Lecciones aprendidas en la implantacin del SGSI Sistema de Gestin de la Seguridad de la Informacin - PowerPoint PPT Presentation

Loading...

PPT – Lecciones aprendidas en la implantacin del SGSI Sistema de Gestin de la Seguridad de la Informacin PowerPoint presentation | free to download - id: 27b90f-ODQ5N



Loading


The Adobe Flash plugin is needed to view this content

Get the plugin now

View by Category
About This Presentation
Title:

Lecciones aprendidas en la implantacin del SGSI Sistema de Gestin de la Seguridad de la Informacin

Description:

EJIE es la empresa p blica que ofrece servicios inform ticos al Gobierno Vasco y ... Instalaci n de Equipamiento Hardware y Software. Mantenimiento Hardware y Software ... – PowerPoint PPT presentation

Number of Views:347
Avg rating:3.0/5.0
Slides: 16
Provided by: ie00
Learn more at: http://www.tvcp.org
Category:

less

Write a Comment
User Comments (0)
Transcript and Presenter's Notes

Title: Lecciones aprendidas en la implantacin del SGSI Sistema de Gestin de la Seguridad de la Informacin


1
Lecciones aprendidas en la implantación del SGSI
Sistema de Gestión de la Seguridad de la
Información
  • Palacio Europa 7 de Mayo de 2009

2
EJIE
  • EJIE es la empresa pública que ofrece servicios
    informáticos al Gobierno Vasco y a todas sus
    instituciones y organizaciones, facilitando,
    mediante la tecnología informática, la innovación
    del propio Gobierno y de los servicios que éste
    ofrece a los ciudadanos.

3
Misión
  • Contribuir mediante la prestación de servicios
    informáticos, a conseguir una Administración
    Pública Vasca, moderna y eficiente.
  • Objetivos
  • Prestar servicios de manera eficiente y con
    calidad, cumpliendo plazos de respuesta y un
    nivel "cero" de reclamaciones e incidencias.
  • Prestar servicios competitivos en relación al
    sector, adecuando los servicios internos al
    ámbito de actuación y asignando los recursos
    óptimos.
  • Integrarse activamente con sus clientes en un
    entorno de transparencia, comunicación y con
    objetivos comunes.
  • Obtener una imagen corporativa de servicio
    eficiente, de calidad y de empresa en punta
    tecnológica en el sector.

4
Organización
Zuzendaritza NagusiaDirección General
Kalitatea eta SegurtasunaCalidad y Seguridad
MarketinMarketing
Proiektuak eta Laguntza TecnikoaProyectos y
Asistencia Técnica
Sitemak eta TelekomunikazioakSistemas y
Telecomunicaciones
EkoizpenaProducción
Administrazioa eta LangileakAdministración y
Personal
5
Áreas de actuación y servicios
  • Gestión de Infraestructuras Sistemas de
    Información y Redes de Comunicación
  • Albergue y Operación de Sistemas de Información
  • Telecomunicaciones y Seguridad
  • Instalación de Equipamiento Hardware y Software
  • Mantenimiento Hardware y Software
  • Consultoría y Proyectos
  • Consultoría y Desarrollo de Proyectos Software
  • Implantación de Software y Aplicaciones
  • Gestión de Proyectos Comunes
  • Soporte a Usuarios
  • Centro de Atención a Usuarios (CAU)
  • Seguridad y Acceso Usuario (SASU)
  • Soporte Software
  • Formación a Usuarios
  • Asistencia Técnica
  • Desarrollo de Aplicaciones
  • Mantenimiento Correctivo y Adaptativo

6
Algunos servicios de EJIE
  • Telecentros KZGunea Formación al ciudadano y
    empresas en las TIC
  • Tarjeta Sanitaria de usos ciudadanos (ONA)
  • Sistema de gestión de expedientes
  • PLATEA Plataforma tecnológica base para
    servicios de administración electrónica
  • Presencia en Internet
  • Teletramitación
  • Archivo digital para la gestión documental del
    Gobierno Vasco
  • NORA Gestión de localizaciones
  • Sistema de pago seguro por internet para el
    ciudadano
  • Sistema de gestión de Bibliotecas de Euskadi

7
La gestión de los riesgos El corazón del SGSI
Un correcto enfoque respecto a la gestión de los
riesgos no asegura por sí mismo un buen resultado
del SGSI, pero evita malgastar unos recursos
valiosísimos
No es la primera vez que EJIE se embarca en un
proceso de implantación de un SGSI, pero es la
primera vez que lo ha certificado según la ISO
27001
8
La gestión de los riesgos Planificar
  • El alcance establece cuántos activos van a ser
    considerados en el SGSI, por lo que se puede
    establecer una relación al trabajo que viene
    después. Buscamos el SGSI del GV o el SGSI de
    EJIE?
  • No es necesario inventar la rueda La metodología
    MAGERIT desarrollada y actualizada
    permanentemente por el MAP es más que adecuada, y
    además es gratuita y fácilmente accesible

9
La gestión de los riesgos Identificar y analizar
Frecuencia estimada
10
La gestión de los riesgos Identificar y analizar
  • Según el nº de activos considerados será
    imposible o factible valorar el riesgo. Es
    necesario mantener las valoraciones de unas 25
    amenazas por activo y de unos 25 controles por
    amenaza (100 activos implica mantener 62.500
    valores)
  • Tampoco hay que tener miedo a tratar los activos
    agrupados, ya que el método nos obligará a
    disgregarlos cuando abordemos el nivel de riesgo
    correspondiente
  • De nuevo, no es necesario inventar la rueda La
    metodología MAGERIT establece las relaciones por
    defecto entre activos, vulnerabilidades, amenazas
    y riesgos, y esta relación se mantiene
    permanentemente actualizada

11
La gestión de los riesgos Dirección
  • No es bueno tratar todos los riesgos a la
    primera, es necesario dedicar los recursos
    disponibles a mitigar los mayores riesgos
  • Paulatinamente se reducirá el riesgo residual a
    medida que lanza anualmente cada Plan de
    Tratamiento de Riesgos

12
La gestión de los riesgos Tratamiento del
riesgo sin mitigación
  • Conviene trabajar con los proveedores para asumir
    conjuntamente el riesgo o transferirlo
    convenientemente (política de seguridad para
    proveedores, SLAs, seguros )
  • En aquellos riesgos que sea más caro mitigarlo
    que asumirlo (no olvidar el coste de imagen),
    podemos no hacer nada
  • Si tenemos la suerte de encontrar actividades que
    generan riesgo y no valor, aplicar la 1ª Ley del
    agujero

1ª Ley del agujero Si quieres salir de un
agujero, antes deja de cavar
13
La gestión de los riesgos Mitigar
  • El SOA (Statement of aplicability o Declaración
    de aplicabilidad) establece qué controles son
    aplicables de los 133 de la norma
  • Antes de buscar excusas sobre porqué no es
    aplicable un control, conviene aplicar el control
    en función del riesgo obtenido (considerar
    mitigar, transferir, aceptar y evitar)
  • Implantar seguridad no es barato (normalmente no
    suele ser la opción más barata)

14
Conclusiones sobre la gestión de riesgos
  • Dedicar el tiempo suficiente a establecer un
    alcance del SGSI controlable
  • No inventar la rueda, antes consultar MAGERIT
  • No ser detallistas en la identificación inicial
    de activos (100 está bien) e incrementar la
    granularidad a medida que sea necesario
  • Los riesgos deben ser tratados en sucesivos
    planes anuales en los cuales se irá mejorando el
    nivel de riesgo asumido
  • El tratamiento de los riesgos deberá ser adecuado
    al nivel de riesgo evaluado considerando siempre
    la posibilidad de transferir, aceptar y evitar el
    riesgo
  • Mitigar el riesgo suele ser una buena opción,
    pero también la más cara. Priorizar siempre en
    función del análisis del riesgo

15
Gracias por su atención
EJIE, S.A. Avda. del Mediterráneo, 14 01010
Vitoria-Gasteiz Teléfono 945 017 300 Fax 945
017 301 www.ejie.net
About PowerShow.com