALIDADES Implantación de Normas basadas en estándares ENS (Esquema Nacional de Seguridad) ISO (Sistema de GesKón de Seguridad de la Información) ISO 9001 (Sistema de GesKón de Calidad) ISO (Sistema de GesKón Medioambiental) en desarrollo UNE (Sistema de GesKón de I+D+i) en desarrollo 13

14 Herramienta para Consultores MulK- cliente. MulK- norma (ISO 9001, ISO 27001, etc.) en un mismo o varios clientes. Panel de control personalizado con la imagen corporakva de la empresa de consultoría y sus datos de contacto. Posibilidad de disponer varios consultores en la herramienta. Segregación de perfiles y clientes asignados por consultor. Limitación de un perfil de consultor sólo de consulta. 14

15 DiagnósXco Diferencial DiagnósKco de situación control a control contra los dominios de la norma bajo análisis. ComparaKvas evolukvas respecto de evaluaciones anteriores. ComparaKvas respecto del sector. Generación de informes de resultados AutomaKzados. 15

16 DiagnósXco Diferencial 16

17 Documentación de los Sistemas de GesXón Incorpora pre- cargado un sistema de GesKón Completo para la norma bajo Análisis (SGSI, SGC, etc.) validado por numerosas implantaciones y cerkficaciones exitosas. La documentación se edita y se parkculariza de manera integrada herramienta a la situación de la enkdad Edición y almacenamiento de todos los registros, informes, actas, no conformidades, etc. exigidos por la norma para implantar y cerkficar un sistema de geskón. Se pueden incorporar procedimientos y documentos externos (ofimákcos por ejemplo) e incorporarlos al sistema de geskón. 17

18 Gestor Documental Cualquier Norma basada en estándares ISO requiere una documentación asociada: políkcas, normas y procedimientos y otros requerimientos documentales. Permite realizar una geskón ordenada y coherente de la documentación asociada al Sistema de GesKón. DisKntos Roles y permisos para los flujos de aprobación de documentos. Control de versiones. 18

19 Gestor RRHH Las ackvidades relakvas a cualquier Norma internacional deben ser coordinadas entre los representantes de las diferentes partes de la organización con sus correspondientes roles y funciones de trabajo. Para ello GESConsultor permite: Crear roles/puestos de trabajo IdenKficar áreas/departamentos IdenKficar al personal implicado Formar un Comité de Seguridad 19

20 Análisis y GesXón de Riesgos Este módulo permite llevar a cabo análisis de riesgos cualitakvos de los sistemas de información de las empresas Basado en la reconocida Metodología de Análisis y GesKón de Riesgos de los Sistemas de Información (Magerit) versión 2. Esta metodología es de carácter público y ha sido elaborada por el Consejo Superior de Administración Electrónica (CSAE), órgano del Ministerio de Administraciones Públicas (MAP) Cumple todos los requisitos exigidos por la norma ISO

21 Análisis y GesXón de Riesgos IdenKficación de AcKvos de Información Dependencias entre AcKvos Valoración del ackvo para sus dimensiones de seguridad de la información (Disponibilidad, Integridad, Confidencialidad, AutenKcidad y Trazabilidad) 21

22 Análisis y GesXón de Riesgos Catálogo de Amenazas Selección de conjunto de amenazas para cada ackvo Valoración de las amenazas 22

23 Análisis y GesXón de Riesgos Cálculo del riesgo/impacto acumulado Cálculo del riesgo/impacto repercukdo Cálculo del riesgo/impacto residual 23

24 Análisis y GesXón de Riesgos Tratamiento de Riesgos Selección de controles Transferirlo a un tercero Evitarlo Asumirlo Declaración de Aplicabilidad 24

25 Análisis y GesXón de Riesgos Planificador de acciones Planificación de fechas de actuación Asignación de responsables Seguimiento del estado de las acciones Anexar documentación Importes previstos 25

26 10 RAZONES PARA UTILIZARLO 1. Establece un marco de referencia para la implantación y operación de Sistemas de GesKón de una manera fácil y ordenada. 2. Monitoriza y centraliza toda la información de modo ordenado y ópkmo, facilitando la localización de informes, registros e indicadores. 3. Permite geskonar de una manera ágil y sencilla Sistemas de GesKón complejos, integrando los diferentes Sistemas de GesKón en la empresa: SGC, SGSI, SGIDI 4. Dispone de un interfaz web visual e intuikva, que recoge todos los requisitos de las normas para operar Sistemas de GesKón. 5. Es un desarrollo en constante evolución, que se adapta y mejora en sus sucesivas versiones para ofrecer un servicio más completo al consultor y a la empresa final. 26

27 6. GESConsultor se integra perfectamente con Gesdatos para permikr una migración y adecuación fácil y sencilla. 7. GESConsultor cumple con el ciclo de mejora conknua PDCA. 8. GESConsultor permite mantener en constante evolución y actualización un Sistema de GesKón. 9. GESConsultor permite que cada perfil que intervenga en un Sistema de GesKón disponga de un interfaz único y personalizado. 10. GESConsultor permite a un consultor o grupo de consultores geskonar totalmente su cartera de clientes en las que lleva a cabo su trabajo de una manera sencilla y coordinada, mediante un interfaz de geskón. 27

28 SOPORTE Y CONTACTO El soporte básico y por tanto gratuito incluye: Consultas vía a soporte de GesConsultor sin límite en relación con aspectos relaxvos a la herramienta Información y Contacto: info@gesconsultor.com Teléfono: Adicionalmente se ofrece la posibilidad de cursos formakvos respecto de la uklización de la herramienta, así como formación específica de las normas ISO e ISO

29