La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Palacio Europa 7 de Mayo de 2009

Publicada porBasilia Terrones Modificado hace 10 años

Presentaciones similares

Presentación del tema: "Palacio Europa 7 de Mayo de 2009"— Transcripción de la presentación:

1 Palacio Europa 7 de Mayo de 2009
Lecciones aprendidas en la implantación del SGSI – Sistema de Gestión de la Seguridad de la Información Palacio Europa 7 de Mayo de 2009

2 EJIE EJIE es la empresa pública que ofrece servicios informáticos al Gobierno Vasco y a todas sus instituciones y organizaciones, facilitando, mediante la tecnología informática, la innovación del propio Gobierno y de los servicios que éste ofrece a los ciudadanos.

3 Misión Contribuir mediante la prestación de servicios informáticos, a conseguir una Administración Pública Vasca, moderna y eficiente. Objetivos Prestar servicios de manera eficiente y con calidad, cumpliendo plazos de respuesta y un nivel "cero" de reclamaciones e incidencias. Prestar servicios competitivos en relación al sector, adecuando los servicios internos al ámbito de actuación y asignando los recursos óptimos. Integrarse activamente con sus clientes en un entorno de transparencia, comunicación y con objetivos comunes. Obtener una imagen corporativa de servicio eficiente, de calidad y de empresa en punta tecnológica en el sector.

4 Organización Zuzendaritza Nagusia Dirección General
Kalitatea eta Segurtasuna Calidad y Seguridad Marketin Marketing Proiektuak eta Laguntza Tecnikoa Proyectos y Asistencia Técnica Sitemak eta Telekomunikazioak Sistemas y Telecomunicaciones Ekoizpena Producción Administrazioa eta Langileak Administración y Personal

5 Áreas de actuación y servicios
Gestión de Infraestructuras: Sistemas de Información y Redes de Comunicación Albergue y Operación de Sistemas de Información Telecomunicaciones y Seguridad Instalación de Equipamiento Hardware y Software Mantenimiento Hardware y Software Consultoría y Proyectos Consultoría y Desarrollo de Proyectos Software Implantación de Software y Aplicaciones Gestión de Proyectos Comunes Soporte a Usuarios Centro de Atención a Usuarios (CAU) Seguridad y Acceso Usuario (SASU) Soporte Software Formación a Usuarios Asistencia Técnica Desarrollo de Aplicaciones Mantenimiento Correctivo y Adaptativo

6 Algunos servicios de EJIE
Telecentros KZGunea: Formación al ciudadano y empresas en las TIC Tarjeta Sanitaria de usos ciudadanos (ONA) Sistema de gestión de expedientes PLATEA: Plataforma tecnológica base para servicios de administración electrónica Presencia en Internet Teletramitación Archivo digital para la gestión documental del Gobierno Vasco NORA: Gestión de localizaciones Sistema de pago seguro por internet para el ciudadano Sistema de gestión de Bibliotecas de Euskadi

7 La gestión de los riesgos – El corazón del SGSI
Un correcto enfoque respecto a la gestión de los riesgos no asegura por sí mismo un buen resultado del SGSI, pero evita malgastar unos recursos valiosísimos No es la primera vez que EJIE se embarca en un proceso de implantación de un SGSI, pero es la primera vez que lo ha certificado según la ISO 27001

8 La gestión de los riesgos – Planificar
El alcance establece cuántos activos van a ser considerados en el SGSI, por lo que se puede establecer una relación al trabajo que viene después. ¿Buscamos el SGSI del GV o el SGSI de EJIE? No es necesario inventar la rueda: La metodología MAGERIT desarrollada y actualizada permanentemente por el MAP es más que adecuada, y además es gratuita y fácilmente accesible

9 La gestión de los riesgos – Identificar y analizar
Frecuencia estimada

10 La gestión de los riesgos – Identificar y analizar
Según el nº de activos considerados será imposible o factible valorar el riesgo. Es necesario mantener las valoraciones de unas 25 amenazas por activo y de unos 25 controles por amenaza (100 activos implica mantener valores) Tampoco hay que tener miedo a tratar los activos agrupados, ya que el método nos obligará a disgregarlos cuando abordemos el nivel de riesgo correspondiente De nuevo, no es necesario inventar la rueda: La metodología MAGERIT establece las relaciones por defecto entre activos, vulnerabilidades, amenazas y riesgos, y esta relación se mantiene permanentemente actualizada

11 La gestión de los riesgos – Dirección
No es bueno tratar todos los riesgos a la primera, es necesario dedicar los recursos disponibles a mitigar los mayores riesgos Paulatinamente se reducirá el riesgo residual a medida que lanza anualmente cada Plan de Tratamiento de Riesgos

12 La gestión de los riesgos – Tratamiento del riesgo sin mitigación
Conviene trabajar con los proveedores para asumir conjuntamente el riesgo o transferirlo convenientemente (política de seguridad para proveedores, SLAs, seguros …) En aquellos riesgos que sea más caro mitigarlo que asumirlo (no olvidar el “coste de imagen”), podemos no hacer nada Si tenemos la suerte de encontrar actividades que generan riesgo y no valor, aplicar la 1ª Ley del agujero 1ª Ley del agujero: Si quieres salir de un agujero, antes deja de cavar

13 La gestión de los riesgos – Mitigar
El SOA (Statement of aplicability o Declaración de aplicabilidad) establece qué controles son aplicables de los 133 de la norma Antes de buscar excusas sobre porqué no es aplicable un control, conviene aplicar el control en función del riesgo obtenido (considerar mitigar, transferir, aceptar y evitar) Implantar seguridad no es barato (normalmente no suele ser la opción más barata)

14 Conclusiones sobre la gestión de riesgos
Dedicar el tiempo suficiente a establecer un alcance del SGSI controlable No inventar la rueda, antes consultar MAGERIT No ser detallistas en la identificación inicial de activos (100 está bien) e incrementar la granularidad a medida que sea necesario Los riesgos deben ser tratados en sucesivos planes anuales en los cuales se irá mejorando el nivel de riesgo asumido El tratamiento de los riesgos deberá ser adecuado al nivel de riesgo evaluado considerando siempre la posibilidad de transferir, aceptar y evitar el riesgo Mitigar el riesgo suele ser una buena opción, pero también la más cara. Priorizar siempre en función del análisis del riesgo

15 Gracias por su atención
EJIE, S.A. Avda. del Mediterráneo, 14 01010 Vitoria-Gasteiz Teléfono: Fax:

Descargar ppt "Palacio Europa 7 de Mayo de 2009"

Presentaciones similares

Jornada de puertas abiertas para empresas de Cantabria

Jornada de puertas abiertas para empresas de Cantabria
Foru Administrazioaren Kalitaterako Departamentua Departamento para la Calidad en la Administración Foral Bilbao, 18 de Mayo de 2006 DIPUTACIÓN FORAL DE.

Foru Administrazioaren Kalitaterako Departamentua Departamento para la Calidad en la Administración Foral Bilbao, 18 de Mayo de 2006 DIPUTACIÓN FORAL DE.
Open RA 10/25/00 EEM/TD/LQ M. F. Juan 1 La Función de Calidad en los Proyectos de Desarrollo de Software Manuel F. Juan Martínez Juan López Espinosa Centro.

Open RA 10/25/00 EEM/TD/LQ M. F. Juan 1 La Función de Calidad en los Proyectos de Desarrollo de Software Manuel F. Juan Martínez Juan López Espinosa Centro.
TEMA 4 SESIÓN 4ª Rafael Vidal Delgado 1.

TEMA 4 SESIÓN 4ª Rafael Vidal Delgado 1.
XXVII Simpósio sobre Revisória Fiscal. Pereira 2010.

XXVII Simpósio sobre Revisória Fiscal. Pereira 2010.
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
Vitoria-Gasteiz, 23 de marzo de 2010

Vitoria-Gasteiz, 23 de marzo de 2010
UNIVERSIDAD ALONSO DE OJEDA

UNIVERSIDAD "ALONSO DE OJEDA"
Control Interno Informático. Concepto

Control Interno Informático. Concepto
MISIÓN, VISIÓN Y VALORES DE EPEL-CACT

MISIÓN, VISIÓN Y VALORES DE EPEL-CACT
Programa informático para el

Programa informático para el
1 Tramitaciones Telemáticas del Departamento de Industria, Innovación, Comercio y Turismo Presentación TECNIMAP 2010.

1 Tramitaciones Telemáticas del Departamento de Industria, Innovación, Comercio y Turismo Presentación TECNIMAP 2010.
Asesorías Jurídicas de los Departamentos del Gobierno Vasco

Asesorías Jurídicas de los Departamentos del Gobierno Vasco
Presentación de la Plataforma de Gestión de la Excelencia

Presentación de la Plataforma de Gestión de la Excelencia
1 Modulo de Administradores Licencia Nacional de la Web of Knowledge Año 2013.

1 Modulo de Administradores Licencia Nacional de la Web of Knowledge Año 2013.
Tipos y características de instalaciones deportivas.

Tipos y características de instalaciones deportivas.
0 Gabriel Sánchez Dorronsoro Subdirección Servicios de Administración Electrónica Entidad Pública Empresarial Red.es Administración Electrónica y Transparencia.

0 Gabriel Sánchez Dorronsoro Subdirección Servicios de Administración Electrónica Entidad Pública Empresarial Red.es Administración Electrónica y Transparencia.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28.

Convenio para realizar la

Convenio para realizar la
29 DE MAYO DE 2013.

29 DE MAYO DE 2013.

Presentaciones similares

Anuncios Google