Sistema de Gestió de la Seguretat de la Informació seguint la norma ISO ISO per a la empresa INGENSA, S.L.

Documentos relacionados
D UN PAU. CURS DE PLANS D AUTOPROTECCIÓ Juny-juliol 2012

Protocol sindical davant la grip A. Protocol sindical davant la Grip A UGT de Catalunya 1

Seguretat informàtica

PEL REGISTRE DE LES ACTIVITATS DE LA VIDA DIÀRIA EN CENTRES DE GENT

Missió de Biblioteques de Barcelona

Perquè la millor solució de seguretat no és cara

Prevenció i Atenció a la Cronicitat de Catalunya

CANVIS EN L ESTRUCTURA DE PROVISIÓ DE SERVEIS D HABITATGE. MERCATS I POLÍTIQUES A LA BARCELONA DEL SEGLE XX

FORMACIÓ BONIFICADA. Gestió de las ajudes per a la formació en les empreses a traves de la Fundación Tripartita para la Formación en el Empleo

Empresa Iniciativa Empresarial. (Responsabilitat Social de l empresa) -UNITAT 3-

INFORME DE LA AUDITORÍA DE CERTIFICACIÓN

PROCÉS DE GESTIÓ DELS RECURSOS HUMANS

Informe: L ECONOMIA SOCIAL AL VALLÈS OCCIDENTAL

FORMACIÓ. gener / juny 2017 DESENVOLUPAMENT DEL TALENT ECONOMICOFINANCERA COMERCIAL MÀRQUETING INTERNACIONALITZACIÓ GESTIÓ EMPRESARIAL

Qüestionari d avaluació

OFICINES ENGINYERIA CIVIL DIRECCIONS D OBRA. ENGINYERIA DEL TERRENY PROSPECCIONS GEOTECNIQUES HIDROGEOLOGIA I HIDRAULICA

Àrea de Territori Serveis Municipals. Memòria 2014 Informe Final

GUIA CAPITALITZACIÓ DE L ATUR

Avançament d orientacions per a l organització i la gestió dels centres. Concreció i desenvolupament del currículum de l ESO

Dept. Serveis Informàtics Cr Pere Martell 2 Tel Fax Tarragona

Implantació de sistemes d aigües grises

Sol licitud d autorització sanitària d establiments de MENJARS PREPARATS Solicitud de autorización sanitaria de establecimientos de COMIDAS PREPARADAS

OHSAS 18001:2007 i normativa legal

RESUM DE LA LLEI DE DEPENDÈNCIA

5.2. TRAMITACIÓ. ANÀLISI DE LA DOCUMENTACIÓ 5.3. AUDITORIA PER A LA CERTIFICACIÓ

A.E.A: annex 2 VALORS DE MERCAT

VA ACUERDO CON EL BBVA: FINANCIACIÓN EN CONDICIONES ESPECIALES

XERRADA SOBRE LES DROGUES. Oficina de Relacions amb la Comunitat Comissaria de Mossos d Esquadra de Manresa. mossos d esquadra

CERTIFICACIÓN DE SISTEMAS DE GESTIÓN INFORME DE AUDITORÍA INTEGRA, ASSOCIACIÓ DE DISCAPACITATS INTEL LECTUALS

e 2 esplais al quadrat

Annex 1 Catàleg de llocs de treball de l Ajuntament de Barcelona. Sistema d Ordenació Municipal

TAULA D ADAPTACIÓ DE LA DIPLOMATURA EN RELACIONS LABORALS AL GRAU EN RELACIONS LABORALS

FORMACIÓ ÀREA TIC SEMI PRESENCIAL ( ANY 2011)

isalut Historia Clínica Compartida de Catalunya

Guia docent de l assignatura SEGURETAT DE TRANSPORTS I INFRAESTRUCTURES

BASES: 01 OBJECTIUS : Amb la concessió d aquest premi es volen assolir els següents objectius:


Tecnología móvil y bibliotecas Workshop REBIUN sobre Proyectos Digitales UPC, 23 de novembre de Roser Benavides Ollé

PARLA3 El teu futur parla idiomes

Índex de figures i taules

Quina riquesa té el meu purí? Ús del conductímetre

Informe sobre els estudiants de nou accés amb discapacitat (any 2015) Comissió d accés i afers estudiantils

Plan Director de Seguridad de la Información ISO/IEC 27001:2013

Què no és? Què és? Factura Electrònica (en el sector públic)

BOUPV. Butlletí Oficial de la Universitat Politècnica de València. p. 29 n85 1/2015

Seguretat de Pacients a Catalunya

PROYECTO Implementación del SGSI basado en ISO/IEC 27001:2013

SERVEIS SOCIALS ÀREA DE SERVEIS A LES PERSONES

Els processos com eina d organització. Experiència en l HUVH

L ús eficient de l energia a la llar

Dossier Exercicis GANTT CPM PERT

La marca de la Diputació de Barcelona

MTEM - Tecnologia de Fabricació per Mecanitzat

Especialista en Intervenció estratègica breu en context educatiu, sanitari i social

Conselleria d Agricultura, Medi Ambient, Canvi Climàtic i Desenvolupament Rural

TAULA D'EQUIVALÈNCIES DELS CERTIFICATS DE VALENCIÀ UNIVERSITAT DE VALÈNCIA

Noves tecnologies i comunicació 2.0 Usos i potencialitats del branding de les empreses en temps de crisi. Assumpció Huertas

INSTITUT GUTTMANN - DOSSIER INFORMATIU

POLÍTICA DE COOKIES. La información que le proporcionamos a continuación, le ayudará a comprender los diferentes tipos de cookies:

Política de privacidad en las Redes Sociales oficiales de INSERT STAR, S.L.U.

Jornada sobre l impacte de les normatives a la Gestió Econòmica i Pressupostària a les Entitats Locals

Pla d atenció integral a les persones amb trastorns de l espectre autista (TEA) Barcelona, 17 de juliol de 2013

Política de privacidad en las Redes Sociales oficiales de SOLUCIONES ASORCAD, S.L.

Exemple d'una avaluació de riscos

CERTIFICACIÓ D EFICIÈNCIA ENERGÈTICA D EDIFICIS

CONVOCATORIA 2014 DOCUMENTACIÓ DEL PROJECTE:

TRABAJO FINAL DE MÁSTER

4. SISTEMA DE GESTIÓ DE LA QUALITAT: LA NORMATIVA ISO 9001:2000

Registre del consum d alcohol a l e-cap

Mòdul III: Implantació de la Norma ISO en empreses

SOL LICITUD D INSCRIPCIÓ

MICROSOFT OFFICE OUTLOOK 2003

LA TAULA DE MOBILITAT DE SABADELL

PROGRAMA FORMATIU 2014

Auditories energètiques, que caldrà fer abans del Juny 2015

Avaluació del cost de les obres d urbanització d espais lliures (Mètode M.S.E.L.) Avaluació del cost de les obres d urbanització d espais lliures

Proporcionar als futurs mestres una visió general de l educació física, dels principals corrents i de les tendències didàctiques actuals.

Política de privacidad en las Redes Sociales oficiales de EDICIONES DON BOSCO

DOSSIER DE PRESENTACIÓ DE L ESPAI DE DEURES, UN PROJECTE DE REFORÇ ESCOLAR A SANTS, HOSTAFRANCS I LA BORDETA

2.- Informe del director. Consell Català d Estadística 13 de novembre de 2013

INFORME DE LA AUDITORÍA DE CERTIFICACIÓN

ESTUDIO SOBRE LA DETECCIÓN DEL NIVEL DE IMPLANTACIÓN DE LAS NUEVAS TECNOLOGÍAS EN LAS PYMES DE MENORCA. REALIZADO POR PIME Menorca

El POUM EL POUM. -instrument d ordenació integral del municipi. -planificació del desenvolupament del territori

València, 12 de juny de El director general de Centres i Personal Docent: Santiago Martí Alepuz. El director general d Innovació,

Orientacions per a l examen d Economia de l empresa per a les PAU 2011 Pàgina 1 de 8 ECONOMIA DE L EMPRESA

METODOLOGIA I EINES PER AL CÀLCUL DEL COST D ESCOLES BRESSOL MUNICIPALS

EDUCACIÓ DE DEFICIENTS MENTALS (2511) Llicenciatura en Psicopedagogia Obligatòria 6 crèdits 4,5 teòrics + 1,5 pràctics- (Quatrimestral)

Tècniques i Eines de Gestió de Projectes (TEGP) T10. Avaluació i millora de processos de software. Antònia Mas Pichaco Curs

COMISSIÓ GESTORA DE LES PROVES D ACCÉS A LA UNIVERSITAT COMISIÓN GESTORA DE LAS PRUEBAS DE ACCESO A LA UNIVERSIDAD

FITXA DE DESCRIPCIÓ DE LES PRESTACIONS QUE OFEREIX EL PROCÉS DE TRAMITACIÓ DE BEQUES DE COL LABORACIÓ

MÈTODES - Métodos de Investigación

Màster Universitari en Educació per a la Salut. Facultat d'infermeria Universitat de Lleida. Informe de seguiment Curs

Transcripción:

Sistema de Gestió de la Seguretat de la Informació seguint la norma ISO 27001 ISO 27002 per a la empresa INGENSA, S.L. Autor: Jordi Sánchez Celma Consultor: Arsenio Tortajada Gallego MISTIC Juny 2016 - UOC

INGENSA, S.L. Empresa d enginyeria, consultoria i tecnologies de la informació amb més de 1000 treballadors i seus a nivell nacional i internacional. Amb oficines centrals a Madrid així com el CPD principal. Serveis principals dels sistemes d informació: Directori Actiu replicat. Correu electrònic. Intranet. CRM. ERP. Connectivitat VPN.

Organigrama de INGENSA, S.L.

Diagrama de xarxa de la seu central

Objectius L objectiu principal és l establiment d un SGSI per l empresa INGENSA, S.L. basat en la normativa ISO/IEC 27001 i ISO/IEC 27002. Principals objectius: Creació de política i comitè de seguretat. Involucrar l alta direcció amb l SGSI. Garantir el compliment de la legislació vigent. Identificació d actius, processos crítics i minimització de riscos. Garantir la funcionalitat dels serveis d informació. Assegurament de les dades mòbils. Anàlisis per minimització de costos. Conscienciació dels empleats en seguretat de la informació.

Avaluació de l estat inicial en seguretat de la informació Aspectes de seguretat de la informació a la Gestió d incidents a la seguretat de la Relacions amb subministradors Compliment Polítiques de Seguretat 100 90 80 70 60 50 40 30 20 10 0 Aspectes Organitzatius de la seguretat de la Seguretat lligada als recursos humans Gestió d actius Control d accés Dessitjat Actual Adquisició, desenvolupament i Seguretat a les telecomunicacions Seguretat en la operativa Xifratge Seguretat física i ambiental Valoració dels 14 dominis de la ISO/IEC 27002:2013 segons el Model de Maduresa de la Capacitat (CMM).

Sistema de Gestió Documental del SGSI Recull la següent informació: Documentació: Abast. Polítiques de seguretat de la informació. Declaració d aplicabilitat. Inventari i ús d actius. Metodologia, pla de tractament i informe d avaluació de riscos. Procediments de gestió d incidents i continuïtat de negoci. Requisits legals. Registres: Registres de capacitació, habilitats, esdeveniments de seguretat i activitats, etc... Resultats de supervisió, medició, auditories internes, revisió de la direcció i accions correctores. Programa d auditoria interna.

Anàlisis de riscos I Consta de cinc fases segons la metodologia MAGERIT v.3: Fase 1: Inventari d actius. Es diferencien els àmbits: Actius d informació. Aplicacions. Hardware. Xarxa. Equipaments auxiliars. Instal lacions. Serveis. Personal. Classificats de forma qualitativa segons Autenticitat, Confidencialitat, Integritat, Disponibilitat i Auditabilitat (ACIDA).

Anàlisis de riscos II Fase 2: Avaluació d amenaces. Classificades com: Desastres naturals [N]. D origen industrial [I]. Errors o fallides no intencionades [E]. Atacs intencionats [A]. Avaluació de l impacte potencial: és el percentatge d actiu que es perd en cas d amenaça abans d aplicar salvaguardes. Impacte Potencial = Valor_Actiu * Impacte

Anàlisis de riscos III Fase 3: Salvaguardes. Procediments per reduir el risc d impacte, hi ha dos tipus: Redueix la probabilitat d amenaça. Redueix l impacte causat. Fase 4: Impacte residual. Càlcul de l impacte sobre els actius en aplicar les salvaguardes.

Anàlisis de riscos IV Fase 5: Nivells de risc. Risc acceptable: es pot assumir sense prendre mesures per reduir-lo, a INGENSA, S.L. tindran les següents característiques: Valor d actiu mig (5). Impacte del 40%. Freqüència mensual (8). Els valors superiors a 16 es troben per sobre del risc acceptable. Risc residual: risc que romandrà en aplicar salvaguardes.

Propostes de projectes I L anàlisi de riscos d INGENSA, S.L. identifica: Els actius més crítics. Actius d impacte més greu. Vulnerabilitats més freqüents Amb l avaluació de dominis de la norma ISO/IEC 27002:2013 es coneix els que es troben al nivell inicial L0 segons classificació CMM. Aplicació de projectes per reduir el nivell de risc en seguretat de la informació i assolir els principals objectius de l implementació del SGSI.

Propostes de projectes II Llistat de projectes: PRO-001: Establiment de la política de seguretat. PRO-002: Document de seguretat per a les noves contractacions. PRO-003: Document per establir el protocol de classificació de la informació. PRO-004: Implantació d un MDM. PRO-005: Procediment per a la documentació de TI. PRO-006: Política de seguretat per a la instal lació de Software. PRO-007: Seguretat del Hardware i serveis crítics. PRO-008: Document de control de còpies de seguretat. PRO-009: Continuïtat de les comunicacions externes a la companyia. PRO-010: Pla de formació als usuaris en seguretat de la informació.

Comparativa dels controls ISO/IEC 27002:2013 en l actualitat i en aplicar els projectes Millora del nivell de risc dels actius i la maduració CMM dels controls ISO/IEC 27002:2013 en aplicar els projectes proposats. Aspectes de seguretat de la Compliment Polítiques de Seguretat 100 80 60 Aspectes Organitzatius de la Seguretat lligada als recursos humans Gestió d incidents a la seguretat de la Relacions amb subministradors 40 20 0 Gestió d actius Control d accés Projectes aplicats Actual Adquisició, desenvolupament i Xifratge Seguretat a les telecomunicacions Seguretat en la operativa Seguretat física i ambiental

Comparativa nivells de risc abans i després d aplicar els projectes en les dimensions ACIDA I Autenticitat Emmagatzematge de dades Teletreball Projectes propis 40 35 30 25 20 15 10 5 0 Base de dades de personal Base de dades Navision Dynamics Actual Projectes aplicats Intranet Internet fibra òptica Correu electrònic LAN VPN

Comparativa nivells de risc abans i després d aplicar els projectes en les dimensions ACIDA II Confidencialitat Servidor de correu Programadors Administradors de sistemes Usuaris interns 70 60 50 Controlador de domini principal Controlador de domini Servidor CRM Teletreball Emmagatzematge de dades Intranet Correu electrònic 40 30 20 10 0 Servidor de dades NAS Switches CPD Servidor Navision Dynamics Actual Projectes aplicats VPN Controlador de domini LAN Internet fibra òptica Base de dades Navision Base de dades de personal Microsoft Exchange Server Microsoft CRM Microsoft Navision Dynamics Projectes propis

Comparativa nivells de risc abans i després d aplicar els projectes en les dimensions ACIDA III Integritat Servidor de correu Programadors Administradors de sistemes 50 45 Controlador de domini principal Firewall Usuaris interns 40 35 Servidor CRM Teletreball 30 25 20 Servidor de dades Emmagatzematge de dades 15 NAS 10 Intranet 5 0 Switches CPD Correu electrònic Servidor Navision Dynamics Actual Projectes aplicats VPN Microsoft Exchange Server LAN Internet fibra òptica Base de dades Navision Base de dades de personal Microsoft Windows Server Microsoft CRM Microsoft Navision Dynamics Projectes propis

Comparativa nivells de risc abans i després d aplicar els projectes en les dimensions ACIDA IV Disponibilitat Servidor de correu Teletreball 80 Controlador de domini principal Emmagatzematge de dades Servidor de còpies de seguretat 70 Intranet Servidor CRM 60 Correu electrònic LAN Internet fibra òptica VPN 50 40 30 20 10 0 Servidor de base de dades Servidor de dades NAS Switches CPD Actual Projectes aplicats Línies RDSI Switches Base de dades Navision Base de dades de personal Projectes propis Microsoft Navision Dynamics Microsoft CRM Routers Servidor Navision Dynamics Centraleta de telefonia IP Microsoft Exchange Server Microsoft Windows Server

Auditoria de compliment I S estableix un protocol d auditories internes, per verificar: Controls aplicats de la norma ISO/IEC 27002:2013. Procediments. Objectius. Sistema de gestió documental. Realització d auditoria de compliment per avaluar l estat de maduresa d INGENSA, S.L. front a la norma ISO/IEC 27001 en aplicar els projectes proposats, s obtenen les evidències de no compliment amb la norma i es redacten les no conformitats.

Auditoria de compliment II: No conformitats Es troben les següents no conformitats en l auditoria de compliment d INGENSA, S.L.: NC-01: Seguretat lligada als recursos humans. NC-02: Gestió d actius. NC-03: Control d accés. NC-04: Xifratge. NC-05: Seguretat en l operativa. NC-06: Adquisició, desenvolupament i manteniment dels sistemes d informació. NC-07: Relacions amb subministradors. NC-08: Gestió d incidents a la seguretat de la informació.

Compliment de controls ISO/IEC 27002:2013 per dominis En aplicar els projectes proposats millora la maduresa dels dominis de la ISO/IEC 27002:2013 i s incrementen el nombre de controls que compleixen la norma. 14 12 10 8 6 4 2 0 No Compleixen Compleixen

Conclusions Amb l SGSI obtenim una reducció de riscos evitant pèrdua d actius i d activitat econòmica. L SGSI permet l obtenció de certificació de seguretat. Falta informe de compliment de la legislació vigent aplicable. S haurà de realitzar un seguiment de les no conformitats. Evolució del SGSI per futures modificacions o millores.

Gràcies per la seva atenció.

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback