Esquema Nacional de la Seguridad. RSA, la División de Seguridad de EMC

Documentos relacionados
DECLARACION DE CONFORMIDAD AL PLAN DE ADECUACION DEL ENS

LAS PREGUNTAS CLAVE DEL ESQUEMA NACIONAL DE SEGURIDAD

Soluciones para la Gestión Corporativa del Esquema Nacional de Seguridad Taller T11

EL PROCESO DE AUDITORÍA DE CERTIFICACIÓN DEL ENS

El Esquema Nacional de Seguridad

Abrimos la puerta a Solvencia II. GOMARQ CONSULTING, S.L Marqués de Salamanca, 10, 6º D MADRID

Taller Red de Compliance y Buenas Prácticas: Big Data y Compliance" Seguridad de Datos

Consistently Enforcing IT Compliance

Anexo III COBIT. Relaciones de los Objetivos de Control Dominios, Procesos y Objetivos de Control

Implantación del Esquema Nacional de Seguridad. Alberto López Responsable de Proyectos Dirección de Operaciones

Módulo IV. Control de riesgos en la empresa (I) -Modelos GRC-

CONTENIDO DEL ESQUEMA NACIONAL DE SEGURIDAD (ENS)

Política de Seguridad de Aragonesa de Servicios Telemáticos

Reingeniería de Procesos e Infraestructuras. Mayo 2010

Norma IRAM-ISO/IEC 27001

Security, Control Interno & Compliance desde la óptica de Riesgo Operativo

Mejores prácticas de Tecnología de la Información

Comisión de Auditoría. Propuesta de Política Control y Gestión de Riesgos Madrid, 23/02/2016

CASH. Política de Control y Gestión de Riesgos

Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC 27001:2014 (130 horas)

Asesoramiento en el ámbito de gestión de riesgos, controles y prevención del fraude

Sistemas de Información para la Gestión

Mapping security controls for. Miguel Ángel Arroyo Moreno IS Auditor SVT Cloud & Security Services

Políticas Corporativas

ANEXO E Gestión de roles y responsabilidades

POLÍTICA DE GESTIÓN DE RIESGOS

Técnico en Sistema de Gestión de Seguridad de la Información ISO/IEC 27001:2014

Diplomado Gestión de la Seguridad de la Información

ORGANIZACIÓN DEL DEPARTAMENTO DE AUDITORÍA INFORMÁTICA

POLÍTICA DE GESTIÓN DE RIESGOS

Política Gestión de Riesgos

POLÍTICA DE GESTIÓN CALIDAD MEDIO AMBIENTE. POLÍTICA DE GESTIÓN Pág 2 de 5

ESQUEMA NACIONAL DE SEGURIDAD Guía para responsables

Lecciones aprendidas de implementación GRC. 20 de Abril, 2016

ISO Daniel Pedrajas Van de Velde Sara Estellés Rojas Carlos García

Preparándose para la continuidad de negocio y la seguridad de la información en El Salvador


Perito Judicial en Análisis y Auditoría Pericial de los Sistemas de Seguridad de la Información ISO (330 horas)

Perito Judicial en Análisis y Auditoría Pericial de los Sistemas de Seguridad de la Información ISO (330 horas)

GRC BASADO EN INTELIGENCIA PARA SEGURIDAD

GDPR Y EL PROCESO DE INCIDENT RESPONSE. Juan Jesús Merino Torres. National Channel Country Manager

Tufin Orchestration Suite

*[ Adecuación al Esquema Nacional de Seguridad: Un Enfoque Integral ]

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE UNIÓN DE MUTUAS

Consideraciones en la selección de una solución GRC

UNE-ISO SISTEMAS DE GESTIÓN DE COMPLIANCE SISTEMAS DE GESTIÓN NO ACREDITADOS

Por qué el ENS? Seguridad de la Información Físicos Lógicos incluidas las entidades locales

Plan de Seguridad de la Información de de Abril de de 2008

CERTIFICACIÓN EN EL ESQUEMA NACIONAL DE SEGURIDAD

Políticas Corporativas

LA GESTIÓN DE TESORERÍA CON SAP

Política de Prevención de Delitos Mutua Universal

La trusted Cloud T12 La seguridad está evolucionando al mismo ritmo que el Cloud?

Riesgos de acceso no autorizado: los beneficios de una solución IAM

AUTOMATIZAR. procesos para AYUDAR A LA GENTE

Rol del auditor interno para evaluar la gestión del riesgo de Ciber Seguridad Gabriel Santiago Alderete

1. PRELIMINARES DEL CARGO

Métrica v2.1 - Fase 0: Plan de Sistemas de Información. Enginyeria del Software. Curs 99/2000. Francisca Campins Verger

POLÍTICA DE GESTIÓN DE RIESGOS

DIGITAL BUSINESS ASSURANCE. Formación Especializada en Ciberseguridad

Decreto No. 4 Corte de Cuentas de la República

INSA, INGENIERÍA Y SERVICIOS AEROESPACIALES

SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN, RIESGOS Y CONTINUIDAD DE NEGOCIOS

POLÍTICA DE GESTIÓN DE RIESGOS DE CORPORACIÓN FINANCIERA ALBA, S.A. 1

Administración Datacenter 1

Postgrado en Gestión y Auditoría de Sistemas de Seguridad de la Información ISO 27001:2014

SEGURIDAD AVANZADA. Nombre

POLÍTICA DE CONTROL, ANÁLISIS Y VALORACIÓN DE RIESGOS. Aprobada por el Consejo de Administración de fecha 27 de febrero de 2017

Mejores Prácticas sobre Normativa de Ciberseguridad AGENDA. Ataques Cibernéticos al Sistema Financiero Internacional

Gestión de Vulnerabilidades, Configuraciones y Cumplimiento Normativo. Saber. Knowledge Base Service Assurance de NetIQ

PRINCIPIOS DE BASILEA

Gestión de Continuidad de Negocios. Enero de 2011

ANEXO 4: CONTROLES DE LOS ESTÁNDARES ISO/IEC 17799, SECCIONES 5 A 15

CAPÍTULO 9. SEGURIDAD DE LA INFORMACIÓN CÓDIGO SEP

*[ Adecuación al Esquema Nacional de Seguridad: Un Enfoque Integral ]

Marco de Propensión al Riesgo

Propósito del Cargo. Funciones Generales

SISTEMA DE GESTION DE PREVENCIÓN DEL DELITO

República de Panamá Superintendencia de Bancos

La Construcción de su Nube. Copyright 2011 EMC Corporation. Todos os direitos reservados.

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

TU SEGURIDAD EN TODO LUGAR, EN TODO MOMENTO. ASESORÍA EN GESTIÓN DE RIESGOS CORPORATIVOS.

MANDATO DE LA FUNCIÓN DE AUDIT. (Aprobado por el Consejo de Administración de Enel Green Power, el 12 de marzo de 2015)

20414C Implementar una Infraestructura Avanzada Windows Server 2012

Normas Internacionales

ADAPTACIÓN A LA NORMATIVA EUROPEA DE COMPRAS CONSULTORÍA

ORGANIGRAMA Y PREVENCIÓN DE CONFLICTOS DE INTERÉS

Definiendo Prioridades

A conocer por medios electrónicos el estado de tramitación de los procedimientos en los que sean interesados

Principales Retos en las Empresas Públicas Principales Oportunidades de la Gestión Financiera Buenas Prácticas de Efectividad y Eficiencia

Mejora del Sistema de Gestión n Ambiental Objetivos, Metas y Programas. Mejora del Sistema de Gestión Ambiental

POLÍTICA DE CIBERSEGURIDAD DE SIEMENS GAMESA RENEWABLE ENERGY, S.A.

PERSONAL TECNIC Personal Tecnic SL

NORMAS INTERNACIONALES AUDITORÍA INTERNA

SMART DIGITAL SEGOVIA PROGRAMA DE CIUDADES INTELIGENTES DE LA AGENDA DIGITAL PARA ESPAÑA

Ingeniería Técnica en Informática Escuela Universitaria de Informática Universidad Politécnica de Madrid. Asignatura: Administración de Bases de Datos

SISTEMA DE CONTROL INTERNO. Secretaría General

ESTATUTO DE LA VICEPRESIDENCIA DE AUDITORIA INTERNA BANCOLOMBIA S.A. Y SUS UNIDADES DE NEGOCIO

Transcripción:

Esquema Nacional de la Seguridad RSA, la División de Seguridad de EMC

Real Decreto 3/2010 El Real Decreto 3/2010, de 8 de enero (BOE de 29 de enero), por el que se regula el Esquema Nacional de Seguridad en el ámbito de la administración electrónica, regula el citado Esquema previsto en el artículo 42 de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos. Su objeto es establecer la política de seguridad en la utilización de medios electrónicos y está constituido por principios básicos y requisitos mínimos que permitan una protección adecuada de la información. Su ámbito de aplicación es el establecido en el artículo 2 de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos.

ENS: Plazos de aplicación Primer plazo: 30 de Enero de 2011 Si no se puede implantar hay que desarrollar un Plan de Adecuación antes del 30 de Enero de 2011 Implantación final: 30 de Enero de 2014

Principios Básicos Función diferenciada de Seguridad Seguridad integral Reevaluación periódica Gestión seguridad basada en el riesgo Líneas de defensa Prevención reacción y recuperación

Requisitos Mínimos Análisis Organización e implantación del proceso de seguridad Análisis y gestión de los riesgos Control Físico Gestión de personal Profesionalidad Autorización y control de los accesos Protección de las instalaciones Control Funcional Adquisición de productos Seguridad por defecto Integridad y actualización del sistema Protección de la información almacenada y en tránsito Prevención ante otros sistemas de información interconectados Registro de actividad Gestión y Mejora Continua Incidentes de seguridad Continuidad de la actividad Mejora continúa del proceso de seguridad

Proceso Continuo Análisis Selección de procesos Identificación Activos Categorización BÁSICO/MEDIO/ALTO Selección de Medidas Auditoria Plan de Implantación Revisión Actualización Mejora

Principios de gestión del ENS Para cubrir todos estos principio se necesita una gestión integral y continua de los distintos factores de la seguridad: Políticas Riesgos Incidentes Controles técnicos Control de Personal Control de Proveedores Disponibilidad de los procesos Gestión de la Auditoría Los proveedores de seguridad hemos estado ofreciendo soluciones completas para reducir el coste de la gestión y control de todo el proceso mediante egrc

Introducción al egrc Enterprise Governance, Risk and Compliance Corporativa: se aplica a todos los departamentos y procesos de la entidad Gobierno: es la cultura, políticas, procesos, leyes e instituciones que definen la estructura que dirige y gestiona una entidad. Riesgo: es el efecto de lo incierto en los objetivos de la entidad; la gestión del riesgo son las actividades dirigidas a controlar la organización en la realización de sus actividades mientras se gestionan el impacto de los eventos negativos. Cumplimiento: es el acto de adhesión a, y ser capaz de demostrar la adhesión a, leyes y reglamentos externos, así como las políticas y procedimientos internos.

RSA Archer egrc Administración de continuidad del negocio Automatice el enfoque para la continuidad del negocio y la planificación de la recuperación de desastres, y permita una administración rápida y efectiva de las crisis mediante una solución centralizada. Administración de amenazas Rastree las amenazas mediante un sistema centralizado de advertencias prematuras que ayuda a prevenir los ataques antes de que afecten a la empresa. Administración de auditorías Administre de manera centralizada la planificación, la priorización, la dotación de personal, los procedimientos y la creación de informes para auditorías a fin de mejorar la colaboración y la eficiencia. Administración de políticas Administre políticas de manera centralizada, asócielas con los objetivos y las pautas, y promueva el conocimiento para apoyar una cultura de gobierno corporativo. Administración de riesgos Identifique los riesgos de su negocio, evalúelos mediante estudios y métricas en línea, y responda mediante corrección o aceptación. Administración del cumplimiento de normas Documente su marco de trabajo de control, evalúe la eficacia operacional y del diseño, y responda a los problemas de cumplimiento de regulaciones y políticas. Administración de proveedores Centralice los datos de los proveedores, administre las relaciones, evalúe el riesgo de los proveedores y garantice el cumplimiento de normas para sus políticas y controles. Administración de incidentes Informe los incidentes y las violaciones éticas, administre su escalación, rastree las investigaciones y analice las resoluciones. Administración empresarial Administre las relaciones y las dependencias dentro de su jerarquía y su infraestructura empresariales para soportar las iniciativas de GRC.

Modelo de Gestión Integral mediante egrc OBJETIVOS CORPORATIVOS Gestión de Gobierno, Riesgos y Cumplimiento Definir Política Mapear los Controles Evaluar Riesgos Añadir Contexto Monitorizar Auditar Informar Correlar Recolectar IDENTIDADES INFRASTRUCTURA INFORMACIÓN Gestionar Monitorizar Detectar Aplicar

La visión de RSA para la gestión integral de la seguridad Event Aggregation IPS Auth FW envision AV WAF AD WLAN EP URL DLP Identity Data Enhancement Location Division Department Geo Info Regulation Data Asset Value Business Reporting Incidents CIRT Eng. Legal Archer Threats HR Policies SOC Investigations

Cobertura de Gestión del ENS con egrc Artículo 14. Gestión de personal Artículo 13. Análisis y gestión de los riesgos Artículo 9. Reevaluación periódica Artículo 18. Adquisición de productos de seguridad Artículo 34. Auditoría de la seguridad Artículo 5. La seguridad como un proceso integral. Artículo 24. Incidentes de seguridad (Registro) Artículo 6. Gestión de la seguridad basada en los riesgos Artículo 35. Informe del estado de la seguridad Artículo 7. Prevención, reacción y recuperación

Ventajas Principales de Gestión del ENS mediante egrc Reducción de Costes Reducción de costes de gestión operativa de la seguridad en cada proceso bajo control, automatización de los puntos de control Reducción de tiempos para la obtención de los informes del estado de la seguridad (Art. 35) Reducción de costes de preparación de auditorías (Art. 34) Mejora de la Visibilidad Ver en cada momento el nivel de adecuación al ENS Visibilidad global de los incidentes y su impacto en el cumplimiento (Art. 24) Facilita la Adecuación al Modelo Gestión de la seguridad basada en los riesgos y su gestión (Art. 6, Art. 13) Aplicación de manera integral (Art. 5)

Conclusiones El ENS requiere una extensión de la gestión de la seguridad: Aplicación de la seguridad de manera integral a todos los servicios Una gestión de la seguridad basada en los riesgos, su definición y control y el impacto en las políticas de la entidad La supervisión, no solo de los sistemas y comunicaciones, sino también de las personas y proveedores El modelo de gestión de la seguridad mediante herramientas de egrc facilita la adecuación del ENS: Reduciendo los costes de cumplimiento Mejorando la visibilidad de la seguridad Facilitando la adecuación al modelo desde el principio del proceso

GRACIAS!

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback