Plan de Seguridad Integral de los Sistemas de Información de la Diputación Foral de Gipuzkoa. Martes, 15 de Marzo de 2005



Documentos relacionados
*[ Adecuación al Esquema Nacional de Seguridad: Un Enfoque Integral ]

Mejora de la Seguridad de la Información para las Pymes Españolas

PLANES Y POLÍTICAS AREA DE SISTEMAS

MARCO DE REFERENCIA SISTEMAS DE INFORMACIÓN PARA LA GESTIÓN DE TI EN EL ESTADO COLOMBIANO

Planificación de Sistemas de Información

Planificación de Sistemas de Información

Estrategia de Seguridad del Ayuntamiento de Pozuelo de Alarcón para el cumplimiento del Esquema Nacional de Seguridad

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

Implantación de un Sistema de Gestión de Seguridad de la Información según la

CURSO DE ESQUEMA NACIONAL DE SEGURIDAD

Seguridad y Competencias Profesionales Tema 3: Legislación y Normas en Materia de Seguridad Informática

POLÍTICA DE GESTIÓN DEL SERVICIO

Estándares y Normas de Seguridad

Metodología de Gestión de Proyectos

INFORME Nº1 PROPUESTA METODOLÓGICA Y PLAN DE TRABAJO DESARROLLO DE UN SISTEMA INTEGRADO DE GESTIÓN PARA EL GOBIERNO REGIONAL DE ATACAMA

AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS

Introducción. Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los Procesos

Modelo de Seguridad de la Información. Luis Mauricio Vergara Enero de 2013

Se aportan, para la configuración de este anexo, las categorías profesionales más habituales según la definición del MRFI-C:

TRANSPORTE PÚBLICO REGIONAL

UNIVERSIDAD TECNOLÓGICA DE PANAMÁ SECRETARÍA GENERAL FACULTAD DE INGENIERÍA DE SISTEMAS COMPUTACIONALES

SGSI Poniendo orden a la seguridad. Eduardo Bergasa eduardo.bergasa@unirioja.es

Seguridad y Protección de Datos en la Administración de la Comunidad Foral de Navarra

MODELOS DE ESTRUCTURA PARA LAS DIRECCIONES DE INFORMÁTICA

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ÍNDICE. PreparaTIC 6 junio 09. Ponente: Leonardo Ramírez Peña. Versión B

Crecimiento Y Desarrollo EXPERTOS EN SISTEMAS DE GESTIÓN. Página 1 de 10

Leopoldo Simó Ruescas Sbdi Subdirector General ladjunto de If Infraestructuras y Sistemas

PROGRAMA DEL CURSO. SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO DURACION:

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL

BOLETÍN OFICIAL DEL ESTADO

SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO

Consejería de Hacienda Vice cons. de Función Pública y Modernización D. G. de Atención al Ciudadano Calidad y Modernización Febrero 2014

FICHA DE PROYECTO PLANEACIÓN TACTICA. Permanente. de Servicios de Tecnologías de Información. Tecnologías de la información y comunicación.

V.4 SUBDIRECCIÓN DE TECNOLOGÍAS DE INFORMACIÓN

ANÁLISIS DE RIESGOS EN LA GESTIÓN DE PROYECTOS. Los riesgos son eventos o condiciones inciertas que, si se producen, tienen un

Implantación Exitosa de la Normativa sobre Seguridad de la Información en el Estado Uruguayo

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

ISO IMPLEMENTADOR LÍDER CERTIFICADO

METODOLOGIAS DE AUDITORIA INFORMATICA

DOCUMENTO TECNICO PROGRAMA DE MEJORAMIENTO DE LA GESTIÓN (PMG) PROGRAMA MARCO AÑO 2013

Tenemos que tener en cuenta que los principales objetivos del ENS son:

Resumen General del Manual de Organización y Funciones

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO

PROGRAMA DE GESTIÓN DOCUMENTAL DE LA CÁMARA DE COMERCIO DE BOGOTÁ

Estándares de Seguridad

2014. GESCONSULTOR / GESDATOS Software, S.L. Todos los derechos reservados.

Entendiendo los SGSI. De la norma a la obtención de beneficios. Entendiendo los SGSI_ pptx 26 de Marzo de 2015

SEGURIDAD DE LA INFORMACIÓN

PROGRAMA DE GESTIÓN DOCUMENTAL

Implantación de un SGSI

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

DIA 23, Taller SGSI. Andreu Bravo. Seguridad de la Información - Grupo Gas Natural º ENCUENTRO NACIONAL DE LA INDUSTRIA DE SEGURIDAD

UNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS

PROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES

Sistemas de Gestión de la I+D+i: UNE :2014

COMITÉ TECNICO DE NORMALIZACION DE GESTION Y ASEGURAMIENTO DE LA CALIDAD

1. Aplica medidas de seguridad pasiva en sistemas informáticos describiendo características de entornos y relacionándolas con sus necesidades

La calidad no está reñida con los costes

MODELO ORGANIZATIVO FUTURO Resumen Ejecutivo

1. Seguridad de la Información Servicios... 4

CURSO: Introducción al Uso de ITIL en las Empresas

Centro Nacional de Referencia de Aplicación de las TIC basadas en fuentes abiertas. Un ejemplo práctico: Plataforma de Archivo electrónico

ÍNDICE INTRODUCCIÓN DE LA INFORMACIÓN A LA SEGURIDAD DE LA INFORMACIÓN LAS NORMAS ISO Y LA NECESIDAD DE UNA HERRAMIENTA DE APOYO A LA CONSULTORÍA

EMPRESA DE ENERGÍA DE BOGOTÁ PROCESO DE CONVERGENCIA A NORMAS INTERNACIONALES DE INFORMACIÓN FINANCIERA NIIF

La seguridad integral

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL

Cómo hacer coexistir el ENS con otras normas ya

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón

El largo camino de un Plan Director de Seguridad de la Información

ANEXO TÉCNICO No. 2 SERVICIOS DE SEGURIDAD DE LA INFORMACION PARA LA SOLUCIÓN PROVISTA

PE06. RESPONSABILIDAD SOCIAL

Algunas estadísticas Problemática actual Gestionando la Inseguridad en las aplicaciones Conclusiones Información adicional Preguntas

SECRETARÍA NACIONAL DE LA NIÑEZ Y LA ADOLESCENCIA MODELO ESTANDAR DE CONTROL INTERNO - MECIP

Tecnología de la Información. Administración de Recursos Informáticos

Implantación de un sistema de gestión de la seguridad de la información y certificación ISO en la Administración Pública


Subdirección General de Tecnologías de la Información y las Comunicaciones. Pedro Ángel Merino Calvo Jefe del Servicio de Auditoría y Seguridad

Modelos de gestión de proyectos informáticos

Gestión del Servicio de Tecnología de la información

Technology and Security Risk Services Planes de Continuidad de Negocio

Aseguramiento de la Calidad

DEPARTAMENTO DEL META MUNICIPIO DE PUERTO LLERAS NIT CONTROL INTERNO INFORME SEGUIMIENTO MAPA DE RIESGOS

1.1. Sistema de Gestión de la Calidad

Gobierno, riesgo y cumplimiento

Elementos requeridos para crearlos (ejemplo: el compilador)

Estándares de Información Primaria, Secundaria, Sistemas de Información. Estándares de Macroprocesos, Procesos y Procedimientos Diseñados.

PROGRAMA DE GESTIÓN DOCUMENTAL

ISO 9001:2015 Todo sobre la Prevención de Riesgos dentro de las Organizaciones

SISTEMA DE GESTIÓN DE CALIDAD BASADO EN ISO 9001: 2015 EQUIPO TÉCNICO NÚMERO 5

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA

PLAN DE INTEGRACIÓN DE LAS TIC EN EL CENTRO

Condiciones para que la Gerencia de Seguridad de. permanezca vigente.

Master en Gestión Integrada en el Sector Sanitario: ISO 9001, ISO 13485, ISO e ISO 27001

PLAN ESTRATÉGICO DEL SERVICIO DE GESTIÓN DE PERSONAL ( )

IFCT0609 Programación de Sistemas Informáticos

NORMA ISO Estos cinco apartados no siempre están definidos ni son claros en una empresa.

IMPLANTACIÓN DE UN SISTEMA DE GESTIÓN Y MEJORA DE LA EFICIENCIA ENERGÉTICA SEGÚN LA NORMA UNE-EN 16001

[Guía de auditoría AudiLacteos]

Pragmatica C O N S U L T O R E S

ÍNDICE LOS AUTORES...13 PRÓLOGO...15 NOVEDADES DE ESTA CUARTA EDICIÓN...17 AGRADECIMIENTOS...23

Transcripción:

Plan de Seguridad Integral de los Sistemas de Información de la Diputación Foral de Gipuzkoa Martes, 15 de Marzo de 2005 1

1 2 3 4 5 6 7 Presentación de IZFE Motivación del Plan Director de Seguridad Enfoque y Metodología del Plan Alcance del Plan Resumen de los Proyectos del Plan Factores Críticos de Éxito Próximos Pasos 2

1. Presentación de IZFE Informatika Zerbitxuen Foru Elkartea - Sociedad Foral de Servicios Informáticos, de la Diputación Foral de Gipuzka Desde 1981 CPD Diputación Foral de Gipuzkoa A partir de 1993 empresa pública: IZFE S.A. CLIENTES: Diputación Foral de Gipuzkoa (Departamentos) Ayuntamientos de Gipuzkoa Juntas Generales MISION: Proporcionar un servicio integral en todo lo relacionado con los Sistemas de Información. 3

1 2 3 4 5 6 7 Presentación de IZFE Motivación del Plan Director de Seguridad Enfoque y Metodología del Plan Alcance del Plan Resumen de los Proyectos del Plan Factores Críticos de Éxito Próximos Pasos 4

2. Motivación del Plan Director de Seguridad Por qué un Plan Director de Seguridad? Importancia cada vez mayor de la seguridad de la información Consideración de la seguridad con una visión integral (tecnológica, organizativa, legal, recursos humanos,...) Iniciativas tomadas aisladas Heterogeneidad de sistemas e infraestructuras Diferentes requisitos de seguridad Necesidad de abordar la seguridad en un plan coherente y sistemático que marque las pautas y directrices a seguir 5

2. Motivación del Plan Director de Seguridad Por qué un Plan Director de Seguridad? (cont.) Alineamiento con el sistema de gestión de calidad y demás sistemas de gestión de IZFE Necesidad de cumplir ordenadamente con un requerimiento legal (LOPD) Necesidad de mantener una atención permanente sobre seguridad debido a Nuevas versiones de software propio y de los sistemas Vulnerabilidades que se descubren constantemente Acción de los hackers 6

1 Introducción: IZFE 2 3 4 5 6 7 Motivación del Plan Director de Seguridad Objetivos del Plan Alcance del Plan Resumen de los Proyectos del Plan Factores Críticos de Éxito Próximos Pasos 7

3. Objetivos del Plan Objetivos Definición del Modelo de Seguridad (a futuro): Política de seguridad Sistemas de información agrupados en Dominios con los mismos requerimientos de seguridad Buenas Prácticas o Controles de seguridad por Dominio Niveles de seguridad por cada Control: nivel mínimo, deseable, máximo Estructura organizativa para la gestión de la seguridad Elaboración del Plan Director de Seguridad A partir de las diferencias entre situación actual y Modelo de Seguridad A 3 años Proyectos Organizativos, Tecnológicos y Mixtos Secuencia temporal y Dependencia entre los proyectos Cuantificación de recursos y costes 8

3. Objetivos del Plan (cont.) Enfoque del Plan GLOBAL: todos los Sistemas de Información de la Diputación de Gipuzkoa Según estándares internacionales (ISO 17799) adaptados a la cultura y necesidades de IZFE Teniendo en cuenta el cumplimiento de los requerimientos legales 9

3. Enfoque y Metodología del Plan Metodología Fase I Conocimiento del Entorno Fase II Marco de Referencia Fase III Modelo de Seguridad Fase IV Plan de Acción 10

3. Enfoque y Metodología del Plan Metodología (cont.) Fase I: Conocimiento del Entorno Conocimiento del Entorno informático Identificación de Aplicaciones Identificación de la seguridad de las Aplicaciones Fase II: Marco de Referencia Ámbito de Actuación Amenazas y Buenas Prácticas (ISO 17799) Definición de Dominios de Seguridad 11

3. Enfoque y Metodología del Plan Metodología (cont.) Fase III: Modelo de Seguridad Política de Seguridad Organización de Seguridad Cuerpo Normativo de Primer Nivel, del Sistema de Gestión Documental de Seguridad Definición de Controles de Seguridad en base al ISO/IEC 17799 Por cada control: Niveles de seguridad desarrollados en base al ISO 17799 y Objetivos de cumplimiento Arquitectura Funcional de Seguridad Revisión de Seguridad y Diagnóstico de Seguridad Interna / Externa Fase IV: Plan de Acción Análisis de las diferencias Informe de Riesgos Informe de Proyectos Plan de Implantación 12

1 Introducción: IZFE 2 3 4 5 6 7 Motivación del Plan Director de Seguridad Enfoque y Metodología del Plan Alcance del Plan Resumen de los Proyectos del Plan Factores Críticos de Éxito Próximos Pasos 13

4. Alcance del Plan Áreas de ISO 17799 que se consideraron Política de Seguridad Estructura Organizativa para la Seguridad Clasificación y Control de Activos Seguridad frente a Acciones Humanas Seguridad Física y del Entorno Gestión de Comunicaciones y Operaciones Control de Accesos Desarrollo y Mantenimiento de Sistemas Gestión de Continuidad de Negocio Conformidad legal 14

1 Introducción: IZFE 2 3 4 5 6 7 Motivación del Plan Director de Seguridad Enfoque y Metodología del Plan Alcance del Plan Resumen de los Proyectos del Plan Factores Críticos de Éxito Próximos Pasos 15

5. Resumen de los Proyectos del Plan Más de 40 proyectos priorizados y agrupados en Áreas de seguridad: Organización y Gestión de la Seguridad Establecimiento de Medidas Preventivas y de Configuración Segura Gestión de Riesgos y Protección de Activos Securización de la Infraestructura de Comunicaciones Gestión de Incidentes de Seguridad Gestión de Usuarios, Control de Acceso y Privilegios Desarrollo y Mantenimiento de Aplicaciones Convergencia de los Sistemas a la Legislación Aseguramiento de la Continuidad de Negocio Seguridad Física 16

5. Resumen de los Proyectos del Plan Algunos proyectos emblemáticos: De carácter organizativo SEG-3: Definición, aprobación y ejecución de un Plan de formación de seguridad para el personal SEG-10: Definición de responsabilidades y mejores prácticas de seguridad en los términos y condiciones de empleo SEG-11: Identificación, desarrollo y divulgación de cláusulas contractuales para relaciones con terceros y outsourcing SEG-28: Desarrollo y adopción de una metodología de gestión de incidentes de seguridad, que contemple mecanismos y procedimientos de monitorización continua, detección, análisis y respuesta SEG-33:Desarrollo y adopción de una metodología de gestión de la seguridad en el ciclo de vida de desarrollo de productos y servicios 17

5. Resumen de los Proyectos del Plan Algunos proyectos emblemáticos: De carácter técnológico SEG-15: Desarrollo y adopción de una metodología y guías de configuración seguras de los diferentes sistemas SEG-26: Diseño e implantación de una solución de detección de intrusiones SEG-34: Desarrollo de guías de programación segura que recojan las mejores prácticas de codificación para los lenguajes y entornos existentes SEG-39: Implantación del conjunto de herramientas para la ejecución de la metodología de revisiones de seguridad SEG-44: Integración de la autenticación y la seguridad de las aplicaciones Host en RACF 18

5. Resumen de los Proyectos del Plan Algunos proyectos emblemáticos: De carácter mixto SEG-25: Diseño e implantación de una solución centralizada de logs SEG-27: Desarrollo y adopción de una metodología que garantice la trazabilidad de transacciones SEG-31: Revisión y mejora de los procesos de gestión de credenciales de autenticación SEG-32: Formalización del modelo de gestión de usuarios en la entidad, utilizando un sistema de gestión centralizado 19

1 Introducción: IZFE 2 3 4 5 6 7 Motivación del Plan Director de Seguridad Enfoque y Metodología del Plan Alcance del Plan Resumen de los Proyectos del Plan Factores Críticos de Éxito Próximos Pasos 20

6. Factores críticos de éxito A partir de la experiencia adquirida para asegurar la calidad del Plan: Necesidad de apoyo del Consejo, Comité de Dirección, etc. Necesidad de asignar un responsable interno para: Conocer la metodología Presentar el trabajo a los actores internos involucrados Participar en las actividades del Plan Revisar documentos 21

6. Factores críticos de éxito A partir de la experiencia adquirida para asegurar la calidad del Plan (cont.): Necesidad de un marco metodológico sólido Necesidad de asignar recursos y medios y mantenerlos en el tiempo Seguimiento de la evolución del Plan. 22

1 Introducción: IZFE 2 3 4 5 6 7 Motivación del Plan Director de Seguridad Enfoque y Metodología del Plan Alcance del Plan Resumen de los Proyectos del Plan Factores Críticos de Éxito Próximos Pasos 23

7. Próximos Pasos Revisión de las prioridades establecidas. Realización del Plan. 24

Gracias! 25

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback