ens y sgsi iso27000: inquietudes actuales
TRANSCRIPT
Vicente Andreu Navarro
Gabinete de Planificación y Prospectiva Tecnológica
Universitat Jaume I de Castellón
León, 22 de octubre de 2015
ENS y SGSI ISO27000: inquietudes actuales
Iniciativa Fecha
Certificación SGSI ISO/IEC 270001:2007 Marzo 2010
Renovación certificación SGSI ISO/IEC 270001:2007 Marzo 2013
Plan de adecuación al ENS basado en el SGSI 2011-2014
• Auditoría de cumplimiento de las medidas del Anexo II Dic. 2012, Marzo 2013
• Declaración de aplicabilidad y Plan de Acciones Marzo 2013
• Desarrollo del Plan de Acciones Abril 2013, Enero 2014
•Auditoría de cumplimiento de las medidas del Anexo II Diciembre 2014
Adecuación del SGSI a la norma ISO/IEC 270001:2013 2015
Evolución de la seguridad TI en la UJI desde 2010
Seguridad TI
Aproximación tradicional a Ia seguridad
• Ámbito de aplicación del SGSISistemas de información que soportan los servicios de TI de la Universitat Jaume I en los ámbitos:
• Académico: servicios tecnológicos de soporte a la docencia• Investigación: entorno de cálculo científico• Gestión: entorno de gestión administrativa• Comunes: portal universitario y servicio de internet, servicios de conexión y correo
electrónico, recursos de almacenamiento y de gestión de proyectos
Primera inquietud: ¿qué protegemos?
¿Y el ENS? ¿Un sistema único que
quizás sea demasiado exigente?
¿Dos sistemas diferentes para algunos activos?
Segunda inquietud: cumplimiento
¿Cumplimos o no
cumplimos?
El grado de madurez es adecuado
El cumplimiento
del control está entre medio y
bajo
• Independencia de la función de seguridad
Tercera inquietudAquí dice:
Marco operacional,Marco organizativo,
Arquitectura de seguridad,Gestión de capacidades,
Bastionado,Bla, bla, bla…
¡No hay recursos!
• Diversidad de normas, recomendaciones, guías, buenas prácticas
Cuarta inquietud
ENS
ITIL
RDLOPD
Calidad
Continuidad de negocio
ISO 27000
• Compromiso y concienciación
La última inquietud
Y todo esto que hago, ¿le
importa a alguien?
¿Lo qué?
¡Hazlo y no
molestes!
Yo bastante
tengo con lo mío…
CLOUD
BYODIoT
Atacante “amateur”
Bandas organizadas
con ánimo de lucro
Gracias por su atención