charla 27001

Clickalba Protección Datos

967 119 [email protected]

D. Luis García Ruiz

Director Gerente de Clickalba Protección Datos

Presidente de la Asociación Profesional de Privacidad de Castilla la Mancha (APCLM)



1. ¿Quiénes somos?

2. Protección de Datos de Carácter Personal (LOPD)

3. Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE)

4. ISO 27001. Sistema de Gestión de Seguridad de la Información.

5. ISO 20000. Sistema de Gestión de Servicios TIC.

6. BS25999. Sistema de Gestión Continuidad de Negocio SGCN

7. ENS (Esquema Nacional de Seguridad)

8. Propiedad Industrial e Intelectual.

9. FIRST CRASH. ISO 27001.



¿Quiénes somos?

Clickalba se dedica a aportar seguridad a sus clientes en su activo más importante,

sus datos e información.



Protección de Datos de Carácter Personal (LOPD)

Consultoría.

Mantenimiento.

Outsourcing.

Servicios Adicionales.

Formación.

Auditorias.



Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE)

Adecuación de páginas web a la legislación vigente.

Auditoria Web.

Contratación electrónica.

Procedimiento de venta on-line.

Firma electrónica.

Condiciones de uso de páginas Web.

Marketing on-line.

Avisos legales.

Políticas de privacidad.



ISO 27001. Sistema de Gestión de Seguridad de la Información.

Implantación de Sistemas de Gestión de la Seguridad de la Información (SGSI). Políticas de Seguridad. Análisis y gestión de riesgos. Planes de Seguridad. Planes de contingencia y continuidad. Gestión de incidencias. Auditoria previa a la obtención de la Certificación ISO 27001. Revisiones periódicas del SGSI. Formación a empleados.



ISO 20000. Sistema de Gestión de Servicios TIC.

Elaboración de Planes de Gestión y Políticas de calidad TI

Consultoría en gestión de incidencias, HelpDesk y gestión de problemas

Consultoría integración ISO 27001-ISO 20000

Auditorías internas de preparación para certificación en ISO 20000



BS25999. Sistema de Gestión Continuidad de Negocio SGCN

Su organización tendrá garantizada la continuidad de las actividades principales del negocio de manera que el impacto que produce un desastre sea mínimo.



ENS (Esquema Nacional de Seguridad)

La finalidad del Esquema Nacional de Seguridad es crear las condiciones necesarias para la confianza en el uso de los medios electrónicos.



Propiedad Industrial e Intelectual.

Registro de marcas, patentes y nombres comerciales.

Licencias de uso y contratos de desarrollo de tecnología y software.

Protección de los derechos propiedad intelectual y contrato de confidencialidad.

Controversias y recuperación de nombres de dominio.



FIRST CRASH. SEGURIDAD DE LA INFORMACIÓN

¿Riesgos?

¡NUNCA PASA NADA!



AMENAZAS

Password cracking

Man in the middle

Denegación de servicio

Escalamiento de privilegios

Hacking de Centrales Telefónicas

Keylogging Port scanning

Puertos vulnerables abiertos

Servicios de log inexistentes o que no son chequeados

Desactualización

Backups inexistentes

Últimos parches no instalados

Violación de la privacidad de los empleados

Destrucción de equipamiento



Captura de PC desde el exteriorViolación de contraseñas

Interrupción de los servicios

VirusMails anónimos con agresiones

Incumplimiento de leyes y regulaciones

Robo o extravío de notebooks, palms

Robo de información

Destrucción de soportes documentales

Acceso clandestino a redes

Intercepción de comunicaciones voz y wireless

Programas “bomba, troyanos”

Acceso indebido a documentos impresos

Agujeros de seguridad de redes conectadasFalsificación de información

para terceros

Indisponibilidad de información clave

Spamming

Ingeniería social



VULNERABILIDADES COMUNES

- Inadecuado compromiso de la dirección.- Personal inadecuadamente formado y concienciado.- Inadecuada asignación de responsabilidades.- Ausencia de políticas/ procedimientos.- Ausencia de controles (físicos/lógicos/correctivos…) - Ausencia de reportes de incidentes y vulnerabilidades.- Inadecuado seguimiento y monitoreo de los controles.



SEGURIDAD DE LA INFORMACION

La seguridad de la información se caracteriza aquí como la preservación de:

su confidencialidad, asegurando que sólo quienes estén autorizados pueden acceder a la información;

su integridad, asegurando que la información y sus métodos de proceso son exactos y completos.

su disponibilidad, asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran.



ORIGEN DE LA NORMATIVA

Grupo de trabajo – enero 1993Emisión de código – Septiembre 1993Publicación de BS 7799-1 Febrero 1995

Publicación de BS 7799-2 Febrero 1998Publicación BS7799: 1999 1 y 2 Abril 1999ISO 17799 (BS 7799-1) – Diciembre 2000

BS 7799-2 - Publicado en Septiembre 2002.ISO 17799 - Publicado Julio 2005ISO 27001 – Publicado Noviembre 2005.



El sistema de gestión de la seguridad de la información (SGSI) es la parte del sistema de gestión de la empresa, basado en un enfoque de riesgos del negocio, para:– establecer, – implementar, – operar, – monitorear, – mantener y mejorar la seguridad de la información.Incluye.– Estructura, políticas, actividades, responsabilidades, prácticas,

procedimientos, procesos y recueros.

SGSI



El hecho de implantar un SGSI no prueba que una organización sea 100 % segura. La seguridad completa no existe. No obstante, la adopción de un SGSI proporciona ventajas:

¿POR QUÉ UN SGSI?



Modelo utilizado para establecer, implementar, monitorear y mejorar el SGSI.



Metodología de Implantación



IMPLANTACIÓN



ALCANCE



ANÁLISIS DE RIESGOS



TRATAMIENTO DE RIESGOS



ANÁLISIS DE RIESGOS



IMPLEMENTACIÓN DE CONTROLES



HERRAMIENTAS

COMERCIALES

GRATUITAS



BENEFICIOS

charla 27001

Documents