II Encuentro con el SECTOR PÚBLICO DINTEL 2010"La Sostenibilidad del Ecosistema TIC de las Administraciones Públicas”

1

AudiSec, Seguridad de la Información S.L.: QUIÉNES SOMOS

Audisec Seguridad de la Información S.L., una empresa dedicada a aportar seguridad a sus clientes

en el tratamiento de su activo más importante, sus datos, su información.

Nuestras áreas de actividad se centran en:

•Esquema Nacional de Seguridad

•Implantación de Normas ISO 27001 de Sistemas de Gestión de Seguridad de la Información

• ISO 20000 de Sistemas de Gestión de Servicios TI

• BS 25999 de continuidad de Negocio

• Calidad de Software, CMMI, SPICE

• Desarrollo de productos para esos servicios. SUITE GLOBAL

AudiSec, Seguridad de la Información S.L.: EQUIPO

Equipo técnico con alta cualificación y experiencia:

•Ingenieros

•Abogados

•Auditores CISA, CISM…

• Lead Auditor ISO 27001, ISO 20000

• Certificado BCI en continuidad de negocio BS25999.

AudiSec, Seguridad de la Información S.L.: CALIDAD

Hemos sido una de las primeras empresas de España en obtener la certificación ISO

27001 e ISO 20000. En el mes de mayo además, obtendremos la certificación BS

25999 de Continuidad de Negocio y hemos empezado la implantación de SPICE.

El alcance certificado es:

•CONSULTORÍA DE IMPLANTACIÓN DE LA NORMA ISO 27001 E ISO 20000 DE LOS CLIENTES

DE AUDISEC.

•CONSULTORÍA/AUDITORÍA DE ADECUACIÓN A LA LEY ORGÁNICA DE PROTECCIÓN DE DATOS

Y CUMPLIMIENTO NORMATIVO DE LOS CLIENTES DE AUDISEC.

AudiSec, Seguridad de la Información S.L.: I+D+i

Audisec ha apostado muy fuerte por la investigación, desarrollo e innovación en seguridad de la

información. En estos proyectos se persigue un doble objetivo:

• Crear productos innovadores que el mercado demanda.

• Conseguir que nuestros profesionales tengan la mejor formación para poder acometer dichos

proyectos con las máximas garantías.

Entre nuestras principales líneas de investigación podemos destacar:• PROYECTO MEDUSAS

•Mejora y evaluación del diseño, usabilidad, seguridad y mantenibilidad del software.

• PROYECTO ARMONÍAS

• Armonización de estándares ISO, como ISO27001, ISO 20000, etc.

• PROYECTO ARCA

•Armonización de marcos de calidad y seguridad del software (CMMI, SPICE, ISO 15504, ISO

90003, etc.)

• PROYECTO GLOBAL CONTINUITY MODEL

• Creación de un marco para la evaluación, mejora y gestión de la capacidad de la continuidad de

negocio en las organizaciones

•Modelo de procesos para la continuidad de negocio

•Modelo de capacidades y madurez

•Modelo de evaluación y mejora

De forma paralela estamos en constante contacto con diferentes universidades,

colaborando con sus grupos de investigación en temáticas relacionadas con

seguridad de la información

CASO DE ÉXITO: IMPLANTACIÓN ISO 27001 – ISO 20000

•Proyecto INTECO: 148 empresas certificadas

•Proyectos Avanza:

•2008: 48 empresas certificadas con el apoyo de Global SGSI (ISO 27001)

•2009: Más de 100 empresas certificadas o en proceso de implantación y

certificación con el apoyo de la Suite Global (ISO 27001 – ISO 20000)

•2010: El objetivo es superar el número de empresas de 2009.

• Proyectos INNOEMPRESA REGIONALES:

•Dos proyectos Innoempresa regionales gestionados y uno en trámite.

SOLUCIONES DE ÉXITO EN LA IMPLANTACIÓN: GLOBAL SUITE

Desde AudiSec hemos desarrollado soluciones tecnológicas que APOYANnuestro trabajo de consultoríapara conseguirel objetivodel cliente.“su solución”

SOLUCIONES DE IMPLANTACIÓN

Herramienta de implantación ISO

20000.Gestión de servicios TI

SOLUCIONES DE IMPLANTACIÓN: GLOBAL ENS

Cumple Estrictamente todas las cláusulas de la norma ISO 27001

FacilitaLas labores de implantación, certificación y mantenimiento sin papeles.

UsableTanto por usuarios finales como por consultoras dedicadas a la implantación.

Descripción:

Global SGSI está formado por dos palabras que pretenden dar una clara idea de lo que la herramienta persigue: dar un soporte GLOBAL a la implantación de un SGSI.

Descripción:

Global SGSI está formado por dos palabras que pretenden dar una clara idea de lo que la herramienta persigue: dar un soporte GLOBAL a la implantación de un SGSI.

Características:

Es una aplicación pensada para gestionar el ciclo completo de implantación de la norma ISO/IEC 27001:2005 SIN PAPELES desde el inicio hasta el mantenimiento del sistema.

Global SGSI incorpora no sólo el análisis de riesgos, permite realizar la labor de implantación, certificación y mantenimientomucho más sencilla que en el caso de herramientas que sólo incorporan dicho análisis.

Características:

Es una aplicación pensada para gestionar el ciclo completo de implantación de la norma ISO/IEC 27001:2005 SIN PAPELES desde el inicio hasta el mantenimiento del sistema.

Global SGSI incorpora no sólo el análisis de riesgos, permite realizar la labor de implantación, certificación y mantenimientomucho más sencilla que en el caso de herramientas que sólo incorporan dicho análisis.

Beneficios:

La usabilidad es la gran virtud de GLOBAL SGSI, la curva de aprendizaje es mínima, incluso para usuarios no familiarizados con la norma y sin dejar de lado su cumplimiento, obteniendo resultados visibles en poco tiempo.

Beneficios:

La usabilidad es la gran virtud de GLOBAL SGSI, la curva de aprendizaje es mínima, incluso para usuarios no familiarizados con la norma y sin dejar de lado su cumplimiento, obteniendo resultados visibles en poco tiempo.

GSI

SOLUCIONES DE IMPLANTACIÓN: GLOBAL 20000

Dé un paso más en la madurez y gestión de su empresa certificándola en ISO 20000. Demuestre su compromiso con la buena gestión de los servicios de tecnologías de la información (TI).

Catálogo de ServiciosGestión de clientesGestión de suministradoresGestión de Incidentes y ProblemasCMDBGestión de Cambios y EntregasGestión de Planes de Continuidad y DisponibilidadGestión FinancieraGestión de la CapacidadGestor DocumentalIndicadoresRegistro de No ConformidadesGestor de Proyectos

SOLUCIONES DE IMPLANTACIÓN: GLOBAL LOPD

Global LOPD está formado por dos palabras que pretenden dar una clara idea de lo que la herramienta persigue: dar un soporte GLOBAL para la adecuación a la Ley Orgánica de Protección de Datos.

Cumple estrictamente todos los requerimientos de la Ley Orgánica de Protección de Datos.

Facilita las labores de implantación y mantenimiento.

Usable tanto por usuarios finales como por consultoras dedicadas a la implantación.

•Documentos de Seguridad por niveles, básico, medio o

alto, en función del nivel de seguridad asignable al cliente.

• Asistente de implantación.

• Check List de Consultoría.

• Verificaciones del Documento de Seguridad.

• Ficheros NOTA precumplimentados.

• Asistente de todos los registros necesarios para un

estricto cumplimiento de la LOPD (accesible por cliente

final).

• Asistente de Auditoría bienal, incluyendo informe de

Auditoría.

• Cláusulas modelo.

• Contratos de prestación de Servicios.

• Documentación asociada, relaciones con la AEPD.

• Gestión de Derechos ARCO.

GLOBAL SUITE

¿Qué es el ENS?

Vida del ENS

Semejanzas con la ISO 27001

Semejanzas

Ambos esquemas implantan un sistema de gestión, y una serie de medidas técnicas,

jurídicas y organizativas comunes, con lo que ello implica:

Política de seguridad.

Control documental.

Auditoría interna.

Mejora continua.

Análisis de riesgos.

Plan de continuidad.

Gran cantidad de medidas técnicas adicionales.

Etc…

Beneficios de la implantación del ENS

EXTERNOS INTERNOS

Mayor confianza de los ciudadanos.

Aumenta satisfacción de los usuarios.

Favorece el desarrollo de la propia Administración.

Reconocimiento del trabajo bien hecho.

Seguridad y Gestión

Servicios TI orientados hacia el negocio. Mayor eficiencia y productividad

Conocimiento y depuración procesos internos

Mejor gestión de recursos y costes

Mejora continua

ENS. CLASIFICACIÓN DE LOS SISTEMAS

Punto Débil del ENS, al haber ambigüedad

Hay que clasificar el sistema de información sobre el que se implantará el

SGSI basado en el ENS.

Hay 3 niveles, análogos a los de la LOPD:

Bajo

Medio

Alto

¿Cómo hacer esa valoración? -> AQUÍ ENTRA LA SUBJETIVIDAD DEL ENS

ENS. CLASIFICACIÓN DE LOS SISTEMAS

Punto Débil del ENS, al haber ambigüedad

Hay que valorar cada activo de tipo “Servicio” y de tipo “información” en

esos tres niveles, para las dimensiones de seguridad:

Confidencialidad.

Integridad.

Disponibilidad. Valoración

Autenticidad.

Trazabilidad.

teniendo en cuenta:

"el impacto que tendría sobre la organización un incidente que afectara a

la seguridad de la información o de los sistemas".

Problema: ¿cómo determinar ese impacto de forma objetiva?

ENS. CLASIFICACIÓN DE LOS SISTEMAS

El sistema cogerá, en cada dimensión, el valor más alto.

En función del nivel inicial alcanzado, habrá unas medidas mínimas de

seguridad a cumplir.

Algunas serán las mismas, pero con diferentes niveles de madurez.

EL SISTEMA ADQUIRIRÁ EL VALOR MÁS ALTO

ENTRE LAS 5 DIMENSIONES.

Implantación. Adopción del Ciclo de vida de 27001

Clasificación del Sistema de Información

ENS. Controles de Seguridad

Hay 75 controles de seguridad, con diferentes niveles de madurez en función

de si aplican a un sistema de nivel bajo, medio o alto.

Están categorizados en 3 dominios:

• Marco Organizativo: constituido por un conjunto de medidas

relacionadas con la organización global de la seguridad. Ejemplo: política

de seguridad.

• Marco operacional: constituido por las medidas a tomar para proteger la

operación del sistema. Ejemplo: análisis de riesgos, control de acceso,

autenticación, gestión de cambios, gestión de incidencias, etc.

• Medidas de protección: se centrarán en proteger activos concretos,

según su naturaleza, con el nivel requerido en cada dimensión de

seguridad. Ejemplo: seguridad física, cifrado de la información,

continuidad del negocio, copias de seguridad, etc.

ENS. Controles de Seguridad

En función del nivel del sistema, hay que aplicar como mínimo unas medidas u

otras.

Algunas serán las mismas, pero con diferentes niveles de madurez o intensidad.

Ejemplo: el plan de continuidad sólo afecta al nivel alto.

Precisión

Cuando en un sistema de información existan sistemas que requieran la

aplicación de un nivel de medidas de seguridad diferente al del sistema

principal, podrán segregarse de este último, siendo de aplicación en cada

caso el nivel de medidas de seguridad correspondiente y siempre que puedan

delimitarse la información y los servicios afectados.

Implantación ENS con GlobalSGSI

¿Cómo podríamos mejorar el retorno de inversión?, con GLOBALSGSI.

Reduciendo los costes vistos anteriormente

1.Menos costes de consultoría de implantación.

2.Menos horas de trabajo interno por parte de la organización.

3.El mantenimiento del sistema requiere muy pocos recursos internos al llevar todo el

sistema de forma centralizada con una herramienta.

4.El hecho de tener el sistema automatizado hace que su uso se extienda más

rápidamente y realmente se aproveche tener implantado un SGSI. Si el sistema no es

usable no se aprovecharán sus beneficios.

Implantación ENS con GlobalSGSI

Implantación ENS con GlobalSGSI

Implantación ENS vs Implantación ISO 27001

AudiSec, Seguridad de la Información S.L.: REFERENCIAS

27

AudiSec, Seguridad de la Información S.L.: CONTACTO

ANTONIO QUEVEDODirector General de AudisecAbogadoCISA

GRACIAS POR SU ATENCIÓNESTOY A SU DISPOSICIÓN

902 056 203aquevedo@audisec.es