II Encuentro con el SECTOR PÚBLICO DINTEL 2010 "La Sostenibilidad del Ecosistema TIC de las Administraciones Públicas

Transcripción

1 II Encuentro con el SECTOR PÚBLICO DINTEL 2010 "La Sostenibilidad del Ecosistema TIC de las Administraciones Públicas 1

2 AudiSec, Seguridad de la Información S.L.: QUIÉNES SOMOS Audisec Seguridad de la Información S.L., una empresa dedicada a aportar seguridad a sus clientes en el tratamiento de su activo más importante, sus datos, su información. Nuestras áreas de actividad se centran en: Esquema Nacional de Seguridad Implantación de Normas ISO de Sistemas de Gestión de Seguridad de la Información ISO de Sistemas de Gestión de Servicios TI BS de continuidad de Negocio Calidad de Software, CMMI, SPICE Desarrollo de productos para esos servicios. SUITE GLOBAL

3 AudiSec, Seguridad de la Información S.L.: EQUIPO Equipo técnico con alta cualificación y experiencia: Ingenieros Abogados Auditores CISA, CISM Lead Auditor ISO 27001, ISO Certificado BCI en continuidad de negocio BS25999.

4 AudiSec, Seguridad de la Información S.L.: CALIDAD Hemos sido una de las primeras empresas de España en obtener la certificación ISO e ISO En el mes de mayo además, obtendremos la certificación BS de Continuidad de Negocio y hemos empezado la implantación de SPICE. El alcance certificado es: CONSULTORÍA DE IMPLANTACIÓN DE LA NORMA ISO E ISO DE LOS CLIENTES DE AUDISEC. CONSULTORÍA/AUDITORÍA DE ADECUACIÓN A LA LEY ORGÁNICA DE PROTECCIÓN DE DATOS Y CUMPLIMIENTO NORMATIVO DE LOS CLIENTES DE AUDISEC.

5 AudiSec, Seguridad de la Información S.L.: I+D+i Audisec ha apostado muy fuerte por la investigación, desarrollo e innovación en seguridad de la información. En estos proyectos se persigue un doble objetivo: Crear productos innovadores que el mercado demanda. Conseguir que nuestros profesionales tengan la mejor formación para poder acometer dichos proyectos con las máximas garantías. Entre nuestras principales líneas de investigación podemos destacar: PROYECTO MEDUSAS Mejora y evaluación del diseño, usabilidad, seguridad y mantenibilidad del software. PROYECTO ARMONÍAS Armonización de estándares ISO, como ISO27001, ISO 20000, etc. PROYECTO ARCA Armonización de marcos de calidad y seguridad del software (CMMI, SPICE, ISO 15504, ISO 90003, etc.) PROYECTO GLOBAL CONTINUITY MODEL Creación de un marco para la evaluación, mejora y gestión de la capacidad de la continuidad de negocio en las organizaciones Modelo de procesos para la continuidad de negocio Modelo de capacidades y madurez Modelo de evaluación y mejora De forma paralela estamos en constante contacto con diferentes universidades, colaborando con sus grupos de investigación en temáticas relacionadas con seguridad de la información

6 CASO DE ÉXITO: IMPLANTACIÓN ISO ISO Proyecto INTECO: 148 empresas certificadas Proyectos Avanza: 2008: 48 empresas certificadas con el apoyo de Global SGSI (ISO 27001) 2009: Más de 100 empresas certificadas o en proceso de implantación y certificación con el apoyo de la Suite Global (ISO ISO 20000) 2010: El objetivo es superar el número de empresas de Proyectos INNOEMPRESA REGIONALES: Dos proyectos Innoempresa regionales gestionados y uno en trámite.

7 SOLUCIONES DE ÉXITO EN LA IMPLANTACIÓN: GLOBAL SUITE Desde AudiSec hemos desarrollado soluciones tecnológicas que APOYAN nuestro trabajo de consultoría para conseguir el objetivo del cliente. su solución

8 SOLUCIONES DE IMPLANTACIÓN Herramienta de implantación ISO Gestión de servicios TI

9 SOLUCIONES DE IMPLANTACIÓN: GLOBAL ENS 9Cumple Estrictamente todas las cláusulas de la norma ISO Facilita Las labores de implantación, certificación y mantenimiento sin papeles. 9Usable Tanto por usuarios finales como por consultoras dedicadas a la implantación. Características: Descripción: Global SGSI está formado por dos palabras que pretenden dar una clara idea de lo que la herramienta persigue: dar un soporte GLOBAL a la implantación de un SGSI. Es una aplicación pensada para gestionar el ciclo completo de implantación de la norma ISO/IEC 27001:2005 SIN PAPELES desde el inicio hasta el mantenimiento del sistema. Global SGSI incorpora no sólo el análisis de riesgos, permite realizar la labor de implantación, certificación y mantenimiento mucho más sencilla que en el caso de herramientas que sólo incorporan dicho análisis. Beneficios: La usabilidad es la gran virtud de GLOBAL SGSI, la curva de aprendizaje es mínima, incluso para usuarios no familiarizados con la norma y sin dejar de lado su cumplimiento, obteniendo resultados visibles en poco tiempo. GSI

10 SOLUCIONES DE IMPLANTACIÓN: GLOBAL Dé un paso más en la madurez y gestión de su empresa certificándola en ISO Demuestre su compromiso con la buena gestión de los servicios de tecnologías de la información (TI). Catálogo de Servicios Gestión de clientes Gestión de suministradores Gestión de Incidentes y Problemas CMDB Gestión de Cambios y Entregas Gestión de Planes de Continuidad y Disponibilidad Gestión Financiera Gestión de la Capacidad Gestor Documental Indicadores Registro de No Conformidades Gestor de Proyectos

11 SOLUCIONES DE IMPLANTACIÓN: GLOBAL LOPD Global LOPD está formado por dos palabras que pretenden dar una clara idea de lo que la herramienta persigue: dar un soporte GLOBAL para la adecuación a la Ley Orgánica de Protección de Datos. Documentos de Seguridad por niveles, básico, medio o alto, en función del nivel de seguridad asignable al cliente. Asistente de implantación. Check List de Consultoría. Verificaciones del Documento de Seguridad. Ficheros NOTA precumplimentados. Asistente de todos los registros necesarios para un estricto cumplimiento de la LOPD (accesible por cliente final). Asistente de Auditoría bienal, incluyendo informe de Auditoría. Cláusulas modelo. Contratos de prestación de Servicios. Documentación asociada, relaciones con la AEPD. Gestión de Derechos ARCO. Cumple estrictamente todos los requerimientos de la Ley Orgánica de Protección de Datos. Facilita las labores de implantación y mantenimiento. Usable tanto por usuarios finales como por consultoras dedicadas a la implantación.

12 GLOBAL SUITE

13 Qué es el ENS?

14 Vida del ENS

15 Semejanzas con la ISO Semejanzas Ambos esquemas implantan un sistema de gestión, y una serie de medidas técnicas, jurídicas y organizativas comunes, con lo que ello implica: Política de seguridad. Control documental. Auditoría interna. Mejora continua. Análisis de riesgos. Plan de continuidad. Gran cantidad de medidas técnicas adicionales. Etc

16 Beneficios de la implantación del ENS EXTERNOS INTERNOS Mayor confianza de los ciudadanos. Aumenta satisfacción de los usuarios. Favorece el desarrollo de la propia Administración. Reconocimiento del trabajo bien hecho. Seguridad y Gestión Servicios TI orientados hacia el negocio. Mayor eficiencia y productividad Conocimiento y depuración procesos internos Mejor gestión de recursos y costes Mejora continua

17 ENS. CLASIFICACIÓN DE LOS SISTEMAS Punto Débil del ENS, al haber ambigüedad Hay que clasificar el sistema de información sobre el que se implantará el SGSI basado en el ENS. Hay 3 niveles, análogos a los de la LOPD: Bajo Medio Alto Cómo hacer esa valoración? -> AQUÍ ENTRA LA SUBJETIVIDAD DEL ENS

18 ENS. CLASIFICACIÓN DE LOS SISTEMAS Punto Débil del ENS, al haber ambigüedad Hay que valorar cada activo de tipo Servicio y de tipo información en esos tres niveles, para las dimensiones de seguridad: Confidencialidad. Integridad. Disponibilidad. Valoración Autenticidad. Trazabilidad. teniendo en cuenta: "el impacto que tendría sobre la organización un incidente que afectara a la seguridad de la información o de los sistemas". Problema: cómo determinar ese impacto de forma objetiva?

19 ENS. CLASIFICACIÓN DE LOS SISTEMAS El sistema cogerá, en cada dimensión, el valor más alto. EL SISTEMA ADQUIRIRÁ EL VALOR MÁS ALTO ENTRE LAS 5 DIMENSIONES. En función del nivel inicial alcanzado, habrá unas medidas mínimas de seguridad a cumplir. Algunas serán las mismas, pero con diferentes niveles de madurez.

20 Implantación. Adopción del Ciclo de vida de Clasificación del Sistema de Información

21 ENS. Controles de Seguridad Hay 75 controles de seguridad, con diferentes niveles de madurez en función de si aplican a un sistema de nivel bajo, medio o alto. Están categorizados en 3 dominios: Marco Organizativo: constituido por un conjunto de medidas relacionadas con la organización global de la seguridad. Ejemplo: política de seguridad. Marco operacional: constituido por las medidas a tomar para proteger la operación del sistema. Ejemplo: análisis de riesgos, control de acceso, autenticación, gestión de cambios, gestión de incidencias, etc. Medidas de protección: se centrarán en proteger activos concretos, según su naturaleza, con el nivel requerido en cada dimensión de seguridad. Ejemplo: seguridad física, cifrado de la información, continuidad del negocio, copias de seguridad, etc.

22 ENS. Controles de Seguridad En función del nivel del sistema, hay que aplicar como mínimo unas medidas u otras. Algunas serán las mismas, pero con diferentes niveles de madurez o intensidad. Ejemplo: el plan de continuidad sólo afecta al nivel alto. Precisión Cuando en un sistema de información existan sistemas que requieran la aplicación de un nivel de medidas de seguridad diferente al del sistema principal, podrán segregarse de este último, siendo de aplicación en cada caso el nivel de medidas de seguridad correspondiente y siempre que puedan delimitarse la información y los servicios afectados.

23 Implantación ENS con GlobalSGSI Cómo podríamos mejorar el retorno de inversión?, con GLOBALSGSI. Reduciendo los costes vistos anteriormente 1.Menos costes de consultoría de implantación. 2.Menos horas de trabajo interno por parte de la organización. 3.El mantenimiento del sistema requiere muy pocos recursos internos al llevar todo el sistema de forma centralizada con una herramienta. 4.El hecho de tener el sistema automatizado hace que su uso se extienda más rápidamente y realmente se aproveche tener implantado un SGSI. Si el sistema no es usable no se aprovecharán sus beneficios.

24 Implantación ENS con GlobalSGSI

25 Implantación ENS con GlobalSGSI

26 Implantación ENS vs Implantación ISO 27001

27 AudiSec, Seguridad de la Información S.L.: REFERENCIAS 27

28 AudiSec, Seguridad de la Información S.L.: CONTACTO ANTONIO QUEVEDO Director General de Audisec Abogado CISA GRACIAS POR SU ATENCIÓN ESTOY A SU DISPOSICIÓN aquevedo@audisec.es