El papel del Plan Director de Seguridad en las organizaciones



Documentos relacionados
GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP

Documento 8. Documento de Empresa Participante Programa PIPE

Evaluación del Software


Revisión ISO 9001:2015 Preguntas frecuentes

ISO 9001:2008. ISO 9004:2000. Directrices para la mejora del desempeño. ISO 19011:2002. Directrices para la auditoría de los sistemas

Curso Auditor Interno Calidad

PROCEDIMIENTO REVISION POR LA DIRECCION DEL SGC

INFORME DE RESULTADOS ENCUESTA DE SATISFACCIÓN DEL PERSONAL DE ADMINISTRACIÓN Y SERVICIOS UNIVERSIDAD CATÓLICA SAN ANTONIO DE MURCIA

PROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES

Protocolo del Sistema de alerta temprana e intervención en emergencias de Salud Pública

Operación 8 Claves para la ISO

Ética en la Investigación con animales. Mod.4 - UD-3. ASPECTOS METODOLÓGICOS

Esther Moreno Maté Subdirección de Calidad. Servicio Madrileño de Salud. 24 de septiembre de 2013

Curso Auditor Interno Calidad

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC Antonio Villalón Huerta Grupo S2

CAPITULO VI CONCLUSIONES. Al haber analizado los conceptos presentados en este trabajo, pudimos llegar a la

PLANES DE EMPRESA ICEX CONSOLIDA. Manual de Usuario

Plan Director de Seguridad del Gobierno de Navarra. 15 de Marzo de 2005

PROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES

CURSO BÁSICO DE MEDIO AMBIENTE

Proyecto final de curso Android: Programación de aplicaciones (3ª edición online, octubre-enero 2013)

ISO14001: disponer de un certificado bajo la versión de 2008 en vigor - superar una auditoria bajo los requisitos de la nueva versión

DUDAS DE ACCESO / PROBLEMAS DE ACCESO MÁS FRECUENTES

ENTREVISTA A OLGA GÓMEZ

Quiero mucho este trabajo, me llena a pesar de sus pros y contras.

PROGRAMA DE ACCIONES DE MEJORA 2014

Sistema de Gestión de Seguridad de la Información

Introducción. La diferenciación positiva de las empresas de APROSER

El transporte de mercancías por carretera en vehículos españoles en Europa y Marruecos

COORDINADOR DE SEGURIDAD Y SALUD EN LAS OBRAS DE CONSTRUCCION

PROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES

COMO REALIZAR UN DIAGNÓSTICO INICIAL Y DEFINIR LA POLITICA DE SEGURIDAD PARA EL SISTEMA DE GESTIÓN EN CONTROL Y SEGURIDAD BASC

Este documento responde a las preguntas frecuentes sobre la próxima introducción de las nuevas Collections por sectores de Autodesk.

E.- CONTENIDO Y ESTRUCTURA DEL PLAN DE INTERVENCIÓN PARA LA MEJORA

Reportes de sostenibilidad. Parte 1: concepto, beneficios y contenido

Continuidad del Negocio y Recuperación de Desastres (BCM Business Continuity Management / DRM Disaster Recovery Management)

PODER ADJUDICADOR: DIPUTACIÓN PROVINCIAL DE ALBACETE

COPPEL MANUAL TÉCNICO MCC DE SISTEMAS PROGRAMACIÓN DESCRIPCIÓN DEL PROCESO DE ARQUITECTURA DE SOFTWARE

ESQUEMA PARA EL PROYECTO SOCIO TECNOLÓGICO DEL TRAYECTO IV (GESTIÓN DE PROYECTOS) FASE II.

NORMA TÉCNICA DE AUDITORÍA SOBRE CONSIDERACIONES RELATIVAS A LA AUDITORÍA DE ENTIDADES QUE EXTERIORIZAN PROCESOS DE ADMINISTRACIÓN

CAPÍTULO I INTRODUCCIÓN. 1.1 Introducción. económico en que se desarrollan los negocios es altamente dinámico y como tal está en

Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001

Santiago, Antofagasta, Concepción y Puerto Montt

Nueva. en La Norma ISO de sistemas GESTIÓN AMBIENTAL

Operativa en Acciones: Introducción a la Bolsa

Guía del viajero inteligente

NUEVA EDICION NORMA ISO 9001 AÑO 2015: SISTEMAS DE GESTIÓN DE LA CALIDAD Ing. Laura Barrantes Chaves, Presidenta Comité Técnico 176. Costa Rica.

Política de Gestión Integral de Riesgos Compañía Sud Americana de Vapores S.A.

empresa, con el fin de recabar la informaciónnecesaria para poder identificar los ficheros existentes.

Programa 47 Formación continua para egresados

VENTAJAS Y DESVENTAJAS DE LAS TECNOLOGIAS

CURSO TALLER Norma ISO sobre Gestión de Seguridad de la Información

/03 a.l. ILMO. SR. ALCALDE-PRESIDENTE DEL AYUNTAMIENTO DE ZARAGOZA Pl. del Pilar, ZARAGOZA I.- ANTECEDENTES

La Gestión Operativa: La Clave del Éxito.

El alumno conocerá el diseño y la planificación de estrategias corporativa y competitiva, para proyectar a la empresa en una posición de ventaja

Información al consumidor sobre los cambios normativos en la factura de la luz

Solicitud de elegibilidad de Health Express

PROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES

1.- REGIMEN JURÍDICO. La normativa a aplicar será como mínimo: Reglamento de Instalaciones de Protección contra Incendios.

Requisitos generales y Política medioambiental

En qué Momento se debe Instalar una Empresa? Cuál es el Proceso para Instalar la Primera Empresa?

Introducción Cómo empezar a monetizar mi blog? Porqué son tan interesantes los ingresos por sistemas de afiliados?...

Buenas prácticas para el borrado seguro de dispositivos móviles

Para una rentabilidad, visibilidad y comodidad óptimas

Servicios Administrados al Cliente

ENCUESTA PARA EGRESADOS MAESTRÍA EN PSICOTERAPIA HUMANISTA Y EDUCACIÓN PARA LA PAZ DE LA UACJ

Sistemas de Calidad Empresarial

Ciudad de México, Septiembre 27 de 2013.

GUÍA TÉCNICA PARA LA DEFINICIÓN DE COMPROMISOS DE CALIDAD Y SUS INDICADORES

DIAGRAMAS DE GANTT, DIAGRAMAS DE FLUJO Y PSEUDOCODIGO COMO HERRAMIENTAS PARA EL JUEGO PEDAGOGICO.

TALLER LA PLANEACIÓN ESTRATÉGICA UNA OPCIÓN EFECTIVA PARA LA GESTIÓN

Evaluación de sus Habilidades Comerciales

Cómo gestionar la seguridad de las redes de comunicación

CAPÍTULO V. Conclusiones y Recomendaciones. 5.1 Conclusiones. El presente trabajo tuvo como objetivo principal identificar si existen prácticas de

ELECTRONIC-HEALTH/ SALUD-ELECTRÓNICA. Personas con mentalidad del Siglo XIX, con hijos nacidos en el XX y con tecnología del Siglo XXI

IMPLEMENTACION DEL PROGRAMA 5 S. CAPITULO V Paradigmás s que imposibilitan la implementación n del programa 5 S S

PROCEDIMIENTO AUDITORIA INTERNA

Preparado especialmente Por Orgatec TUTORIAL. MEJORA CONTINUA Parte del Sistema de Gestión de Calidad

ORDENACIÓN DE LAS ACTUACIONES PERÍODICAS DEL CONSEJO SOCIAL EN MATERIA ECONÓMICA

Batería MC-UB Método de evaluación de riesgos psicosociales

Centrados en sus objetivos SERVICIOS Y SOPORTE DE AGILENT RESUMEN DE POSIBILIDADES

Gestión de Riesgos. En verdad todo puede salir mal. Ingeniería de Software 2 Gestión de riesgos 1

Las consultas se han agrupado en las siguientes cuestiones: En relación con el punto 5.1 que exige como requisito de solvencia técnica y profesional:

LA PLANIFICACIÓN ESTRATÉGICA EN MATERIA TIC EN EL ÁMBITO DE LA AGE

4.1.1 Identificación y valoración de los recursos necesarios para desarrollar la Propuesta Tecnológica

Director de línea: Gloria Amparo Rodríguez (enlace CvLac)

CUESTIONES PREVIAS. - Preguntas previas que una persona emprendedora debe realizarse: Qué objetivo persigo con la creación de mi propia empresa?

Nombre de la empresa: ESCUELA NACIONAL DE LA JUDICATURA. Dirección de la empresa: César Nicolás Penson, No. 59 Gazcue

Recolección de los Datos Personales

OFICIOS DEL CINE ESPAÑOL CAPITULO XXI PRODUCTORES ELLOS CREAN QUE VES

-ISO 9001: Norma más popular a nivel mundial. -Normas revisadas cada 5 años. -Antecedentes: ISO 9001/2:1994 ISO 9001:2000 ISO 9001:2008

de Procesos de Negocio 4. Productos de la ingeniería del software 5. Procesos de la ingeniería del software

MANUAL DE GESTIÓN: SISTEMA DE GESTIÓN DE LA CALIDAD EN LA UNIDAD de FORMACIÓN DE LA DIPUTACION DE MALAGA

Gestión de proyectos en CMMI

COMISIÓN DE AUDITORÍA Y CONTROL DE CAIXABANK, S.A.

GIO. Servicios de Gestión de Impresión Optimizada. El camino más rápido para optimizar sus sistemas de impresión

Transcripción:

El papel del Plan Director de Seguridad en las organizaciones Antonio Villalón Huerta Director Técnico de Explotación S2 Grupo

Introducción El Plan Director de Seguridad (PDS) es la herramienta que permite a una organización definir sus actividades en Seguridad de los Sistemas de Información a corto, medio y largo plazo. Determinando el estado de seguridad en que se encuentra mi organización y conociendo mi estado objetivo, puedo trazar una planificación que me permita alcanzar dicho objetivo. 2

Para empezar a trabajar... Antes de poder definir un Plan Director de Seguridad en la organización es necesario identificar los objetivos y las necesidades en materias de Seguridad de la Información: Requisitos de seguridad en el negocio. Criticidad de la información. Legislación aplicable.... Decisión a nivel estratégico: la seguridad debe ser respaldada al más alto nivel directivo. 3

El primer problema Cómo plasmo las directrices estratégicas en seguridad tangible? Debo hablar de seguridad de una forma objetiva: ISO 13335 / UNE 71501 ISO 15408 UNE-ISO/IEC 17799:2002, ISO/IEC 17799:2005 La norma ISO 17799 me permite marcar un objetivo de cumplimiento cuantitativo, un objetivo objetivo. 4

UNE-ISO/IEC 17799:2005 Táctico Estratégico Política de seguridad Aspectos organizativos para la seguridad Clasificación y control de activos Control de accesos Seguridad organizativa Seguridad lógica Seguridad física Seguridad legal Operativo Conformidad Seguridad de recursos humanos Gestión de incidentes de seguridad de la información Seguridad física y del entorno Adquisición, desarrollo y mantenimiento de sistemas Gestión de comunicaciones y operaciones Gestión de continuidad del negocio 5

Y ahora, qué? Conociendo cuantitativamente mis objetivos, debo identificar mi situación actual. Sé donde quiero estar: sabiendo donde estoy actualmente podré planificar el camino. Cómo? Auditoría ISO 17799:2005. Mido objetivamente mi seguridad en todos sus ámbitos: Físico. Lógico. Organizativo. Legal. 6

Auditoría ISO17799 Una auditoría ISO 17799 proporciona información precisa acerca del nivel de cumplimiento de la norma a diferentes niveles: global, por dominios, por objetivos y por controles. Gestión de continuidad del negocio Cumplimientos Política de seguridad 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% Seguridad organizativa. Organización de la seguridad Clasificación y control de activos Desarrollo y mantenimiento de sistemas Seguridad de personal Control de acceso Seguridad física o ambiental Gestión de comunicaciones y operaciones Objetivo PDS Año 2 PDS Año 1 Auditoría cumplimiento por dominio 7

Auditoría ISO17799: un ejemplo Dominio: Control de acceso. Objetivo: Prevenir el acceso no autorizado a los servicios de red. Control: Restricción de las posibilidades de conexión a la red corporativa desde otras redes. Análisis: Test de visibilidad. Test de penetración. Test de propagación. Revisión reglas de cortafuegos. Revisión registros NIDS. 8

Planificación Conozco cuantitativamente la situación actual y mi situación objetivo. Ya puedo planificar el camino a seguir: Plan Director de Seguridad. Nivel objetivo ISO 17799 Cumplimientos con la normativa Gestión de continuidad del negocio Desarrollo y mantenimiento de sistemas Dominios de control Control de acceso Gestión de comunicaciones y operaciones Seguridad física o ambiental Seguridad de personal Clasificación y control de activos Seguridad organizativa. Organización de la seguridad Política de seguridad 0,0% 10,0% 20,0% 30,0% 40,0% 50,0% 60,0% 70,0% 80,0% 90,0% 100,0% Grado de cumplimiento 9

El camino a seguir... Identificación de iniciativas y proyectos concretos, e implantación y seguimiento de los mismos: Plazos. Costes. Asignación de recursos.... Factor crítico de éxito: avance permanente. 'Retroceder nunca,...' 10

Un ejemplo Iniciativa para reforzar los controles de acceso a la información. Plazo estimado: 2 meses. Inversión: 8.000,00 euros. Tareas a desarrollar: Implantación nuevo cortafuegos. Configuración ACLs en routers. Políticas de contraseñas robustas. Honeytokens. Procedimientos de autorización de acceso. Definición de usuarios nominativos. Incremento dominio ISO 17799:2005: 43% 78% 11

Plan de trabajo Hitos intermedios y auditorías de cumplimiento en el camino: control de la implantación. Hito más crítico: nivel mínimo aceptable. Hasta no superarlo, debo preocuparme seriamente. Nivel de cumplimiento ISO 17799 (%) Z% Objetivo estratégico: Nivel de seguridad D Y% Nivel de seguridad necesario a corto plazo C B PAU Acciones urgentes X% A Situación actual t 1 t 0 t 2 t 3 Tiempo 12

Para acabar... El Plan Director de Seguridad tiene como primer gran objetivo el alcance de los niveles de seguridad estratégicamente aceptables. No sólo es importante el alcance, sino también el mantenimiento. Debo mantener en el tiempo los niveles alcanzados. No puedo permitirme ir hacia atrás. Cambios en el entorno. Alcanzado un nivel aceptable, puedo plantearme la certificación UNE 71502 / ISO 27001. El nivel aceptable incluirá la definición de un SGSI. 13

Conclusiones Tres pilares fundamentales para el Plan Director de Seguridad: Punto de partida. Objetivo marcado. Camino a recorrer entre ambos. No sólo es importante la definición del PDS: lo son más su cumplimiento y el avance permanente. Una vez he alcanzado mi objetivo debo mantenerlo a toda costa. 14

The End MUCHAS GRACIAS!! 15

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback