gesconsultor
TRANSCRIPT
2
ÍNDICE
INTRODUCCIÓN
DE LA INFORMACIÓN A LA SEGURIDAD DE LA INFORMACIÓN
LAS NORMAS ISO Y LA NECESIDAD DE UNA HERRAMIENTA DE APOYO A LA CONSULTORÍA
GESCONSULTOR
10 RAZONES PARA UTILIZAR GESCONSULTOR
SOPORTE Y CONTACTO
3
INTRODUCCIÓN
“La información es un ac0vo que, como otros ac0vos importantes del negocio, 0ene valor para una organización y, por lo tanto necesita ser protegido”
ISO / IEC 27001:2005
¿Qué es la Información?
4
DE LA INFORMACIÓN A LA SEGURIDAD DE LA INFORMACIÓN
• La Ley Orgánica de Protección de Datos (LOPD) regula a nivel legal una parte importante de los Sistemas de Información de la empresa, los datos de carácter personal.
• Complementariamente, el Reglamento de Desarrollo RD1720/2007 especifica controles técnicos, Isicos y organizaKvos para garanKzar la Protección de citados datos.
• Los datos de carácter personal son un subconjunto del acKvo más importante que maneja una empresa:
INFORMACIÓN
Planes estratégicos, salario del personal, operaciones financieras…
Ofertas comerciales, ERP, contabilidad, planes ejecuXvos…
Site público de la empresa, publicidad…
Empleados, pacientes, clientes…
Marco Regulatorio
Datos de carácter personal
Información Pública
Información clasificada
Información Confidencial
5
• La información es un acKvo vital para la conKnuidad y desarrollo de cualquier organización pero la implantación de controles y procedimientos de seguridad se realiza frecuentemente sin un criterio común establecido.
• La Organización Internacional de Estandarización (ISO), a través de las normas recogidas en ISO/IEC 27000, establece un modelo para la implementación efecKva de la seguridad de la información empresarial.
ISO 27000: Términos y definiciones.
ISO 27001: Requerimientos del SGSI.
ISO 27002 (ISO 17799): Guía de buenas prácticas.
ISO 27001 – Sistema de GesXón de la Seguridad de la Información
6
• Los objeKvos principales de la serie 27000 son la protección de la información en sus diversas dimensiones, garanKzando la:
• Confidencialidad: Indica que la información debe ser conocida exclusivamente por las personas autorizadas, en el momento y forma prevista.
• Integridad: Indica que la información Kene que ser completa, exacta y válida, siendo su contenido el previsto de acuerdo con unos procesos predeterminados, autorizados y controlados.
• Disponibilidad: Indica que la información debe estar accesible y uKlizable por los usuarios autorizados en todo momento, debiendo estar garanKzada su propia persistencia ante cualquier eventualidad.
• La aplicación de la LOPD recoge un subconjunto de buenas prácKcas y procedimientos para proteger eficazmente los Datos de Carácter Personal
ISO 27000 y LOPD
La norma ISO 27001 amplia el alcance de la LOPD y se integra perfectamente con Sistemas de GesXón presentes en la empresa
7
Las normas ISO: Modelo común de GesXón
En todas las normas ISO y en concreto entre la ISO 9001 e ISO 27001, el concepto del sistema de gesKón es común a ambas normas, estableciendo sinergias entre ambas y un marco de actuación, estructural y documental común. Este sistema de gesKón está compuesto por:
• Manual de Calidad y Seguridad. • Procesos/Procedimientos OperaKvos Generales. • Instrucciones de Trabajo Específicas. • Registros de Calidad y Seguridad.
8
Definir el alcance del SG Definir la políXca del SG
Análisis y gesXón del riesgo Declaración de Aplicabilidad
Implantar controles seleccionados Implantar el Sistema de GesXón
Indicadores y métricas Formación y concienciación
Establecimiento de registros Revisar regularmente el SG Auditar internamente el SG
Adoptar acciones prevenXvas y correcXvas
Implantar las mejoras propuestas
Comunicar las mejoras Verificar que las mejoras cumplen su objeXvo
Implantar y Operar el SG
(Do) Hacer
Monitorizar y Revisar el SG
(Check) Verificar
Mantener y Mejorar el SG
(Act) Actuar
Establecer el SG
(Plan) Planificar
Las normas ISO: Modelo PDCA (Plan, Do, Check, Act)
9
LAS NORMAS ISO Y LA NECESIDAD DE UNA HERRAMIENTA DE APOYO A LA CONSULTORÍA
• Metodología de gesKón de seguridad clara y estructurada. • Seguridad garanKzada en base a la gesKón de procesos en vez de en la
compra sistemáKca de productos y tecnologías. • Reducción del riesgo de pérdida, robo o corrupción de información. • Los riesgos y sus controles son conKnuamente revisados. • Confianza de clientes y socios estratégicos por la garanWa de calidad y
confidencialidad comercial. • Las auditorías externas ayudan cíclicamente a idenKficar las debilidades
del sistema y las áreas a mejorar. • Integración de los diversos sistemas de gesKón (ISO9001, ISO14001,
OHSAS…). • ConKnuidad de las operaciones. • Conformidad con la legislación vigente. • Imagen de empresa a nivel internacional y elemento diferenciador de la
competencia. • Reduce costes y mejora los procesos y servicios. • Proporciona confianza y reglas claras al personal de la organización. • Aumenta la moKvación y saKsfacción del personal.
Normas ISO: Beneficios para la empresa Aspecto
organizaXvo
Aspecto legal
Aspecto Funcional
Aspecto comercial
Aspecto financiero
Aspecto humano
10
• Complejidad técnica y organizaKva de las normas.
• Elevado volumen de documentación y necesidades de estructuras documentales específicas
• Se requieren conocimientos avanzados en múlKples materias
• No existe un modelo de implementación claramente establecido
• Requisitos específicos según la norma de referencia (Ej: la ISO 27001 exige la aplicación de una metodología de Análisis y GesKón de Riesgos que es compleja y diIcil de implementar)
• Mantenimiento de los registros complejo
• GesKón de indicadores compleja
• Burocracia excesiva
• Necesidad de automaKzar la GesKón de los Sistemas
Dificultades de Implantación
NECESIDAD DE UNA HERRAMIENTA QUE GUIE AL CONSULTOR Y A LA EMPRESA DURANTE TODO EL PROCESO
11
• GESConsultor proporciona una solución integral para consultores y empresas a la hora de implementar y gesKonar un Sistema de GesKón, facilitando las dificultades anteriormente expuestas.
• GESConsultor es una herramienta para la implantación y el seguimiento del Ciclo Completo de Sistemas de GesKón en la que destacan las siguientes caracterísKcas:
• Implantación de normas. • GesKón documental. • Análisis de Riesgos
12
DESCRIPCIÓN GENERAL
• Lugar de encuentro entre consultores, empresa, y los equipos de trabajo que se relacionan con los Sistemas de GesKón.
• GesKón a través de Web para acceso desde cualquier lugar por cualquier perfil. • Portal personalizado según el perfil de acceso.
13
FUNCIONALIDADES
• Implantación de Normas basadas en estándares
• ENS (Esquema Nacional de Seguridad) • ISO 27001 (Sistema de GesKón de Seguridad de la Información) • ISO 9001 (Sistema de GesKón de Calidad) • ISO 14001 (Sistema de GesKón Medioambiental) – en desarrollo • UNE 166002 (Sistema de GesKón de I+D+i) – en desarrollo
14
• Herramienta para Consultores
• MulK-‐cliente. • MulK-‐norma (ISO 9001, ISO 27001, etc.) en un mismo o varios clientes. • Panel de control personalizado con la imagen corporaKva de la empresa de consultoría y sus datos de contacto.
• Posibilidad de disponer varios consultores en la herramienta. • Segregación de perfiles y clientes asignados por consultor. • Limitación de un perfil de consultor sólo de consulta.
15
• DiagnósXco Diferencial • DiagnósKco de situación control a control contra los dominios de la norma bajo análisis.
• ComparaKvas evoluKvas respecto de evaluaciones anteriores. • ComparaKvas respecto del sector. • Generación de informes de resultados AutomaKzados.
16
• DiagnósXco Diferencial
17
• Documentación de los Sistemas de GesXón • Incorpora pre-‐cargado un sistema de GesKón Completo para la norma bajo Análisis (SGSI, SGC, etc.) validado por numerosas implantaciones y cerKficaciones exitosas.
• La documentación se edita y se parKculariza de manera integrada herramienta a la situación de la enKdad
• Edición y almacenamiento de todos los registros, informes, actas, no conformidades, etc. exigidos por la norma para implantar y cerKficar un sistema de gesKón.
• Se pueden incorporar procedimientos y documentos externos (ofimáKcos por ejemplo) e incorporarlos al sistema de gesKón.
18
• Gestor Documental • Cualquier Norma basada en estándares ISO requiere una documentación asociada: políKcas, normas y procedimientos y otros requerimientos documentales.
• Permite realizar una gesKón ordenada y coherente de la documentación asociada al Sistema de GesKón.
• DisKntos Roles y permisos para los flujos de aprobación de documentos. • Control de versiones .
19
• Gestor RRHH Las acKvidades relaKvas a cualquier Norma internacional deben ser coordinadas entre los representantes de las diferentes partes de la organización con sus correspondientes roles y funciones de trabajo. Para ello GESConsultor permite: • Crear roles/puestos de trabajo • IdenKficar áreas/departamentos • IdenKficar al personal implicado • Formar un Comité de Seguridad
20
• Análisis y GesXón de Riesgos • Este módulo permite llevar a cabo análisis de riesgos cualitaKvos de los sistemas de información de las empresas
• Basado en la reconocida Metodología de Análisis y GesKón de Riesgos de los Sistemas de Información (Magerit) versión 2. Esta metodología es de carácter público y ha sido elaborada por el Consejo Superior de Administración Electrónica (CSAE), órgano del Ministerio de Administraciones Públicas (MAP)
• Cumple todos los requisitos exigidos por la norma ISO 27001
21
• Análisis y GesXón de Riesgos • IdenKficación de AcKvos de Información • Dependencias entre AcKvos • Valoración del acKvo para sus dimensiones de seguridad de la información (Disponibilidad, Integridad, Confidencialidad, AutenKcidad y Trazabilidad)
22
• Análisis y GesXón de Riesgos • Catálogo de Amenazas • Selección de conjunto de amenazas para cada acKvo • Valoración de las amenazas
23
• Análisis y GesXón de Riesgos • Cálculo del riesgo/impacto acumulado • Cálculo del riesgo/impacto repercuKdo • Cálculo del riesgo/impacto residual
24
• Análisis y GesXón de Riesgos • Tratamiento de Riesgos
• Selección de controles • Transferirlo a un tercero • Evitarlo • Asumirlo
• Declaración de Aplicabilidad
25
• Análisis y GesXón de Riesgos Planificador de acciones • Planificación de fechas de actuación • Asignación de responsables • Seguimiento del estado de las acciones • Anexar documentación • Importes previstos
26
10 RAZONES PARA UTILIZARLO
1. Establece un marco de referencia para la implantación y operación de Sistemas de GesKón de una manera fácil y ordenada.
2. Monitoriza y centraliza toda la información de modo ordenado y ópKmo, facilitando la localización de informes, registros e indicadores.
3. Permite gesKonar de una manera ágil y sencilla Sistemas de GesKón complejos, integrando los diferentes Sistemas de GesKón en la empresa: SGC, SGSI, SGIDI…
4. Dispone de un interfaz web visual e intuiKva, que recoge todos los requisitos de las normas para operar Sistemas de GesKón.
5. Es un desarrollo en constante evolución, que se adapta y mejora en sus sucesivas versiones para ofrecer un servicio más completo al consultor y a la empresa final.
27
6. GESConsultor se integra perfectamente con Gesdatos para permiKr una migración y adecuación fácil y sencilla.
7. GESConsultor cumple con el ciclo de mejora conKnua PDCA.
8. GESConsultor permite mantener en constante evolución y actualización un Sistema de GesKón.
9. GESConsultor permite que cada perfil que intervenga en un Sistema de GesKón disponga de un interfaz único y personalizado.
10. GESConsultor permite a un consultor o grupo de consultores gesKonar totalmente su cartera de clientes en las que lleva a cabo su trabajo de una manera sencilla y coordinada, mediante un interfaz de gesKón.
28
SOPORTE Y CONTACTO
El soporte básico y por tanto gratuito incluye:
Adicionalmente se ofrece la posibilidad de cursos formaKvos respecto de la uKlización de la herramienta, así como formación específica de las normas ISO 27001 e ISO 9001.
Consultas vía email a soporte de GesConsultor sin límite en relación con aspectos relaXvos a la herramienta
Información y Contacto: [email protected] Teléfono: 902 900 231
