Upload
truonghanh
View
214
Download
0
Embed Size (px)
Citation preview
II Encuentro con el SECTOR PÚBLICO DINTEL 2010"La Sostenibilidad del Ecosistema TIC de las Administraciones Públicas”
1
AudiSec, Seguridad de la Información S.L.: QUIÉNES SOMOS
Audisec Seguridad de la Información S.L., una empresa dedicada a aportar seguridad a sus clientes
en el tratamiento de su activo más importante, sus datos, su información.
Nuestras áreas de actividad se centran en:
•Esquema Nacional de Seguridad
•Implantación de Normas ISO 27001 de Sistemas de Gestión de Seguridad de la Información
• ISO 20000 de Sistemas de Gestión de Servicios TI
• BS 25999 de continuidad de Negocio
• Calidad de Software, CMMI, SPICE
• Desarrollo de productos para esos servicios. SUITE GLOBAL
AudiSec, Seguridad de la Información S.L.: EQUIPO
Equipo técnico con alta cualificación y experiencia:
•Ingenieros
•Abogados
•Auditores CISA, CISM…
• Lead Auditor ISO 27001, ISO 20000
• Certificado BCI en continuidad de negocio BS25999.
AudiSec, Seguridad de la Información S.L.: CALIDAD
Hemos sido una de las primeras empresas de España en obtener la certificación ISO
27001 e ISO 20000. En el mes de mayo además, obtendremos la certificación BS
25999 de Continuidad de Negocio y hemos empezado la implantación de SPICE.
El alcance certificado es:
•CONSULTORÍA DE IMPLANTACIÓN DE LA NORMA ISO 27001 E ISO 20000 DE LOS CLIENTES
DE AUDISEC.
•CONSULTORÍA/AUDITORÍA DE ADECUACIÓN A LA LEY ORGÁNICA DE PROTECCIÓN DE DATOS
Y CUMPLIMIENTO NORMATIVO DE LOS CLIENTES DE AUDISEC.
AudiSec, Seguridad de la Información S.L.: I+D+i
Audisec ha apostado muy fuerte por la investigación, desarrollo e innovación en seguridad de la
información. En estos proyectos se persigue un doble objetivo:
• Crear productos innovadores que el mercado demanda.
• Conseguir que nuestros profesionales tengan la mejor formación para poder acometer dichos
proyectos con las máximas garantías.
Entre nuestras principales líneas de investigación podemos destacar:• PROYECTO MEDUSAS
•Mejora y evaluación del diseño, usabilidad, seguridad y mantenibilidad del software.
• PROYECTO ARMONÍAS
• Armonización de estándares ISO, como ISO27001, ISO 20000, etc.
• PROYECTO ARCA
•Armonización de marcos de calidad y seguridad del software (CMMI, SPICE, ISO 15504, ISO
90003, etc.)
• PROYECTO GLOBAL CONTINUITY MODEL
• Creación de un marco para la evaluación, mejora y gestión de la capacidad de la continuidad de
negocio en las organizaciones
•Modelo de procesos para la continuidad de negocio
•Modelo de capacidades y madurez
•Modelo de evaluación y mejora
De forma paralela estamos en constante contacto con diferentes universidades,
colaborando con sus grupos de investigación en temáticas relacionadas con
seguridad de la información
CASO DE ÉXITO: IMPLANTACIÓN ISO 27001 – ISO 20000
•Proyecto INTECO: 148 empresas certificadas
•Proyectos Avanza:
•2008: 48 empresas certificadas con el apoyo de Global SGSI (ISO 27001)
•2009: Más de 100 empresas certificadas o en proceso de implantación y
certificación con el apoyo de la Suite Global (ISO 27001 – ISO 20000)
•2010: El objetivo es superar el número de empresas de 2009.
• Proyectos INNOEMPRESA REGIONALES:
•Dos proyectos Innoempresa regionales gestionados y uno en trámite.
SOLUCIONES DE ÉXITO EN LA IMPLANTACIÓN: GLOBAL SUITE
Desde AudiSec hemos desarrollado soluciones tecnológicas que APOYANnuestro trabajo de consultoríapara conseguirel objetivodel cliente.“su solución”
SOLUCIONES DE IMPLANTACIÓN: GLOBAL ENS
Cumple Estrictamente todas las cláusulas de la norma ISO 27001
FacilitaLas labores de implantación, certificación y mantenimiento sin papeles.
UsableTanto por usuarios finales como por consultoras dedicadas a la implantación.
Descripción:
Global SGSI está formado por dos palabras que pretenden dar una clara idea de lo que la herramienta persigue: dar un soporte GLOBAL a la implantación de un SGSI.
Descripción:
Global SGSI está formado por dos palabras que pretenden dar una clara idea de lo que la herramienta persigue: dar un soporte GLOBAL a la implantación de un SGSI.
Características:
Es una aplicación pensada para gestionar el ciclo completo de implantación de la norma ISO/IEC 27001:2005 SIN PAPELES desde el inicio hasta el mantenimiento del sistema.
Global SGSI incorpora no sólo el análisis de riesgos, permite realizar la labor de implantación, certificación y mantenimientomucho más sencilla que en el caso de herramientas que sólo incorporan dicho análisis.
Características:
Es una aplicación pensada para gestionar el ciclo completo de implantación de la norma ISO/IEC 27001:2005 SIN PAPELES desde el inicio hasta el mantenimiento del sistema.
Global SGSI incorpora no sólo el análisis de riesgos, permite realizar la labor de implantación, certificación y mantenimientomucho más sencilla que en el caso de herramientas que sólo incorporan dicho análisis.
Beneficios:
La usabilidad es la gran virtud de GLOBAL SGSI, la curva de aprendizaje es mínima, incluso para usuarios no familiarizados con la norma y sin dejar de lado su cumplimiento, obteniendo resultados visibles en poco tiempo.
Beneficios:
La usabilidad es la gran virtud de GLOBAL SGSI, la curva de aprendizaje es mínima, incluso para usuarios no familiarizados con la norma y sin dejar de lado su cumplimiento, obteniendo resultados visibles en poco tiempo.
GSI
SOLUCIONES DE IMPLANTACIÓN: GLOBAL 20000
Dé un paso más en la madurez y gestión de su empresa certificándola en ISO 20000. Demuestre su compromiso con la buena gestión de los servicios de tecnologías de la información (TI).
Catálogo de ServiciosGestión de clientesGestión de suministradoresGestión de Incidentes y ProblemasCMDBGestión de Cambios y EntregasGestión de Planes de Continuidad y DisponibilidadGestión FinancieraGestión de la CapacidadGestor DocumentalIndicadoresRegistro de No ConformidadesGestor de Proyectos
SOLUCIONES DE IMPLANTACIÓN: GLOBAL LOPD
Global LOPD está formado por dos palabras que pretenden dar una clara idea de lo que la herramienta persigue: dar un soporte GLOBAL para la adecuación a la Ley Orgánica de Protección de Datos.
Cumple estrictamente todos los requerimientos de la Ley Orgánica de Protección de Datos.
Facilita las labores de implantación y mantenimiento.
Usable tanto por usuarios finales como por consultoras dedicadas a la implantación.
•Documentos de Seguridad por niveles, básico, medio o
alto, en función del nivel de seguridad asignable al cliente.
• Asistente de implantación.
• Check List de Consultoría.
• Verificaciones del Documento de Seguridad.
• Ficheros NOTA precumplimentados.
• Asistente de todos los registros necesarios para un
estricto cumplimiento de la LOPD (accesible por cliente
final).
• Asistente de Auditoría bienal, incluyendo informe de
Auditoría.
• Cláusulas modelo.
• Contratos de prestación de Servicios.
• Documentación asociada, relaciones con la AEPD.
• Gestión de Derechos ARCO.
Semejanzas con la ISO 27001
Semejanzas
Ambos esquemas implantan un sistema de gestión, y una serie de medidas técnicas,
jurídicas y organizativas comunes, con lo que ello implica:
Política de seguridad.
Control documental.
Auditoría interna.
Mejora continua.
Análisis de riesgos.
Plan de continuidad.
Gran cantidad de medidas técnicas adicionales.
Etc…
Beneficios de la implantación del ENS
EXTERNOS INTERNOS
Mayor confianza de los ciudadanos.
Aumenta satisfacción de los usuarios.
Favorece el desarrollo de la propia Administración.
Reconocimiento del trabajo bien hecho.
Seguridad y Gestión
Servicios TI orientados hacia el negocio. Mayor eficiencia y productividad
Conocimiento y depuración procesos internos
Mejor gestión de recursos y costes
Mejora continua
ENS. CLASIFICACIÓN DE LOS SISTEMAS
Punto Débil del ENS, al haber ambigüedad
Hay que clasificar el sistema de información sobre el que se implantará el
SGSI basado en el ENS.
Hay 3 niveles, análogos a los de la LOPD:
Bajo
Medio
Alto
¿Cómo hacer esa valoración? -> AQUÍ ENTRA LA SUBJETIVIDAD DEL ENS
ENS. CLASIFICACIÓN DE LOS SISTEMAS
Punto Débil del ENS, al haber ambigüedad
Hay que valorar cada activo de tipo “Servicio” y de tipo “información” en
esos tres niveles, para las dimensiones de seguridad:
Confidencialidad.
Integridad.
Disponibilidad. Valoración
Autenticidad.
Trazabilidad.
teniendo en cuenta:
"el impacto que tendría sobre la organización un incidente que afectara a
la seguridad de la información o de los sistemas".
Problema: ¿cómo determinar ese impacto de forma objetiva?
ENS. CLASIFICACIÓN DE LOS SISTEMAS
El sistema cogerá, en cada dimensión, el valor más alto.
En función del nivel inicial alcanzado, habrá unas medidas mínimas de
seguridad a cumplir.
Algunas serán las mismas, pero con diferentes niveles de madurez.
EL SISTEMA ADQUIRIRÁ EL VALOR MÁS ALTO
ENTRE LAS 5 DIMENSIONES.
ENS. Controles de Seguridad
Hay 75 controles de seguridad, con diferentes niveles de madurez en función
de si aplican a un sistema de nivel bajo, medio o alto.
Están categorizados en 3 dominios:
• Marco Organizativo: constituido por un conjunto de medidas
relacionadas con la organización global de la seguridad. Ejemplo: política
de seguridad.
• Marco operacional: constituido por las medidas a tomar para proteger la
operación del sistema. Ejemplo: análisis de riesgos, control de acceso,
autenticación, gestión de cambios, gestión de incidencias, etc.
• Medidas de protección: se centrarán en proteger activos concretos,
según su naturaleza, con el nivel requerido en cada dimensión de
seguridad. Ejemplo: seguridad física, cifrado de la información,
continuidad del negocio, copias de seguridad, etc.
ENS. Controles de Seguridad
En función del nivel del sistema, hay que aplicar como mínimo unas medidas u
otras.
Algunas serán las mismas, pero con diferentes niveles de madurez o intensidad.
Ejemplo: el plan de continuidad sólo afecta al nivel alto.
Precisión
Cuando en un sistema de información existan sistemas que requieran la
aplicación de un nivel de medidas de seguridad diferente al del sistema
principal, podrán segregarse de este último, siendo de aplicación en cada
caso el nivel de medidas de seguridad correspondiente y siempre que puedan
delimitarse la información y los servicios afectados.
Implantación ENS con GlobalSGSI
¿Cómo podríamos mejorar el retorno de inversión?, con GLOBALSGSI.
Reduciendo los costes vistos anteriormente
1.Menos costes de consultoría de implantación.
2.Menos horas de trabajo interno por parte de la organización.
3.El mantenimiento del sistema requiere muy pocos recursos internos al llevar todo el
sistema de forma centralizada con una herramienta.
4.El hecho de tener el sistema automatizado hace que su uso se extienda más
rápidamente y realmente se aproveche tener implantado un SGSI. Si el sistema no es
usable no se aprovecharán sus beneficios.
AudiSec, Seguridad de la Información S.L.: CONTACTO
ANTONIO QUEVEDODirector General de AudisecAbogadoCISA
GRACIAS POR SU ATENCIÓNESTOY A SU DISPOSICIÓN
902 056 [email protected]