Cómo realizar una gestión eficaz en el
ámbito sanitario: ISO 27001/ISO 27799 e ISO
20000
“eSANIDAD 2012”
GRUPO AUDISEC: QUIÉNES SOMOS
AUDISEC Seguridad de la Información, una empresa dedicada a aportar seguridad a sus clientes en el
tratamiento de su activo más importante, sus datos, su información.
Experiencia en Consultoría, Implantación y auditoría de:
• Sistemas de Gestión de Seguridad de la Información (SGSI) Norma ISO 27001
(LA MITAD DE LA EMPRESAS CERTIFICADAS EN ESPAÑA)
•Sistemas de Gestión de Servicios TI Norma ISO 20000
(MÁS DE LA MITAD DE LA EMPRESAS CERTIFICADAS EN ESPAÑA)
•Planes de continuidad de Negocio BS 25999
•Sistemas de gestión para Protección de Infraestructuras Críticas
•Calidad de Software, CMMI, SPICE
•Sistemas de protección de datos de carácter personal (LOPD)
•Esquema Nacional de Seguridad (ENS)
Desarrollo de proyectos de I + D + i
Desarrollo de productos para esos servicios:
PANORAMA
Mayor dependencia de los sistemas = mayor vulnerabilidad
Seguridad
Calidad del servicio
Continuidad del servicio
Creciente importancia del tiempo en las respuestas
Concienciación ante incremento de catástrofes/acontecimientos
Concienciación ante incremento de ataques (Hackers,
Ciberterrorismo, espionaje, etc.)
Concienciación de efectos de los anteriores en las empresas
(Cuantiosos daños económicos, cuantiosos daños a la imagen
corporativa, perdida de clientes, responsabilidades civiles o
penales, etc.)
PANORAMA
Normativas nacionales e internacionales:
-LOPD
-ENS(esquema nacional de seguridad)
-LEY DE PROTECCIÓN DE INFRAESTRUCTURAS CRÍTICAS(LPIC)
Empresas exigen garantías a sus proveedores. También
administración pública. Cumplimiento en cascada (SLA´s)
Propia CONCIENCIACIÓN de las empresas/entidades
Desafío
¿Cuáles son los retos a superar?
GARANTIZAR LOS SERVICIOS Asegurar la confidencialidad e integridad de la información
Asegurar la disponibilidad del servicio
Cumplimiento exhaustivo de la LEGISLACIÓN/NORMATIVAS
Ofrecer niveles de gestión más altos = Calidad
Asegurar la transferencia del servicio de forma transparente
al cliente
Aportar una resolución de incidentes rápida, eficaz y
eficiente
Aportar continuidad a los servicios
Solución: Estándares Internacionales
GENERAR CONFIANZA = REDUCIR RIESGOS
¿Qué debemos exigir? ¿Qué debemos ofrecer?
Solución: Estándares Internacionales
¿Qué deberíamos hacer primero?
GARANTIZAR SEGURIDAD DEL SERVICIO y los ACTIVOS de los que
depende
ISO
27001
Solución: Estándares Internacionales I
SO
27001
Una vez asegurada la seguridad del servicio y sus activos….
Debemos establecer una correcta GESTIÓN DEL SERVICIO,
haciéndolo más EFICAZ y EFICIENTE.
ISO 20000
Solución: Estándares Internacionales I
SO
27001
ISO 20000
Ya tenemos el servicio asegurado y gestionado. ¿Qué nos falta?
Aportar CONTINUIDAD AL SERVICIO
Iso 22301/ Bs 25999
SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN – SGSI
(ISO27001)
Único estándar INTERNACIONAL relativo a SEGURIDAD DE LA INFORMACIÓN.
Objetivo: incrementar la seguridad INTERNA Y EXTERNAMENTE de los servicios de una compañía,
con medidas tanto TÉCNICAS como ORGANIZATIVAS.
Controles
•Control de acceso a los sistemas y aplicaciones
•Control de la red
• Seguridad Física
•Gestión de Incidencias
•Planes de continuidad
• Seguridad en los RRHH
•Cumplimiento legal
•Políticas de seguridad
•Gestión de activos
Análisis de Riesgos
• Inventario y valoración de activos.
•Análisis de riesgos TI activo por activo.
•Plan de tratamiento de riesgos para reducir o eliminar los riesgos que afectan a los activos.
SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL
ÁMBITO SANITARIO – (ISO27799)
Norma específica para la gestión de la seguridad de la información en el ámbito sanitario, es la
ISO 27799.
Orientación a las organizaciones sanitarias y a empresas relacionadas con el sector sobre la mejor
forma de gestionar la seguridad de la información con la implantación de los controles indicados
en la norma ISO 27002.
Principales amenazas consideradas dentro del ámbito sanitario:
Suplantación de identidad.
Gestión de proveedores de servicio.
Gestión de privilegios en las aplicaciones.
Incidencias de disponibilidad.
Robos o daños premeditados.
Errores humanos.
SISTEMAS DE GESTIÓN DE RIESGOS: ISO 31000
Análisis y Gestión de los riesgos que afectan a las organizaciones de todo tipo: Legales,
Operacionales, Mediambientales, Financieros, TI, etc.
Objetivo: Conocerlos, valorarlos y tratarlos. Existe un estándar internacional: ISO31000
ESQUEMA NACIONAL DE SEGURIDAD - ENS
Persigue el mismo objetivo que ISO 27001, pero ha sido creado única y exclusivamente para
ADMINISTRACIONES PÚBLICAS ESPAÑOLAS.
Objetivo: aumentar la confianza de los ciudadanos en la E-ADMINISTRACIÓN a través de la
articulación de medidas de seguridad, que como en el caso de ISO 27001, van desde las más
técnicas hasta las organizativas.
Ciudadanos
ENS-SEGURIDAD
e-Administración
SISTEMA DE GESTIÓN DE SERVICIOS- SGS
(ITIL - ISO 20000) :
Muy relacionada con ITIL, ISO 20000 también pretende que los servicios sean gestionados de
manera óptima para conseguir que estos sean más EFICACES Y EFICIENTES, partiendo de la base
de que los servicios son cada vez más tecnológicos y que es ahí donde hay que mejorar las tareas
de gestión.
PLANES DE CONTINUIDAD DE NEGOCIO:
BS25999 – ISO22301
Objetivo principal: asegurar que las organizaciones van a ser capaces de recuperarse en el menor
tiempo posible de un desastre, reanudando las actividades en un espacio de tiempo tan corto que
el impacto sobre el negocio sea mínimo.
Objetivo 2: asegurar la supervivencia de las organizaciones.
Continuidad Negocio
Continuidad tecnológica, alta
disponibilidad, sistemas redundados,
planificación de acciones en caso de
desastre.
Continuidad de RRHH y sedes, planificación de
nuevos puestos y lugares de trabajo,
comunicación interna y externa.
Gestión y pruebas de los planes
PROTECCIÓN DE INFRAESTRUCTURAS CRÍTICAS :
(UNIÓN EUROPEA)
Aúna los conceptos de ISO 27001, BS25999-ISO22301, ISO20000 y algunas particularidades para
este tipo de escenarios.
Objetivo: garantizar la seguridad y continuidad de las operaciones de aquellos operadores
(públicos o privados) considerados como críticos y que en caso de no operar podrían causar un
grave perjuicio económico, social, energético, sanitario, logístico, etc.
Infraestructuras críticas
Continuidad de Negocio
Análisis de Riesgos
Seguridad Física
SOLUCIONES DE ÉXITO EN LA IMPLANTACIÓN: GLOBAL SUITE
GlobalSUITE® Única herramienta que existe actualmente en el mercado mundial
que gestiona ÍNTEGRAMENTE la implantación y mantenimiento de cualquier tipo de
sistema de gestión
GlobalSUITE® permite gestionar de manera integrada o bien de manera separada
cualquier tipo de sistema de gestión:
ISO 27001, ISO 20000, ISO 31000, ISO22301/BS 25999, ENS, PIC, ISO 9001, ISO 14001,
OSHAS 18001, LOPD
GlobalSUITE ® : Solución integrada de Gestión
GlobalSUITE ® : Solución integrada de Gestión
GlobalSUITE®Es una aplicación que engloba múltiples soluciones para gestionar y mantener los Sistemas de Gestión en las organizaciones de manera integrada.
GlobalSGSI® Sistemas de gestión de seguridad de la información-SGSI (ISO/IEC 27001)
GlobalCONTINUITY® Planes de continuidad de negocio (BS25999/ISO 22301 )
Global20000® Sistema de gestión de Servicios de TI-SGSTI (ISO/IEC 20000)
GlobalSGPIC® Sistemas de Protección de Infraestructuras Críticas
GlobalRISK® Análisis y gestión de riesgos avanzados (ISO31000)
GlobalENS® Esquema Nacional de Seguridad. (ENS)
GlobalBSC® Cuadro de Mandos Integral (CMI-BSC)
GlobalCOMPLIANCE® Cumplimiento normativo
GlobalLOPD® Sistemas de protección de datos personales
GlobalSG® Sistemas de gestión de calidad-SGC (ISO 9001)
GlobalSG® Sistemas de gestión del medio ambiente-SGA (ISO 14001)
GlobalSG® Sistemas de gestión de Seguridad y Salud Laboral-SGSSL (OSHAS 18001)
Etc.
HERRAMIENTAS INTEGRADAS:
Herramienta para la gestión y
mantenimiento de sistemas de calidad y
medioambiente (ISO 9001 e ISO 14001).
Herramienta para gestionar sistemas de
gestión de Seguridad de la Información
(ISO 27001)
Para empresas TI Global 20000 permite
la gestión de sistemas de gestión de sus
servicios TI ( ISO 20000)
Esta herramienta permite gestionar la
continuidad de negocio bajo la norma
ISO22301 / BS25999.
GlobalSUITE ® : Solución integrada de Gestión
HERRAMIENTAS INTEGRADAS:
ANÁLISIS Y GESTIÓN DE RIESGOS INTEGRAL aprovechando
el motor de AGR avanzado de GlobalSGSI, nos permite
analizar y gestionar riesgos, de cualquier tipo (Financieros,
legales, operacionales, etc.) con cualquier metodología
de análisis, y pudiendo personalizar los catálogos de
amenazas, vulnerabilidades, controles, etc.
GlobalSUITE ® : Solución integrada de Gestión
CUMPLIMIENTO LEGAL Y NORMATIVO
Gracias a los módulos GAP ANALYSIS y AUDITORÍA se
pueden cargar esquemas de leyes, normas o estándares
y realizar un análisis diferencial contra el esquema
deseado para que luego GlobalCOMPLIANCE genere
automáticamente el plan de adecuación..
BALANCED SCORECARD (BSC) Herramienta
para la implantación y mantenimiento diario de un
Cuadro de Mandos Integral (CMI) que además
ayuda al mantenimiento de cualquier sistema de
gestión (9001, 14001, 27001, etc.).
HERRAMIENTAS INTEGRADAS:
Dentro de la plataforma también se integran otras herramientas que permiten cumplir con la legislación
española y además SON OBLIGATORIOS en Europa y varios países LATAM(integrándose con el resto de
sistemas o de manera aislada)
GlobalSUITE ® : Solución integrada de Gestión
Herramienta para que empresas privadas y
administraciones públicas puedan
adecuarse a la Ley de Protección de Datos
Herramienta para la adecuación del
Esquema Nacional de Seguridad, obligatorio
para Administraciones Públicas
Herramienta para la Implantación de
Sistemas para la Gestión de la Protección de
Infraestructuras Críticas
GlobalSGSI .:. Análisis
Uno de los puntos más fuertes de GlobalSGSI lo encontramos en la pestaña de Análisis dónde la
empresa podrá calcular la importancia de sus activos mediante la realización de un inventario, y
posteriormente analizar todas las posibles amenazas a las que esté expuesto el activo gracias al
amplio catálogo de amenazas disponible en GlobalSGSI.
GlobalSGSI .:. Análisis .:. Gestión de Riesgos
En la pestaña de análisis también podrá
encontrar la posibilidad de realizar un
plan de tratamiento de riesgos a partir
de los riesgos obtenidos en la
realización del análisis. Esto consistirá
en la planificación de una serie de
acciones asociados a la implantación de
controles con el objetivo de disminuir
los riesgos.
Para ello, GlobalSGSI proporciona un
amplio catálogo de controles para cada
una de las amenazas a las que puedan
estar expuestos los activos de la
organización.
GlobalSGSI .:. Análisis .:. Históricos
Realice históricos de sus análisis de riesgos y los planes de tratamiento de riesgos de cada año gracias a la
opción de GlobalSGSI que permite crear un imagen del estado actual y que sirva de histórico para ver la
evolución de los riesgos a lo largo del tiempo.
GlobalContinuity .:. Inicio .:. Definición de Actividades
GlobalCONTINUITY permite definir el árbol de servicios y procesos que serán objeto de los planes
de continuidad de negocio y definir sus grados de dependencia. Con ello pasaremos a definir el
alcance del proyecto.
GlobalContinuity .:. Análisis.:. BIAs
GlobalCONTINUITY permite realizar múltiples BIAs (configurables) sobre un mismo servicio y/o
proceso y poder consolidarlos en base a diferentes criterios para poder obtener un único BIA por
proceso. Además calcula de manera automática el máximo tiempo admisible de interrupción
(MTPD) y asiste a la hora de calcular el RTO y el RPO.
GlobalRISK .:. Mapas de Riesgos
GlobalRISK permite visualizar en formato “mapa de calor” o mapa de riesgos los riesgos obtenidos,
además de más visualizaciones adicionales.
GlobalBSC
GlobalBSC provee evaluación automática de los objetivos en base a los parámetros y condiciones
que hayamos marcado.
AudiSec, Seguridad de la Información S.L.: EQUIPO
Gracias!
Q&A MANUEL VASALLO REBOREDA
Director de Desarrollo de Negocio de Audisec
Más información
Madrid |Barcelona | Ciudad Real |Bogotá | México DF
[email protected] www.audisec.es 902 056 203