análisis y gestión de riesgos. una solución para cumplir con el esquema nacional de seguridad
DESCRIPTION
Análisis y Gestión de Riesgos. Una solución para cumplir con el Esquema Nacional de Seguridad Marzo-2010. Quienes somos ?. Empresa especializada en seguridad e integración de sistemas de telecomunicaciones. Iniciamos nuestra actividad en 1996….> 15 años. - PowerPoint PPT PresentationTRANSCRIPT
Análisis y Gestión de Riesgos.
Una solución para cumplir con el Esquema Nacional de
Seguridad
Marzo-2010
Quienes somos ?
• Empresa especializada en seguridad e integración de sistemas de telecomunicaciones.
• Iniciamos nuestra actividad en 1996….> 15 años.• Actividad en Comunidad Valenciana y Murcia
principalmente.• Acción directamente o a través de canal de distribución.• Dedicación principal a Medianas Empresas, y algo de
Administración Pública.
¿ Que hemos detectado ?
• Con la explosión del Plan de Inversión Local, hemos incidido sobre la Administración Local y hemos sido conscientes de una de las problemáticas.
• Más frentes que cubrir• Menos personal• Entornos heterogéneos• Por informática se entiende TODO lo que tiene ver con tecnología.
Soporte a usuario
ERP
Carpeta del Ciudadano
Inventario equipamiento
Telefonía IP
Operadores y Control Costes
Enlaces inalámbricos
SSL
Ley Orgánica Protección de Datos
AntivirusAntiSpam
Copias de Seguridad
Procedimientos
Control Accesos
Soluciones de video
Cableado
Switching L3
Routing
WiFi
WimaxVPN
DHCP
VLAN
Operadora Automática
Presupuestos
Correo Electrónico
Fax
SMS
Mensajeria Instantanea
Gestión Documental
Auditoría
Lentitud en la red
CRM
Inventario equipamiento
Telefonía IP
Enlaces inalámbricos
SSL
LOPD - ENS
Antivirus
AntiSpam
Copias de Seguridad
Procedimientos
Control AccesosSoluciones de video
Cableado
Switching L3
Routing
WiFi
Wimax
VPN
DHCP
VLAN
Operadora Automática
Correo Electrónico
Fax
SMS
Mensajeria Instantanea
Gestión Documental
Gestión Riesgos Laborales
Auditoría
Desde Leader, ofrecemos soluciones a muchas de sus necesidades
InfraestructurasSeguridad Corporate - Aplicaciones
Externalización ( Outsourcing )
Iniciamos el área de seguridad con LOPD.
• En el año 1999 aparece la LOPD como sustituto de la LORTAD 1992 ( Tratamiento de Datos Automatizados)
• En el RD1720/2007 se desarrolla la Ley Orgánica indicando los niveles de seguridad a aplicar a los ficheros según el contenido de los mismos:
– ALTO, MEDIO Y BAJO. Donde se incluye la documentación en papel.
• Aparecen en la LOPD una serie de aspectos comunes o similares a lo que ahora se especifica en el ENS.
– Responsables de ficheros, encargado de tratamiento de información, responsable seguridad.– Documento de Seguridad
• Politicas • Procedimientos• Deberes y Obligaciones
• Dentro de la filosofia de trabajo de Leader, siempre planteamos que ya puestos a desarrollar una actividad, que sirva para algo más que para cumplir con la legislación vigente.
• ASI PONEMOS EN MARCHA EL ANALISIS Y GESTIÓN DE RIESGOS.
¿ Cuántos esquemas nos hemos hecho ?
¿ Por dónde empiezo ?
Análisis y Gestión de Riesgos
¿ Qué es AGR ?
• El análisis del estado actual de sus infraestructuras• Análisis de riesgos y amenazas• Acta con medidas correctivas… La Hoja de Ruta.
• Una “foto” de lo que tienen y lo que deberían tener para estar seguros.
• Respuesta a lo que se solicita se solicita en ENS+
Un análisis de costes de telecomunicaciones. ASPECTO TANGIBLE … REDUCE €
(Experiencia…. Reducción del orden de un 30%)Según la situación actual del Ayuntamiento
• SEAMOS PRÁCTICOS…Esto es un Plan Director de Sistemas
¿ Qué es el ENS ?
• Una forma de dar confianza a los ciudadanos para que la Ley 11/2007 de acceso electrónico de los ciudadanos a los Servicios Publicos sea una realidad.
– ¿ COMO ? Analizando:• DISPONIBILIDAD • AGILIDAD• CONFIDENCIALIDAD• SEGURIDAD: INTEGRIDAD / TRAZABILIDAD / AUTENTICIDAD
• Determinar los principios básicos y requisitos mínimos de protección de activos:
– Qué, Dónde y Cómo están instalados los servicios.– Responsables de cada una de las áreas– información, servicios y seguridad– Evitar “tierras de nadie” en las que no hay responsable ni responsabilidad
ni servicio– Definir las politicas de seguridad y obligaciones y derechos – de cada uno
de los roles participantes en el flujo de la información– Implementar las medidas oportunas según su categoría para resistir un
ataque, o acciones ilicitas o malintencionadas que pongan en juego la:• AUTENTICIDAD DISPONIBILIDAD• INTEGRIDAD TRAZABILIDAD• CONFIDENCIALIDAD
Principios básicos
• Seguridad Integral. – Comprende todos los medios (materiales, humanos, y
organizativos relacionados con “el sistema”)
• Gestión de riesgos. Análisis y gestión del entorno (SGR)
• Medidas de prevención, reacción y recuperación (Procedimientos)
• Lineas de defensa. Constituidas por medidas de naturaleza organizativa, fisica y logica.
• Reevaluación periódica (Auditoria cada 2 años minimo)
• Desginación de responsables de – Información. Alto cargo de la AAPP – Servicio. – Seguridad.
En la LOPD
• Ya se ha desarrollado parte del trabajo.– Registro de bases de datos– Autorización ( aspectos legales )– Documento de seguridad:
• Procedimientos• Obligaciones y funciones• Control de usuarios y acceso
• Se protegen los activos de información
Con el ENS….
• Se protege el servicio que se ofrece al ciudadano – via telemática o mediante servicios in situ, y conlleva TODO.
URBANISMO SERVICIOS SOCIALES
JUVENTUD DEPORTESINTERVENCION
APLICACIÓN 1. APLICACIÓN 2 APLICACIÓN 3 APLICACIÓN 4
BASES DE DATOS BASES DE DATOS BASES DE DATOS
HARDWARE HARDWARE HARDWARE
COMUNICACIONES - SEGURIDAD
Cómo trabajamos
• Metodología propia basada en MAGERIT, con adaptaciones.
• Requerimientos de Seguridad PCI (Payment Credit Industry),
• Metodología intercambiada con miembros de Information Systems Audit and Control Association (ISACA)
• Personal con experiencia en sistemas y telecomunicaciones.
Qué información obtenemos
• Organigrama de la Entidad• Mapa de servicios y activos de información• Mapa de dependencias• Inventario
– Topología de red– Sistemas– Bases de datos– Accesos a los sistemas– Lineas de Comunicaciones
• Mapa de valor….. Análisis de variables ALTO, MEDIO, BAJO
• Amenazas posibles y % probabilidad• Acta de medidas correctivas
– Costes en lineas de comunicaciones– Medidas para maximizar SEG, DISP, AGIL, CONF, INTEG,
TRAZ.• Plan Director
Plan Director
• Marco Organizativo– Politica de Seguridad– Normativa– Procedimientos– Autorizaciones
• Marco Operacional– Planificación– Control de Acceso– Explotación– Servicios Externos– Continuidad del servicio– Monitorización
• Medidas de protección– Instalaciones e infraestructuras– Gestión del personal– Protección de los equipos– Protección de las
comunicaciones– Protección de los soportes– Protección de las aplicaciones– Protección de la información– Protección de los servicios
¿ Por qué el Plan Director ?
Entrada en vigor: Dia siguiente publicación BOE (29.01.2010)
EL DIA 30/1/2011 debe cumplir el ENSPara los sistemas existentes, y los nuevos, TODOS.
¿ QUIEN CUMPLE ?
En caso contrario presentar:
Plan Adecuación – Plan Director - para tenerloMáximo en proximos 48 meses a partir entrada en vigor( Quedan 36 meses )
¿ De dónde sacar fondos ?
• De la reducción de costes obtenida en el análisis de los sistemas de telecomunicaciones.
Circuitos heredadosServicios no solicitadosControl de facturas…..…..REDUCCIÓN 30% según casos…
( Nuestro último caso 150.000€/año, sobre 400.000€)
Muchas Gracias,
• Datos de contacto:– Carlos Estrela Alfaro– Email: [email protected]– Telef. 902 15 85 00