La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Análisis y Gestión de Riesgos. Una solución para cumplir con el Esquema Nacional de Seguridad Marzo-2010.

Publicada porGilberto Lanzo Modificado hace 10 años

Presentaciones similares

Presentación del tema: "Análisis y Gestión de Riesgos. Una solución para cumplir con el Esquema Nacional de Seguridad Marzo-2010."— Transcripción de la presentación:

1 Análisis y Gestión de Riesgos. Una solución para cumplir con el Esquema Nacional de Seguridad Marzo-2010

2 Quienes somos ? Empresa especializada en seguridad e integración de sistemas de telecomunicaciones. Iniciamos nuestra actividad en 1996….> 15 años. Actividad en Comunidad Valenciana y Murcia principalmente. Acción directamente o a través de canal de distribución. Dedicación principal a Medianas Empresas, y algo de Administración Pública.

3 ¿ Que hemos detectado ? Con la explosión del Plan de Inversión Local, hemos incidido sobre la Administración Local y hemos sido conscientes de una de las problemáticas. Más frentes que cubrir Menos personal Entornos heterogéneos Por informática se entiende TODO lo que tiene ver con tecnología. Soporte a usuario ERP Carpeta del Ciudadano Inventario equipamiento Telefonía IP Operadores y Control Costes Enlaces inalámbricos SSL Ley Orgánica Protección de Datos Antivirus AntiSpam Copias de Seguridad Procedimientos Control Accesos Soluciones de video Cableado Switching L3 Routing WiFi Wimax VPN DHCP VLAN Operadora Automática Presupuestos Correo Electrónico Fax SMS Mensajeria Instantanea Gestión Documental Auditoría Lentitud en la red

4 CRM Inventario equipamiento Telefonía IP Enlaces inalámbricos SSL LOPD - ENS Antivirus AntiSpam Copias de Seguridad Procedimientos Control Accesos Soluciones de video Cableado Switching L3 Routing WiFi Wimax VPN DHCP VLAN Operadora Automática Correo Electrónico Fax SMS Mensajeria Instantanea Gestión Documental Gestión Riesgos Laborales Auditoría Desde Leader, ofrecemos soluciones a muchas de sus necesidades Infraestructuras Seguridad Corporate - Aplicaciones Externalización ( Outsourcing )

5 Iniciamos el área de seguridad con LOPD. En el año 1999 aparece la LOPD como sustituto de la LORTAD 1992 ( Tratamiento de Datos Automatizados) En el RD1720/2007 se desarrolla la Ley Orgánica indicando los niveles de seguridad a aplicar a los ficheros según el contenido de los mismos: –ALTO, MEDIO Y BAJO. Donde se incluye la documentación en papel. Aparecen en la LOPD una serie de aspectos comunes o similares a lo que ahora se especifica en el ENS. –Responsables de ficheros, encargado de tratamiento de información, responsable seguridad. –Documento de Seguridad Politicas Procedimientos Deberes y Obligaciones Dentro de la filosofia de trabajo de Leader, siempre planteamos que ya puestos a desarrollar una actividad, que sirva para algo más que para cumplir con la legislación vigente. ASI PONEMOS EN MARCHA EL ANALISIS Y GESTIÓN DE RIESGOS.

6 ¿ Cuántos esquemas nos hemos hecho ? ¿ Por dónde empiezo ?

7 Análisis y Gestión de Riesgos

8 ¿ Qué es AGR ? El análisis del estado actual de sus infraestructuras Análisis de riesgos y amenazas Acta con medidas correctivas… La Hoja de Ruta. Una “foto” de lo que tienen y lo que deberían tener para estar seguros. Respuesta a lo que se solicita se solicita en ENS + Un análisis de costes de telecomunicaciones. ASPECTO TANGIBLE … REDUCE € (Experiencia…. Reducción del orden de un 30%) Según la situación actual del Ayuntamiento SEAMOS PRÁCTICOS…Esto es un Plan Director de Sistemas

9 ¿ Qué es el ENS ? Una forma de dar confianza a los ciudadanos para que la Ley 11/2007 de acceso electrónico de los ciudadanos a los Servicios Publicos sea una realidad. –¿ COMO ? Analizando: DISPONIBILIDAD AGILIDAD CONFIDENCIALIDAD SEGURIDAD: INTEGRIDAD / TRAZABILIDAD / AUTENTICIDAD Determinar los principios básicos y requisitos mínimos de protección de activos: –Qué, Dónde y Cómo están instalados los servicios. –Responsables de cada una de las áreas– información, servicios y seguridad –Evitar “tierras de nadie” en las que no hay responsable ni responsabilidad ni servicio –Definir las politicas de seguridad y obligaciones y derechos – de cada uno de los roles participantes en el flujo de la información –Implementar las medidas oportunas según su categoría para resistir un ataque, o acciones ilicitas o malintencionadas que pongan en juego la: AUTENTICIDADDISPONIBILIDAD INTEGRIDADTRAZABILIDAD CONFIDENCIALIDAD

10 Principios básicos Seguridad Integral. –Comprende todos los medios (materiales, humanos, y organizativos relacionados con “el sistema”) Gestión de riesgos. Análisis y gestión del entorno (SGR) Medidas de prevención, reacción y recuperación (Procedimientos) Lineas de defensa. Constituidas por medidas de naturaleza organizativa, fisica y logica. Reevaluación periódica (Auditoria cada 2 años minimo) Desginación de responsables de –Información. Alto cargo de la AAPP –Servicio. –Seguridad.

11 En la LOPD Ya se ha desarrollado parte del trabajo. –Registro de bases de datos –Autorización ( aspectos legales ) –Documento de seguridad: Procedimientos Obligaciones y funciones Control de usuarios y acceso Se protegen los activos de información

12 Con el ENS…. Se protege el servicio que se ofrece al ciudadano – via telemática o mediante servicios in situ, y conlleva TODO.

13 Cómo trabajamos Metodología propia basada en MAGERIT, con adaptaciones. Requerimientos de Seguridad PCI (Payment Credit Industry), Metodología intercambiada con miembros de Information Systems Audit and Control Association (ISACA) Personal con experiencia en sistemas y telecomunicaciones.

14 Qué información obtenemos Organigrama de la Entidad Mapa de servicios y activos de información Mapa de dependencias Inventario –Topología de red –Sistemas –Bases de datos –Accesos a los sistemas –Lineas de Comunicaciones Mapa de valor….. Análisis de variables ALTO, MEDIO, BAJO Amenazas posibles y % probabilidad Acta de medidas correctivas –Costes en lineas de comunicaciones –Medidas para maximizar SEG, DISP, AGIL, CONF, INTEG, TRAZ. Plan Director

15 Marco Organizativo –Politica de Seguridad –Normativa –Procedimientos –Autorizaciones Marco Operacional –Planificación –Control de Acceso –Explotación –Servicios Externos –Continuidad del servicio –Monitorización Medidas de protección –Instalaciones e infraestructuras –Gestión del personal –Protección de los equipos –Protección de las comunicaciones –Protección de los soportes –Protección de las aplicaciones –Protección de la información –Protección de los servicios

16 ¿ Por qué el Plan Director ? Entrada en vigor: Dia siguiente publicación BOE (29.01.2010) EL DIA 30/1/2011 debe cumplir el ENS Para los sistemas existentes, y los nuevos, TODOS. ¿ QUIEN CUMPLE ? En caso contrario presentar: Plan Adecuación – Plan Director - para tenerlo Máximo en proximos 48 meses a partir entrada en vigor ( Quedan 36 meses )

17 ¿ De dónde sacar fondos ? De la reducción de costes obtenida en el análisis de los sistemas de telecomunicaciones. Circuitos heredados Servicios no solicitados Control de facturas ….. REDUCCIÓN 30% según casos… ( Nuestro último caso 150.000€/año, sobre 400.000€)

18 Muchas Gracias, Datos de contacto: –Carlos Estrela Alfaro –Email: cestrela@Lnm.escestrela@Lnm.es –Telef. 902 15 85 00

Descargar ppt "Análisis y Gestión de Riesgos. Una solución para cumplir con el Esquema Nacional de Seguridad Marzo-2010."

Presentaciones similares

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
UNIVERSIDAD ALONSO DE OJEDA

UNIVERSIDAD "ALONSO DE OJEDA"
Control Interno Informático. Concepto

Control Interno Informático. Concepto
Contorles de Auditoría Informática Básicos Ing. Elizabeth Guerrero V.

Contorles de Auditoría Informática Básicos Ing. Elizabeth Guerrero V.
Comprimido ARCHIformativo

Comprimido ARCHIformativo
Comprimido ARCHIformativo

Comprimido ARCHIformativo
LA PLANIFICACIÓN DE LA AUDITORÍA TEMA 4

LA PLANIFICACIÓN DE LA AUDITORÍA TEMA 4
¿ CÓMO ACCEDER EXITOSAMENTE AL FINANCIAMIENTO ? Por: José Miguel Guzmán Consultor y Socio de Guzmán Riesco Ltda. CLASE MAGISTRAL:

¿ CÓMO ACCEDER EXITOSAMENTE AL FINANCIAMIENTO ? Por: José Miguel Guzmán Consultor y Socio de Guzmán Riesco Ltda. CLASE MAGISTRAL:
SEGURIDAD DE LA INFORMACIÓN EN LA SINDICATURA DE COMPTES DE LA COMUNITAT VALENCIANA Alejandro Salom Campos Unidad de Auditoría de Sistemas de Información.

SEGURIDAD DE LA INFORMACIÓN EN LA SINDICATURA DE COMPTES DE LA COMUNITAT VALENCIANA Alejandro Salom Campos Unidad de Auditoría de Sistemas de Información.
1 ESTRATEGIA DE IMPLEMENTACION DE MEDIDAS DE GOBIERNO DE LAS TECNOLOGIAS DE LA INFORMACION La Antigua, Guatemala 23 de Septiembre de 2008.

1 ESTRATEGIA DE IMPLEMENTACION DE MEDIDAS DE GOBIERNO DE LAS TECNOLOGIAS DE LA INFORMACION La Antigua, Guatemala 23 de Septiembre de 2008.
Convenio para realizar la

Convenio para realizar la
Equipo 2. Políticas, normativas, procedimientos. Controles técnicos: Cortafuegos. Antivirus. Analizadores de vulnerabilidades. Sistemas de detección.

Equipo 2. Políticas, normativas, procedimientos. Controles técnicos: Cortafuegos. Antivirus. Analizadores de vulnerabilidades. Sistemas de detección.
Información sobre la adaptación a la Ley Orgánica 15/1999 del 13 de Diciembre de Protección de datos de Carácter Personal a todos los asociados a la Asociación.

Información sobre la adaptación a la Ley Orgánica 15/1999 del 13 de Diciembre de Protección de datos de Carácter Personal a todos los asociados a la Asociación.
Introducción a los sistemas de Información Hospitalarios

Introducción a los sistemas de Información Hospitalarios
Foro de Seguridad 2010 RedIRIS Universidad Autónoma de Madrid 23 de abril de 2010 Emilio Aced Félez Subdirector General de Registro de Ficheros y Consultoría.

Foro de Seguridad 2010 RedIRIS Universidad Autónoma de Madrid 23 de abril de 2010 Emilio Aced Félez Subdirector General de Registro de Ficheros y Consultoría.
Metodologías de control interno, seguridad y auditoría informática

Metodologías de control interno, seguridad y auditoría informática
ESCUELA POLITÉCNICA DEL EJÉRCITO

ESCUELA POLITÉCNICA DEL EJÉRCITO
PRINCIPIOS RECTORES. De manera general los principios son las bases de todo ordenamiento legal, que sirven como criterios orientadores e interpretativos.

PRINCIPIOS RECTORES. De manera general los principios son las bases de todo ordenamiento legal, que sirven como criterios orientadores e interpretativos.
Agilidad para su negocio ®

Agilidad para su negocio ®
AUDITORIA DE SISTEMAS DE INFORMACIÓN

AUDITORIA DE SISTEMAS DE INFORMACIÓN

Presentaciones similares

Anuncios Google