agenda del evento
DESCRIPTION
Desde la seguridad de la información hasta los Sistemas de Riesgo, Continuidad y Cumplimiento - Integración SGSI - Governance & Compliance. Agenda del Evento. Audisec Seguridad de la información ISO 27001, Riesgo, Continuidad y Cumplimiento. Conclusiones. Audisec: Quienes somos. - PowerPoint PPT PresentationTRANSCRIPT
Desde la seguridad de la información hasta los Sistemas de Riesgo, Continuidad y Cumplimiento -
Integración SGSI - Governance & Compliance
Agenda del Evento
1. Audisec2. Seguridad de la
información3. ISO 27001, Riesgo,
Continuidad y Cumplimiento.
4. Conclusiones
Audisec: Quienes somos
AUDISEC Seguridad de la Información, como fabricante de GlobalSUITE, ha participado en multitud
de proyectos:
• Sistemas de Gestión de Seguridad de la Información (SGSI) ISO 27001(APROX. LA MITAD DE LA EMPRESAS CERTIFICADAS EN ESPAÑA)
• Sistemas de Gestión de Servicios TI Norma ISO 20000(APROX. LA MITAD DE LA EMPRESAS CERTIFICADAS EN ESPAÑA)
• Planes de continuidad de Negocio ISO 22301• Sistemas de gestión para Protección de Infraestructuras Críticas• Calidad de Software, CMMI, SPICE• Sistemas de protección de datos de carácter personal (LOPD)• Esquema Nacional de Seguridad (ENS)
Desarrollo de proyectos de I + D + i
Desarrollo de productos para esos servicios: GlobalSUITE
Audisec: Dónde estamos
AUDISEC Seguridad de la Información, fabricante de GlobalSUITE, tiene enfoque
internacional y actualmente se encuentra operando en los principales países de
Latinoamérica, Norteamérica y Europa.
GlobalSUITE: Solución integrada
GlobalSUITE® Única herramienta que existe actualmente en el mercado mundial que gestiona
ÍNTEGRAMENTE la implantación, mantenimiento, automatización y monitorización de cualquier
tipo de sistema de gestión
GlobalSUITE® permite gestionar de manera integrada o bien de manera separada cualquier tipo
de sistema de gestión
GlobalSuite: Solución integrada de Gestión
HERRAMIENTAS INTEGRADAS:
Herramienta para la gestión y
mantenimiento de sistemas de calidad y
medioambiente (ISO 9001 e ISO 14001)
Herramienta para gestionar sistemas de
gestión de Seguridad de la Información
(ISO 27001)
Para empresas TI Global 20000 permite la
gestión de sistemas de gestión de sus
servicios TI ( ISO 20000)
Esta herramienta permite gestionar la
continuidad de negocio bajo la norma
ISO22301 / BS25999
GlobalSuite: Solución integrada de Gestión
HERRAMIENTAS INTEGRADAS: ANÁLISIS Y GESTIÓN DE RIESGOS INTEGRAL
aprovechando el motor de AGR avanzado de
GlobalSGSI, nos permite analizar y gestionar riesgos,
de cualquier tipo (Financieros, legales, operacionales,
etc.) con cualquier metodología de análisis, y
pudiendo personalizar los catálogos de amenazas,
vulnerabilidades, controles, etc
CUMPLIMIENTO LEGAL Y NORMATIVO
Gracias a los módulos GAP ANALYSIS y AUDITORÍA se
pueden cargar esquemas de leyes, normas o
estándares y realizar un análisis diferencial contra el
esquema deseado para que luego GlobalCOMPLIANCE
genere automáticamente el plan de adecuación
BALANCED SCORECARD (BSC) Herramienta para la
implantación y mantenimiento diario de un Cuadro de
Mandos Integral (CMI) que además ayuda al
mantenimiento de cualquier sistema de gestión (9001,
14001, 27001, etc.)
GlobalSuite: Solución integrada de Gestión
HERRAMIENTAS INTEGRADAS:
Dentro de la plataforma también se integran otras herramientas que permiten cumplir con la
legislación española y además SON OBLIGATORIOS en Europa y varios países LATAM(integrándose
con el resto de sistemas o de manera aislada)
Herramienta para que empresas privadas y
administraciones públicas puedan adecuarse a la
Ley de Protección de Datos
Herramienta para la adecuación del Esquema
Nacional de Seguridad, obligatorio para
Administraciones Públicas
Herramienta para la Implantación de Sistemas para
la Gestión de la Protección de Infraestructuras
Críticas
Seguridad de la Información
LA SEGURIDAD DE LA INFORMACIÓN
SGSI, ISO 27001
Visión General
ISO 27001, Introducción
ISO 27001, el estándar internacional para la implantación de sistemas de gestión de seguridad de la información.
SGSI
ISO 27001, Introducción
22301
SGSIENS
PCI
27001
27031
PIC
25777
20000
Contexto legal y normativo
ISO 27001, Introducción
SGSI
Cuestiones Técnicas
Cuestiones Organizativas
Sistema de Gestión
ISO 27001, Introducción
ISO 27001• Todo tipo de organizaciones, siendo de especial interés para
aquellas en las que su información sea un activo vital para su negocio, con lo que tendrán que protegerlo.
• Todo tipo de sectores de actividad.• En cualquier país.• No sólo seguridad informática -> seguridad de la información.
ISO 27001, Introducción
Factores clave para implantar un sistema de gestión basado en ISO 27001
Hay que buscar alcances que sean ambiciosos pero que no deriven en un proyecto inmanejable.
Hay que marcarse un plazo realista. Hay que buscar herramientas que automaticen el proceso,
tanto de implantación como de mantenimiento posterior. La dirección debe estar comprometida con el proyecto, sobre
todo a la hora de asignar recursos.
ISO 27001, Introducción
Semejanzas entre ISO 27001, ISO 20000, ISO 22301, ISO 9001, ISO 14001, etc.
Implantan un sistema de gestión, con lo que ello implica: Control documental Control de registros. Alcance. Objetivos. Auditoría interna. Revisión por dirección Mejora continua Etc…
ISO 27001, Beneficios
ANTE EL MERCADO
ANTE LOS CLIENTES
GESTIÓN ORGANIZACIÓN
Afianza la posición de su organización
Nuevos clientes
Factor competitivo
Imagen de marca
Favorece el desarrollo
Puntúa en pliegos de las AAPP.
Seguridad
Servicios TI orientados hacia el negocio. Eficiencia y productividad
Conocimiento y depuración procesos internos
Mejor gestión de recursos y costes
Mejora continua
Continuidad Negocio
Mayor confianza del cliente
Aumenta satisfacción
Mejor imagen y comunicación
Confidencialidad, Integridad y
Disponibilidad de la información
Gestión de la continuidad de
negocio
ISO 27001 y Riesgo, Continuidad y Cumplimiento
ISO 27001, Seguridad, Continuidad, Riesgo y
Cumplimiento
ISO 27001 y Riesgo, Continuidad y Cumplimiento
Medidas de seguridad a implantar en ISO 27001
ISO 27001 y Riesgo, Continuidad y Cumplimiento
¿Por qué empezar a implantar ISO 27001?
No tiene sólo aspectos de seguridad:
Hay que hacer análisis de riesgos. Hay que establecer planes de continuidad de
negocio. Hay una parte de cumplimiento legal.
CONCLUSIÓN: es el mejor punto de partida.
ISO 27001 y Riesgo, Continuidad y Cumplimiento
ISO 27001• SeguridadISO 22301• Continuidad
ISO 31000• Gestión del Riesgo
TODAS LAS NORMAS• Cumplimiento
Camino a seguir
ISO 27001 y Riesgo, Continuidad y Cumplimiento
ISO 22301, el estándar internacional para la implantación de sistemas de gestión de continuidad de negocio.
SGCN
ISO 27001 y Riesgo, Continuidad y Cumplimiento
ISO 31000, el estándar internacional para gestión del riesgo
GR
ISO 27001 y Riesgo, Continuidad y Cumplimiento
INTEGRACIÓN DE LOS SISTEMAS
Desde Seguridad hacia Riesgo, Continuidad y Cumplimiento
ISO 27001 y Riesgo, Continuidad y Cumplimiento
Implantar un sistema de gestión integrado basado en las normas ISO 27001, ISO 31000 e ISO 22301.
Las tres normas tienen muchos requisitos en común. Hay que buscar alcances coincidentes. Hay que buscar herramientas que automaticen el proceso,
tanto de implantación como de mantenimiento posterior. Proponemos el uso de GlobalSUITE con los módulos GlobalSGSI, GlobalRISK y GlobalCONTINUITY.
El sistema debe estar integrado.
ISO 27001 y Riesgo, Continuidad y Cumplimiento
Semejanzas entre ISO 27001, ISO 31000 e ISO 22301.
Implantan un sistema de gestión, con lo que ello implica: Control documental Control de registros. Alcance. Objetivos. Auditoría interna. Revisión por dirección Mejora continua Etc…
ISO 27001 y Riesgo, Continuidad y Cumplimiento
Semejanzas entre ISO 27001 e ISO 22301.
Hay varios procesos que son similares: Análisis y gestión del riesgo. Continuidad y disponibilidad.Gestión de incidentes.Gestión de proveedores.El sistema de gestión completo, ciclo PHVA.Etc…
CON ISO 31000 SE PUEDE HACER AMBOS ANÁLISIS DE RIESGOS
ISO 27001 y Riesgo, Continuidad y Cumplimiento
ISO 27001
ISO 22301
ISO 31000
ISO 27001 y Riesgo, Continuidad y Cumplimiento
Ir creciendo de forma gradual en los distintos sistemas tiene múltiples beneficios:
Beneficios:• Ahorro de tiempo en la implantación y el mantenimiento del
sistema de gestión.• Ahorro de costos.• Sistema de gestión mucho más adaptado a la organización,
integrando la visión de seguridad y de continuidad.• Manejo más sencillo del sistema.
ISO 27001 y Riesgo, Continuidad y Cumplimiento
•Revisión del SG.•Cuadro de mando.•Auditoría interna.•Validación del SG.•Mediciones.•Revisión por Dirección.
•Gestión No Conformidades, acciones preventivas y correctivas.
•Implantación de Mejoras.
•Implementación de procesos.•Implementación de controles.•Planes de continuidad y pruebas.
•Capacitación y sensibilización.
•Planificación del proyecto.•Grupo de Trabajo.•Alcance.•Políticas.•Planes.•Análisis de Riesgos.•BIA
PLAN
DOCHECK
ACT
Conclusiones
CONCLUSIONES
Conclusiones
Múltiples beneficios al integrar sistemas:• Ahorro de tiempo y costos• Visión de seguridad , riesgos y de continuidad integrada.• Manejo más sencillo del sistema.
Es recomendable comenzar por ISO 27001 ya que incluye requisitos de riesgos, continuidad y cumplimiento.
Con ISO 31000 podemos hacer análisis de riesgos para el resto de normas
Hay que automatizar los sistemas con herramientas.
Conclusiones
GlobalSUITE permite desarrollar los proyectos con este enfoque
Gracias por su atención!
Q&A
MADRID CIUDAD REAL
www.globalsuite.es
BOGOTÁ MÉXICO DF