Semana de Seguridad CTCR Índice 1.- Presentación empresa 2.- SGSI? 3.- Proceso de implantación SGSI Cómo asegurar la continuidad de mi negocio ante desastres y catástrofes imprevistas? Cristina Atienza
Desayuno de Trabajo 04/10/2012 Índice 1.- Presentación empresa 2.- SGSI? 3.- Proceso de implantación SGSI PRESENTACIÓN DE EMPRESA
Presentación de Empresa La Consultora Riojana experta en Seguridad de la Información. Equipo humano: Departamento Informático y Jurídico y Organizativo, que lleva a cabo los siguientes servicios: Implementación Sistemas de Gestión de la Seguridad de la Información [ISO 27001] Adaptación PERSONALIZADA a la Ley Orgánica de Protección de Datos [LOPD] y Ley de Servicios de la Sociedad de la Información y Comercio Electrónico [LSSICE] Auditorias de cumplimiento de Reglamento de Medidas de Seguridad Concienciación de la seguridad de la Información Adaptación de la Video Vigilancia
Presentación de Empresa Servicio Derecho Tecnológico Proyectos Destacados:
Presentación de Empresa ISO 27001 Los únicos Auditores y Especialistas Implantadores de Sistemas de Gestión de la Seguridad de la Información (ISO 27001) titulados por AENOR en La Rioja. La mitad de las empresas riojanas que actualmente están implantando ISO 27001 han confiado en la experiencia de DATALIA para desarrollar su SGSI. Proyectos Destacados: Doctor Fernando Gutiérrez Sada
Te imaginas una sociedad sin TIC s?
Todo es hackeable? Evolución de TI
* Estudio 2011 Imperva - http://www.diarioti.com/gate/n.php?id=29626 Fugas de información - Generalmente, las empresas desconocen la ubicación de los datos confidenciales que poseen - SOLO el 18% asegura conocer el número exacto de los archivos confidenciales que atesora - El 40% lo desconoce por COMPLETO - Un 65% reconoce NO estar SEGURO de quién tiene acceso a estos documentos - 82% manifiesta que deben reconsiderar las políticas empresariales de seguridad de datos
Fugas de información - 93% que pierden datos acaban cerrando antes de 5 años * Estudio de 2007 Bureau of Labor Statistics
Semana de la Seguridad Índice 1.- Presentación empresa 2.- SGSI? 3.- Proceso de implantación SGSI QUE ES UN SGSI? Sistema de Gestión de la Seguridad de la Información
Cuál es la información crítica de tu empresa? Depende de a quien le preguntes. Dpto. Comercial.- Listado de clientes Dpto. Financiero.- Contabilidad Dpto. RRHH.- Nóminas
Definición SGSI Definición SGSI: Sistema de Gestión de la Seguridad de la Información Objetivo: 1,- Identificar la información critica de la empresa 2,- Preservar la confidencialidad, disponibilidad e integridad de la información critica, de la empresa. 3,- Analizar los riesgos 4,- Plan de tratamiento de riesgos 5,- Implantación de contramedidas 6,- Documentar procedimientos
1,- Identificar información crítica Identificar nuestra información crítica No sólo datos personales Información indispensable para la empresa y su continuidad: Fórmulas de fabricación, producción Nóminas Márgenes de rentabilidad Listado de clientes empresas Ejemplos No se hace copia de seguridad de los correos electrónicos
2,- Valoración de los activos de información 1.- Confidencialidad: La propiedad por la información no se pone a disposición o se revela a individuos, entidades o procesos no autorizados. Reputación de mi empresa Pérdida de clientes Evitar sanciones económicas : LOPD, etc. 2.- Disponibilidad.- Cuánto tiempo puedo estar sin acceder a la información? Email: 24 horas Facturación: 1 semana Producción: 1 hora Que la info este disponible en plazo de fin de impuestos, de fin de concursos, etc. 3.- Integridad,- La propiedad de salvaguardar la exactitud y completitud de los activos Que nadie no autorizado los modifique
3,- Analizar los riesgos ANÁLISIS DE RIESGOS,- EVALUAR EL RIESGO Determinar las amenazas, vulnerabilidades, impactos. Amenaza.- Es una violación potencial de la seguridad. No es necesario que la violación ocurra para que la amenaza exista. Las amenazas explotan vulnerabilidades. Ejemplo: Que entren en mi sistema informático Vulnerabilidad.- Es una debilidad en un activo. No tener contraseña de entrada
3,- Analizar los riesgos Impacto.- La consecuencia para el negocio de que la amenaza explote la vulnerabilidad Ejemplo: Imagen ante los clientes, sanciones por incumplimiento.
3,- Analizar los riesgos EVALUACIÓN DE RIESGOS Amenaza X Impacto : NIVEL DE RIESGO Ej. Fórmulas de producción Manipulación X Alto (Autenticidad - Legal APPCC)= RIESGO ALTO Ej. No destrucción de nóminas en Dpto. Laboral en Asesoría Error de persona X Muy Alto (Confidencialidad Imagen empresa) = RIESGO MUY ALTO
ANÁLISIS DE RIESGOS Priorizar esfuerzos
Riesgos máximos a tratar en una empresa
4,- Plan de tratamiento de riesgos
Normativa ISO 27001: Especificación para la construcción de un SGSI Especifica los requisitos para establecer, implantar, documentar y evaluar un sistema de gestión de la seguridad de la información. ISO 27002: Buenas prácticas para la gestión de la seguridad. Define objetivos de control y controles de seguridad a utilizar para reducir y/o mitigar los riesgos. 11 bloques de control. 133 controles.
5,-Implantación de contramedidas CONTROLES DE SEGURIDAD 0-Introducción 4-Análisis y gestión de riesgos 5-Política de Seguridad 6-Estructura Organizativa para la Seguridad 7-Clasificación y control de Activos 8- Seguridad en el Personal 9-Seguridad física y del entorno 10-Gestión de Comunicaciones y operaciones 11-Control de Accesos 13-Gestión de Incidencias 14-Gestión de Continuidad del negocio 15-Cumplimiento 38 objetivos de seguridad 134 controles de seguridad
6,-Documentacion de procesos
6,-Documentacion de procesos
Proceso de Implantación
Proceso de Implantación ARRANQUE DEL PROYECTO Compromiso de la Dirección: Apoyo claro de la Dirección al proyecto Responsables: Vinculación de los responsables de los procesos críticos en la implantación (Dpto. RRHH, Dpto. Producción, Dpto. Comercial)
Proceso de Implantación PLANIFICACIÓN DEL PROYECTO Fases de la Planificación: - Alcance: Procesos de negocio críticos para la empresa Cuál es el proceso crítico de mi negocio? P. Producción P. Comercial P. Personal - Política de Seguridad: Marco General del Proyecto que incluye los objetivos de seguridad.
Proceso de Implantación ANÁLISIS DE RIESGOS Fases del Análisis: - Inventario de activos: Activos de información que tienen valor para la empresa dentro de los procesos críticos. Servidor Expedientes ERP - Análisis de amenazas y vulnerabilidades: Amenazas que afectan a los activos de información Fuego Error del personal responsable
Proceso de Implantación ANÁLISIS DE RIESGOS Fases del Análisis: - Identificar los impactos: Consecuencias sobre la información si se cumple la amenaza: Disponibilidad: No puedo acceder a la información Autenticidad: No puedo asegurar que la informaciones veraz Confidencialidad: A mi información tiene acceso cualquiera En relación a los siguientes escenarios: Legal: Incumplimiento de ley Imagen: Afecta a la imagen de mi empresa Operativa de empresa: Retrasa mi rutina de trabajo
Proceso de Implantación TRATAMIENTO DE RIESGO Gestión del Riesgo:
-Implantación de contramedidas ISO 27002 ESTABLECE CONTROLES A IMPLANTAR
Proceso de Implantación REVISIÓN DEL SISTEMA Fases de la Revisión: - Revisar el SGSI - Auditorias internas del SGSI - Registrar acciones y eventos - Medir eficacia de los controles
Gracias por su atención Cristina Atienza - Directora Técnica catienza@datalia.info