Cómo asegurar la continuidad de mi negocio ante desastres y catástrofes imprevistas?

Tamaño: px

Comenzar la demostración a partir de la página:

Download "Cómo asegurar la continuidad de mi negocio ante desastres y catástrofes imprevistas?"

Diego Farías Medina
hace 8 años
Vistas:

2 Semana de Seguridad CTCR Índice 1.- Presentación empresa 2.- SGSI? 3.- Proceso de implantación SGSI Cómo asegurar la continuidad de mi negocio ante desastres y catástrofes imprevistas? Cristina Atienza

3 Desayuno de Trabajo 04/10/2012 Índice 1.- Presentación empresa 2.- SGSI? 3.- Proceso de implantación SGSI PRESENTACIÓN DE EMPRESA

4 Presentación de Empresa La Consultora Riojana experta en Seguridad de la Información. Equipo humano: Departamento Informático y Jurídico y Organizativo, que lleva a cabo los siguientes servicios: Implementación Sistemas de Gestión de la Seguridad de la Información [ISO 27001] Adaptación PERSONALIZADA a la Ley Orgánica de Protección de Datos [LOPD] y Ley de Servicios de la Sociedad de la Información y Comercio Electrónico [LSSICE] Auditorias de cumplimiento de Reglamento de Medidas de Seguridad Concienciación de la seguridad de la Información Adaptación de la Video Vigilancia

de la Seguridad de la Información [ISO 27001] Adaptación PERSONALIZADA a la Ley Orgánica de Protección de Datos [LOPD] y Ley de Servicios de la

5 Presentación de Empresa Servicio Derecho Tecnológico Proyectos Destacados:

Presentación de Empresa ISO 27001 Los únicos Auditores y Especialistas Implantadores de Sistemas

La mitad de las empresas riojanas que actualmente están implantando ISO 27001 han confiado en la

6 Presentación de Empresa ISO Los únicos Auditores y Especialistas Implantadores de Sistemas de Gestión de la Seguridad de la Información (ISO 27001) titulados por AENOR en La Rioja. La mitad de las empresas riojanas que actualmente están implantando ISO han confiado en la experiencia de DATALIA para desarrollar su SGSI. Proyectos Destacados: Doctor Fernando Gutiérrez Sada

7 Te imaginas una sociedad sin TIC s?

10 Todo es hackeable? Evolución de TI

11 * Estudio 2011 Imperva - Fugas de información - Generalmente, las empresas desconocen la ubicación de los datos confidenciales que poseen - SOLO el 18% asegura conocer el número exacto de los archivos confidenciales que atesora - El 40% lo desconoce por COMPLETO - Un 65% reconoce NO estar SEGURO de quién tiene acceso a estos documentos - 82% manifiesta que deben reconsiderar las políticas empresariales de seguridad de datos

poseen - SOLO el 18% asegura conocer el número exacto de los archivos confidenciales que atesora - El 40% lo

12 Fugas de información - 93% que pierden datos acaban cerrando antes de 5 años * Estudio de 2007 Bureau of Labor Statistics

13 Semana de la Seguridad Índice 1.- Presentación empresa 2.- SGSI? 3.- Proceso de implantación SGSI QUE ES UN SGSI? Sistema de Gestión de la Seguridad de la Información

14 Cuál es la información crítica de tu empresa? Depende de a quien le preguntes. Dpto. Comercial.- Listado de clientes Dpto. Financiero.- Contabilidad Dpto. RRHH.- Nóminas

15 Definición SGSI Definición SGSI: Sistema de Gestión de la Seguridad de la Información Objetivo: 1,- Identificar la información critica de la empresa 2,- Preservar la confidencialidad, disponibilidad e integridad de la información critica, de la empresa. 3,- Analizar los riesgos 4,- Plan de tratamiento de riesgos 5,- Implantación de contramedidas 6,- Documentar procedimientos

confidencialidad, disponibilidad e integridad de la información critica, de la empresa.

16 1,- Identificar información crítica Identificar nuestra información crítica No sólo datos personales Información indispensable para la empresa y su continuidad: Fórmulas de fabricación, producción Nóminas Márgenes de rentabilidad Listado de clientes empresas Ejemplos No se hace copia de seguridad de los correos electrónicos

Fórmulas de fabricación, producción Nóminas Márgenes de rentabilidad Listado de

17 2,- Valoración de los activos de información 1.- Confidencialidad: La propiedad por la información no se pone a disposición o se revela a individuos, entidades o procesos no autorizados. Reputación de mi empresa Pérdida de clientes Evitar sanciones económicas : LOPD, etc. 2.- Disponibilidad.- Cuánto tiempo puedo estar sin acceder a la información? 24 horas Facturación: 1 semana Producción: 1 hora Que la info este disponible en plazo de fin de impuestos, de fin de concursos, etc. 3.- Integridad,- La propiedad de salvaguardar la exactitud y completitud de los activos Que nadie no autorizado los modifique

Reputación de mi empresa Pérdida de clientes Evitar sanciones económicas : LOPD, etc. 2.- Disponibilidad.

18 3,- Analizar los riesgos ANÁLISIS DE RIESGOS,- EVALUAR EL RIESGO Determinar las amenazas, vulnerabilidades, impactos. Amenaza.- Es una violación potencial de la seguridad. No es necesario que la violación ocurra para que la amenaza exista. Las amenazas explotan vulnerabilidades. Ejemplo: Que entren en mi sistema informático Vulnerabilidad.- Es una debilidad en un activo. No tener contraseña de entrada

No es necesario que la violación ocurra para que la amenaza exista.

19 3,- Analizar los riesgos Impacto.- La consecuencia para el negocio de que la amenaza explote la vulnerabilidad Ejemplo: Imagen ante los clientes, sanciones por incumplimiento.

20 3,- Analizar los riesgos EVALUACIÓN DE RIESGOS Amenaza X Impacto : NIVEL DE RIESGO Ej. Fórmulas de producción Manipulación X Alto (Autenticidad - Legal APPCC)= RIESGO ALTO Ej. No destrucción de nóminas en Dpto. Laboral en Asesoría Error de persona X Muy Alto (Confidencialidad Imagen empresa) = RIESGO MUY ALTO

Fórmulas de producción Manipulación X Alto (Autenticidad - Legal APPCC)=

21 ANÁLISIS DE RIESGOS Priorizar esfuerzos

22 Riesgos máximos a tratar en una empresa

24 4,- Plan de tratamiento de riesgos

25 Normativa ISO 27001: Especificación para la construcción de un SGSI Especifica los requisitos para establecer, implantar, documentar y evaluar un sistema de gestión de la seguridad de la información. ISO 27002: Buenas prácticas para la gestión de la seguridad. Define objetivos de control y controles de seguridad a utilizar para reducir y/o mitigar los riesgos. 11 bloques de control. 133 controles.

26 5,-Implantación de contramedidas CONTROLES DE SEGURIDAD 0-Introducción 4-Análisis y gestión de riesgos 5-Política de Seguridad 6-Estructura Organizativa para la Seguridad 7-Clasificación y control de Activos 8- Seguridad en el Personal 9-Seguridad física y del entorno 10-Gestión de Comunicaciones y operaciones 11-Control de Accesos 13-Gestión de Incidencias 14-Gestión de Continuidad del negocio 15-Cumplimiento 38 objetivos de seguridad 134 controles de seguridad

27 6,-Documentacion de procesos

28 6,-Documentacion de procesos

30 Proceso de Implantación

31 Proceso de Implantación ARRANQUE DEL PROYECTO Compromiso de la Dirección: Apoyo claro de la Dirección al proyecto Responsables: Vinculación de los responsables de los procesos críticos en la implantación (Dpto. RRHH, Dpto. Producción, Dpto. Comercial)

Proceso de Implantación PLANIFICACIÓN DEL PROYECTO Fases de la Planificación: - Alcance: Procesos de negocio críticos para la empresa Cuál es el proceso

32 Proceso de Implantación PLANIFICACIÓN DEL PROYECTO Fases de la Planificación: - Alcance: Procesos de negocio críticos para la empresa Cuál es el proceso crítico de mi negocio? P. Producción P. Comercial P. Personal - Política de Seguridad: Marco General del Proyecto que incluye los objetivos de seguridad.

33 Proceso de Implantación ANÁLISIS DE RIESGOS Fases del Análisis: - Inventario de activos: Activos de información que tienen valor para la empresa dentro de los procesos críticos. Servidor Expedientes ERP - Análisis de amenazas y vulnerabilidades: Amenazas que afectan a los activos de información Fuego Error del personal responsable

34 Proceso de Implantación ANÁLISIS DE RIESGOS Fases del Análisis: - Identificar los impactos: Consecuencias sobre la información si se cumple la amenaza: Disponibilidad: No puedo acceder a la información Autenticidad: No puedo asegurar que la informaciones veraz Confidencialidad: A mi información tiene acceso cualquiera En relación a los siguientes escenarios: Legal: Incumplimiento de ley Imagen: Afecta a la imagen de mi empresa Operativa de empresa: Retrasa mi rutina de trabajo

35 Proceso de Implantación TRATAMIENTO DE RIESGO Gestión del Riesgo:

36 -Implantación de contramedidas ISO ESTABLECE CONTROLES A IMPLANTAR

37 Proceso de Implantación REVISIÓN DEL SISTEMA Fases de la Revisión: - Revisar el SGSI - Auditorias internas del SGSI - Registrar acciones y eventos - Medir eficacia de los controles

38 Gracias por su atención Cristina Atienza - Directora Técnica catienza@datalia.info

Documentos relacionados

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013

1 MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 Qué es la Seguridad de la 2 Información? La información es un activo que, como otros activos importantes del negocio, tiene