Palacio Europa 7 de Mayo de 2009 Lecciones aprendidas en la implantación del SGSI – Sistema de Gestión de la Seguridad de la Información Palacio Europa 7 de Mayo de 2009
EJIE EJIE es la empresa pública que ofrece servicios informáticos al Gobierno Vasco y a todas sus instituciones y organizaciones, facilitando, mediante la tecnología informática, la innovación del propio Gobierno y de los servicios que éste ofrece a los ciudadanos.
Misión Contribuir mediante la prestación de servicios informáticos, a conseguir una Administración Pública Vasca, moderna y eficiente. Objetivos Prestar servicios de manera eficiente y con calidad, cumpliendo plazos de respuesta y un nivel "cero" de reclamaciones e incidencias. Prestar servicios competitivos en relación al sector, adecuando los servicios internos al ámbito de actuación y asignando los recursos óptimos. Integrarse activamente con sus clientes en un entorno de transparencia, comunicación y con objetivos comunes. Obtener una imagen corporativa de servicio eficiente, de calidad y de empresa en punta tecnológica en el sector.
Organización Zuzendaritza Nagusia Dirección General Kalitatea eta Segurtasuna Calidad y Seguridad Marketin Marketing Proiektuak eta Laguntza Tecnikoa Proyectos y Asistencia Técnica Sitemak eta Telekomunikazioak Sistemas y Telecomunicaciones Ekoizpena Producción Administrazioa eta Langileak Administración y Personal
Áreas de actuación y servicios Gestión de Infraestructuras: Sistemas de Información y Redes de Comunicación Albergue y Operación de Sistemas de Información Telecomunicaciones y Seguridad Instalación de Equipamiento Hardware y Software Mantenimiento Hardware y Software Consultoría y Proyectos Consultoría y Desarrollo de Proyectos Software Implantación de Software y Aplicaciones Gestión de Proyectos Comunes Soporte a Usuarios Centro de Atención a Usuarios (CAU) Seguridad y Acceso Usuario (SASU) Soporte Software Formación a Usuarios Asistencia Técnica Desarrollo de Aplicaciones Mantenimiento Correctivo y Adaptativo
Algunos servicios de EJIE Telecentros KZGunea: Formación al ciudadano y empresas en las TIC Tarjeta Sanitaria de usos ciudadanos (ONA) Sistema de gestión de expedientes PLATEA: Plataforma tecnológica base para servicios de administración electrónica Presencia en Internet Teletramitación Archivo digital para la gestión documental del Gobierno Vasco NORA: Gestión de localizaciones Sistema de pago seguro por internet para el ciudadano Sistema de gestión de Bibliotecas de Euskadi
La gestión de los riesgos – El corazón del SGSI Un correcto enfoque respecto a la gestión de los riesgos no asegura por sí mismo un buen resultado del SGSI, pero evita malgastar unos recursos valiosísimos No es la primera vez que EJIE se embarca en un proceso de implantación de un SGSI, pero es la primera vez que lo ha certificado según la ISO 27001
La gestión de los riesgos – Planificar El alcance establece cuántos activos van a ser considerados en el SGSI, por lo que se puede establecer una relación al trabajo que viene después. ¿Buscamos el SGSI del GV o el SGSI de EJIE? No es necesario inventar la rueda: La metodología MAGERIT desarrollada y actualizada permanentemente por el MAP es más que adecuada, y además es gratuita y fácilmente accesible
La gestión de los riesgos – Identificar y analizar Frecuencia estimada
La gestión de los riesgos – Identificar y analizar Según el nº de activos considerados será imposible o factible valorar el riesgo. Es necesario mantener las valoraciones de unas 25 amenazas por activo y de unos 25 controles por amenaza (100 activos implica mantener 62.500 valores) Tampoco hay que tener miedo a tratar los activos agrupados, ya que el método nos obligará a disgregarlos cuando abordemos el nivel de riesgo correspondiente De nuevo, no es necesario inventar la rueda: La metodología MAGERIT establece las relaciones por defecto entre activos, vulnerabilidades, amenazas y riesgos, y esta relación se mantiene permanentemente actualizada
La gestión de los riesgos – Dirección No es bueno tratar todos los riesgos a la primera, es necesario dedicar los recursos disponibles a mitigar los mayores riesgos Paulatinamente se reducirá el riesgo residual a medida que lanza anualmente cada Plan de Tratamiento de Riesgos
La gestión de los riesgos – Tratamiento del riesgo sin mitigación Conviene trabajar con los proveedores para asumir conjuntamente el riesgo o transferirlo convenientemente (política de seguridad para proveedores, SLAs, seguros …) En aquellos riesgos que sea más caro mitigarlo que asumirlo (no olvidar el “coste de imagen”), podemos no hacer nada Si tenemos la suerte de encontrar actividades que generan riesgo y no valor, aplicar la 1ª Ley del agujero 1ª Ley del agujero: Si quieres salir de un agujero, antes deja de cavar
La gestión de los riesgos – Mitigar El SOA (Statement of aplicability o Declaración de aplicabilidad) establece qué controles son aplicables de los 133 de la norma Antes de buscar excusas sobre porqué no es aplicable un control, conviene aplicar el control en función del riesgo obtenido (considerar mitigar, transferir, aceptar y evitar) Implantar seguridad no es barato (normalmente no suele ser la opción más barata)
Conclusiones sobre la gestión de riesgos Dedicar el tiempo suficiente a establecer un alcance del SGSI controlable No inventar la rueda, antes consultar MAGERIT No ser detallistas en la identificación inicial de activos (100 está bien) e incrementar la granularidad a medida que sea necesario Los riesgos deben ser tratados en sucesivos planes anuales en los cuales se irá mejorando el nivel de riesgo asumido El tratamiento de los riesgos deberá ser adecuado al nivel de riesgo evaluado considerando siempre la posibilidad de transferir, aceptar y evitar el riesgo Mitigar el riesgo suele ser una buena opción, pero también la más cara. Priorizar siempre en función del análisis del riesgo
Gracias por su atención EJIE, S.A. Avda. del Mediterráneo, 14 01010 Vitoria-Gasteiz Teléfono: 945 017 300 Fax: 945 017 301 www.ejie.net