cÁtedra crsi - crsi.ie.educrsi.ie.edu/files/documentacion/sgi-sgsi-pre-055-crsi-externalizac... ·...
TRANSCRIPT
INFORMACIÓN NO CLASIFICADA
El presente documento ha sido clasificado como "Información No Clasificada" dentro del marco del Sistema de Gestión de la Seguridad de la Información (SGSI) de GMV-SGI. Dicha clasificación permite a su receptor la utilización y difusión de la información contenida en el documento con respeto a los derechos de propiedad intelectual de la fuente y referencia a la misma, y ello sin perjuicio del cumplimiento de la normativa sobre propiedad intelectual y sobre protección de datos de carácter personal.
GMV SOLUCIONES GLOBALES INTERNET S.A.
QUÉ, CÓMO, DE QUÉ Y CUANDO EXTERNALIZAR SEGURIDAD
CÁTEDRA CRSI – IE
CÓDIGO: SGI-SGSI-PRE-055FECHA: 04/12/2007VERSIÓN: 1CÓDIGO INTERNO: SGISA SGISA 40144/07 v1/07
© GMV, 2007 INFORMACIÓN NO CLASIFICADACÁTEDRA CRSI – IE: QUÉ, CUANDO, CÓMO Y DE QUÉEXTERNALIZAR SEGURIDAD Pág. 204/12/2007, Versión 1
SGI-SGSI-PRE-055
1. GMV
2. Introducción al Problema de la Gestión de Seguridad
3. Marco Conceptual de Desarrollo de Servicios
4. Modelos de Prestación
5. Gestión del Outsourcing de Seguridad
6. Propuestas de Servicios
7. Conclusiones
ÍNDICE DE CONTENIDOS
INFORMACIÓN NO CLASIFICADA
El presente documento ha sido clasificado como "Información No Clasificada" dentro del marco del Sistema de Gestión de la Seguridad de la Información (SGSI) de GMV-SGI. Dicha clasificación permite a su receptor la utilización y difusión de la información contenida en el documento con respeto a los derechos de propiedad intelectual de la fuente y referencia a la misma, y ello sin perjuicio del cumplimiento de la normativa sobre propiedad intelectual y sobre protección de datos de carácter personal.
GMV SOLUCIONES GLOBALES INTERNET S.A.
GMV
CÁTEDRA CRSI – IE
INFORMACIÓN NO CLASIFICADA
© GMV, 2007 INFORMACIÓN NO CLASIFICADACÁTEDRA CRSI – IE: QUÉ, CUANDO, CÓMO Y DE QUÉEXTERNALIZAR SEGURIDAD Pág. 404/12/2007, Versión 1
SGI-SGSI-PRE-055
n Grupo empresarial multinacional fundado en 1984
n De capital privado españoln Filiales en España, Portugal y
EEUUn Más de 800 empleados en todo el
mundon Origen vinculado al sector Espacio
y Defensan Actualmente operamos en
Aeronáutica, Espacio, Defensa, Seguridad, Transporte, Telecomunicaciones, y Tecnologías de la Información
GENERAL
© GMV, 2007 INFORMACIÓN NO CLASIFICADACÁTEDRA CRSI – IE: QUÉ, CUANDO, CÓMO Y DE QUÉEXTERNALIZAR SEGURIDAD Pág. 504/12/2007, Versión 1
SGI-SGSI-PRE-055
MISIÓN
DESARROLLO DE SOFTWARE
INTEGRACIONDE
SISTEMAS
ESTUDIOS E INGENIERÍA
HW Y SWTERCEROS
ANALISISY DISEÑO
SERVICIOSOPERACIÓN
MANTEN.
DESARROLLO DE SOFTWARE
DESARROLLO SW, HW
Trabajar en estrecha colaboración con nuestros clientes para apoyar sus procesos mediante soluciones tecnológicamente avanzadas, sistemas integrados y servicios especializados que satisfagan sus necesidades específicas y sobrepasen sus expectativas.
GMV da soporte al cliente a lo largo de todas las actividades del ciclo de vida del sistema.
© GMV, 2007 INFORMACIÓN NO CLASIFICADACÁTEDRA CRSI – IE: QUÉ, CUANDO, CÓMO Y DE QUÉEXTERNALIZAR SEGURIDAD Pág. 604/12/2007, Versión 1
SGI-SGSI-PRE-055
GMV EN EL MUNDOMADRID – OFICINAS CENTRALES
VALLADOLID
SEVILLA
BARCELONA
VALENCIA
ISLAS CANARIAS
EEUU
PORTUGALSKYSOFT PORTUGAL
n Filiales en España, Portugal y EEUUn Clientes en cinco continentesn Personal permanente en 7 países
© GMV, 2007 INFORMACIÓN NO CLASIFICADACÁTEDRA CRSI – IE: QUÉ, CUANDO, CÓMO Y DE QUÉEXTERNALIZAR SEGURIDAD Pág. 704/12/2007, Versión 1
SGI-SGSI-PRE-055
GMV. CIFRAS: CRECIMIENTO SÓLIDO
El reflejo de un grupo multinacional en sólido crecimiento y presencia diversificada en varios sectores
Facturación M€
0
10
20
30
40
50
60
70
80
2001 2002 2003 2004 2005 2006 2007(*)
Personal
0
100
200
300
400
500
600
700
800
900
2002 2003 2004 2005 2006 2007(*)
© GMV, 2007 INFORMACIÓN NO CLASIFICADACÁTEDRA CRSI – IE: QUÉ, CUANDO, CÓMO Y DE QUÉEXTERNALIZAR SEGURIDAD Pág. 804/12/2007, Versión 1
SGI-SGSI-PRE-055
GMV SOLUCIONES GLOBALES INTERNET
GMV Soluciones Globales Internet presta desde 1995 servicios especializados en Telecomunicaciones y e-Business
Liderazgo en Seguridad:
n SGSI certificado ISO 27001:2005 en Madrid, Barcelona, Sevilla y Valladolid
n Certificación ISO 9001:2000 en Madrid (también ISO 14001:2004), Barcelona, Sevilla y Valladolid
Equipo de más de 200 profesionales, 90% titulados superiores.
Laboratorios propios de I+D
Madrid
Sevilla
BarcelonaValladolid
Valencia.
INFORMACIÓN NO CLASIFICADA
El presente documento ha sido clasificado como "Información No Clasificada" dentro del marco del Sistema de Gestión de la Seguridad de la Información (SGSI) de GMV-SGI. Dicha clasificación permite a su receptor la utilización y difusión de la información contenida en el documento con respeto a los derechos de propiedad intelectual de la fuente y referencia a la misma, y ello sin perjuicio del cumplimiento de la normativa sobre propiedad intelectual y sobre protección de datos de carácter personal.
GMV SOLUCIONES GLOBALES INTERNET S.A.
INTRODUCCIÓN AL PROBLEMA DE LA GESTIÓN DE LA SEGURIDADO
CÁTEDRA CRSI – IE
INFORMACIÓN NO CLASIFICADA
© GMV, 2007 INFORMACIÓN NO CLASIFICADACÁTEDRA CRSI – IE: QUÉ, CUANDO, CÓMO Y DE QUÉEXTERNALIZAR SEGURIDAD Pág. 1004/12/2007, Versión 1
SGI-SGSI-PRE-055
GESTIÓN
INTRODUCCIÓN
SLA7x24x365
PROCESO
SOC
INFORMES
ADMIN
MONITOR
OUTSOURCINGOUTSOURCING
Seguridad? Necesidad?
Servicios?Proveedores?
INFORMACIÓN NO CLASIFICADA
El presente documento ha sido clasificado como "Información No Clasificada" dentro del marco del Sistema de Gestión de la Seguridad de la Información (SGSI) de GMV-SGI. Dicha clasificación permite a su receptor la utilización y difusión de la información contenida en el documento con respeto a los derechos de propiedad intelectual de la fuente y referencia a la misma, y ello sin perjuicio del cumplimiento de la normativa sobre propiedad intelectual y sobre protección de datos de carácter personal.
GMV SOLUCIONES GLOBALES INTERNET S.A.
MARCO CONCEPTUAL
CÁTEDRA CRSI – IE
INFORMACIÓN NO CLASIFICADA
© GMV, 2007 INFORMACIÓN NO CLASIFICADACÁTEDRA CRSI – IE: QUÉ, CUANDO, CÓMO Y DE QUÉEXTERNALIZAR SEGURIDAD Pág. 1204/12/2007, Versión 1
SGI-SGSI-PRE-055
SEGURIDAD OUTSOURCING
MARCO CONCEPTUAL
GESTIÓN
© GMV, 2007 INFORMACIÓN NO CLASIFICADACÁTEDRA CRSI – IE: QUÉ, CUANDO, CÓMO Y DE QUÉEXTERNALIZAR SEGURIDAD Pág. 1304/12/2007, Versión 1
SGI-SGSI-PRE-055
MARCO CONCEPTUAL:GESTIÓN DEL OUTSOURCING
Outsourcing de Servicios Como Solución para que una Organización ejecutar actividades Necesarias para su Negocio, pero NO CRÍTICAS.
#
Existe en el mercado más que suficiente literatura, propuestas y ofertas en la materia.
#
Outsourcing de Servicios está ya ensayado e implantado en numerosas organizaciones, en los servicios más diversos
• Incluyendo Outsourcing de Servicios IT
#
¿Qué lecciones pueden aprenderse de las experiencias previas de Outsourcing para actividades similares de outsourcing de Seguridad?
#
© GMV, 2007 INFORMACIÓN NO CLASIFICADACÁTEDRA CRSI – IE: QUÉ, CUANDO, CÓMO Y DE QUÉEXTERNALIZAR SEGURIDAD Pág. 1404/12/2007, Versión 1
SGI-SGSI-PRE-055
MARCO CONCEPTUAL:GESTIÓN DE LA SEGURIDAD
Es el proceso para alcanzar y mantener niveles apropiados de confidencialidad, integridad y disponibilidad. (ITR 13335-1)
Ï
La gestión de la seguridad se formaliza mediante la definición de Sistemas de Gestión de la Seguridad de la Información (ISO 27001).
Ï
SGSI comprende la política, la estructura organizativa, los procedimientos, los procesos y los recursos necesarios para implantar la gestión de la seguridad de la información. El sistema proporciona mecanismos para la salvaguarda de los activos de la información y los sistemas que los procesan, en concordancia con las políticas de seguridad y planes estratégicos de la organización.
Ï
El SGSI es la herramienta de que dispone la dirección de las organizaciones para llevar a cabo las políticas y objetivos de seguridad.
Ï
© GMV, 2007 INFORMACIÓN NO CLASIFICADACÁTEDRA CRSI – IE: QUÉ, CUANDO, CÓMO Y DE QUÉEXTERNALIZAR SEGURIDAD Pág. 1504/12/2007, Versión 1
SGI-SGSI-PRE-055
MARCO CONCEPTUALGESTIÓN DE LA SEGURIDAD
• Definición de la POLÍTICA de seguridad• Establecer ALCANCE del SGSI• ANÁLISIS de RIESGOS• SELECCIÓN de CONTROLES
• Implantación del plan de GESTIÓN DE RIESGOS• Implantación SGSI• Implantación de CONTROLES
• REVISIÓN interna del SGSI• Realización AUDITORÍAS internas del SGSI
• Adoptar Acciones CORRECTIVAS• Adoptar acciones PREVENTIVAS
PLAN
DOCHECK
ACT
SGSI
El mantenimiento de un SGSI exige una revisión periódica. La norma ISO 27001:2005 adopta el modelo PDCA (Plan Do Check Act).
`
© GMV, 2007 INFORMACIÓN NO CLASIFICADACÁTEDRA CRSI – IE: QUÉ, CUANDO, CÓMO Y DE QUÉEXTERNALIZAR SEGURIDAD Pág. 1604/12/2007, Versión 1
SGI-SGSI-PRE-055
Implantación, desarrollo e integración
Consultoría Análisis y Diseño
Implantación Desarrollo
Auditoría
Planificación Estratégica de la Seguridad
Política de Seguridad
Análisis de Riesgos Activos Vulnerabilidades Amenazas
Definición de Alcance
Plan de Seguridad
MARCO CONCEPTUALOUTSOURCING DE SEGURIDAD
Explotación
Operación Seguimiento y Mejora Contínua
Monitorización Administración
Continuidad
Crisis y Contingencias Gestión de Incidencias
S&M Resolución de Incidencias
INFORMACIÓN NO CLASIFICADA
El presente documento ha sido clasificado como "Información No Clasificada" dentro del marco del Sistema de Gestión de la Seguridad de la Información (SGSI) de GMV-SGI. Dicha clasificación permite a su receptor la utilización y difusión de la información contenida en el documento con respeto a los derechos de propiedad intelectual de la fuente y referencia a la misma, y ello sin perjuicio del cumplimiento de la normativa sobre propiedad intelectual y sobre protección de datos de carácter personal.
GMV SOLUCIONES GLOBALES INTERNET S.A.
MODELOS DE PRESTACIÓN
CÁTEDRA CRSI – IE
INFORMACIÓN NO CLASIFICADA
© GMV, 2007 INFORMACIÓN NO CLASIFICADACÁTEDRA CRSI – IE: QUÉ, CUANDO, CÓMO Y DE QUÉEXTERNALIZAR SEGURIDAD Pág. 1804/12/2007, Versión 1
SGI-SGSI-PRE-055
ESCENARIOS
Objetivo
Mod
elo
Recursos Resultado
Relacional
Transaccional
In-house
Buy-in
PreferredSupplier
Contract-out
PreferredContractor
Insourcing
Outsourcing
Proy
ecto
s
Serv
icio
s
© GMV, 2007 INFORMACIÓN NO CLASIFICADACÁTEDRA CRSI – IE: QUÉ, CUANDO, CÓMO Y DE QUÉEXTERNALIZAR SEGURIDAD Pág. 1904/12/2007, Versión 1
SGI-SGSI-PRE-055
CRITERIOS DE ANÁLISIS
Proyecto vs. Servicio?
Análisis de Negocioè
Análisis Económico€
Análisis TecnológicoÀ
© GMV, 2007 INFORMACIÓN NO CLASIFICADACÁTEDRA CRSI – IE: QUÉ, CUANDO, CÓMO Y DE QUÉEXTERNALIZAR SEGURIDAD Pág. 2004/12/2007, Versión 1
SGI-SGSI-PRE-055
Eliminate orMigrate
InsourceOutsourceBest source
Outsource
SERVICIOS
PROYECTO
ANÁLISIS DE NEGOCIO
Con
trib
ució
nde
act
ivid
adIT
a
AC
TIVI
DA
DES
de
NEG
OC
IO
Crítica
Útil
Contribución de Actividad IT a
POSICIONAMIENTO de la Compañía en su MERCADO
Commodity Diferenciadora
© GMV, 2007 INFORMACIÓN NO CLASIFICADACÁTEDRA CRSI – IE: QUÉ, CUANDO, CÓMO Y DE QUÉEXTERNALIZAR SEGURIDAD Pág. 2104/12/2007, Versión 1
SGI-SGSI-PRE-055
Eliminate orMigrate
InsourceOutsourceBest source
Outsource
SERVICIOS
PROYECTO
ANÁLISIS ECONÓMICO
PER
SON
ALID
AD
de
los
GES
TOR
ES
Líderes
Seguidores
Capacidad de que la compañía encuentre
ECONOMÍAS de ESCALA
Volumen Reducido Diferenciadora
© GMV, 2007 INFORMACIÓN NO CLASIFICADACÁTEDRA CRSI – IE: QUÉ, CUANDO, CÓMO Y DE QUÉEXTERNALIZAR SEGURIDAD Pág. 2204/12/2007, Versión 1
SGI-SGSI-PRE-055
OutsourceContract-out
OutSourcePref. Contrac
InsourceBest source
InsourceBuy-in
PROYECTOS
ANÁLISIS TECNOLÓGICO
CO
MPL
EJID
AD d
eIN
TEG
RA
CIÓ
N d
e la
TEC
NO
LOG
ÍAAlta
Baja
MADUREZ de la TECNOLOGÍA
Baja Alta
SERVICIOS
© GMV, 2007 INFORMACIÓN NO CLASIFICADACÁTEDRA CRSI – IE: QUÉ, CUANDO, CÓMO Y DE QUÉEXTERNALIZAR SEGURIDAD Pág. 2304/12/2007, Versión 1
SGI-SGSI-PRE-055
Servicio Positioning Operations Result Economiesof Scale
ManagerialPractice Result Maturity Integration Result Decission
Políticas de Seguridad Differentiator Critical Insource Subcritical Mass Lagging Outsource Low High Preferred Suppplier InsourcePreferred Supplier
Definición de Alcance Differentiator Critical Insource Subcritical Mass Lagging Outsource Low High Preferred Suppplier InsourcePreferred Supplier
Análisis de Riesgos/Identificación de Activos Commodity Useful Outsource Subcritical Mass Lagging Outsource Low High Preferred Suppplier Outsource
Preferred ContractorAnálisis de Riesgos/
Identificación de Vulnerabilidades Commodity Critical OutsourceBest Source Subcritical Mass Lagging Outsource Low High Preferred Suppplier Outsource
Preferred ContractorAnálisis de Riesgos/
Identificación de Amenazas Commodity Critical OutsourceBest Source Subcritical Mass Lagging Outsource Low High Preferred Suppplier Outsource
Preferred Contractor
Plan de Seguridad Commodity Critical OutsourceBest Source Subcritical Mass Lagging Outsource Low High Preferred Suppplier Outsource
Preferred Contractor
Consultoría Commodity Critical OutsourceBest Source Subcritical Mass Leading Outsource
Best Source Low High Preferred Suppplier OutsourcePreferred Contractor
Análisis y Diseño Commodity Critical OutsourceBest Source Subcritical Mass Leading Outsource
Best Source Low High Preferred Suppplier OutsourcePreferred Contractor
Desarrollo Commodity Useful Outsource Subcritical Mass Leading OutsourceBest Source Low High Preferred Suppplier Outsource
Preferred Contractor
Implantación Commodity Critical OutsourceBest Source Subcritical Mass Leading Outsource
Best Source Low High Preferred Suppplier OutsourcePreferred Contractor
Operación Commodity Critical OutsourceBest Source Critical Mass Leading Insource High High Preferred Contractor Outsource
Preferred Contractor
Administración Commodity Critical OutsourceBest Source Critical Mass Leading Insource High High Preferred Contractor Outsource
Preferred Contractor
Monitorización Commodity Useful Outsource Subcritical Mass Leading OutsourceBest Source High High Preferred Contractor Outsource
Preferred Contractor
S&M Commodity Critical OutsourceBest Source Critical Mass Leading Insource High High Preferred Contractor Outsource
Preferred Contractor
Gestión de Incidencias Commodity Critical OutsourceBest Source Critical Mass Leading Insource High High Preferred Contractor Outsource
Preferred Contractor
Resolución de Incidencias Commodity Critical OutsourceBest Source Critical Mass Leading Insource High High Preferred Contractor Outsource
Preferred Contractor
Auditoría Auditoría Commodity Critical OutsourceBest Source Subcritical Mass Leading Outsource
Best Source High High Preferred Contractor OutsourcePreferred Contractor
Technical
Implantación
Explotación
Continuidad
Planificación
Business Economic
MODELOS DE PRESTACIÓN (I)
© GMV, 2007 INFORMACIÓN NO CLASIFICADACÁTEDRA CRSI – IE: QUÉ, CUANDO, CÓMO Y DE QUÉEXTERNALIZAR SEGURIDAD Pág. 2404/12/2007, Versión 1
SGI-SGSI-PRE-055
Servicio Positioning Operations Result Economiesof Scale
ManagerialPractice Result Maturity Integration Result Decission
Políticas de Seguridad Differentiator Critical Insource Subcritical Mass Lagging Outsource Low High Preferred Suppplier InsourcePreferred Supplier
Definición de Alcance Differentiator Critical Insource Subcritical Mass Lagging Outsource Low High Preferred Suppplier InsourcePreferred Supplier
Análisis de Riesgos/Identificación de Activos Commodity Useful Outsource Subcritical Mass Lagging Outsource Low High Preferred Suppplier Outsource
Preferred ContractorAnálisis de Riesgos/
Identificación de Vulnerabilidades Commodity Critical OutsourceBest Source Subcritical Mass Lagging Outsource Low High Preferred Suppplier Outsource
Preferred ContractorAnálisis de Riesgos/
Identificación de Amenazas Commodity Critical OutsourceBest Source Subcritical Mass Lagging Outsource Low High Preferred Suppplier Outsource
Preferred Contractor
Plan de Seguridad Commodity Critical OutsourceBest Source Subcritical Mass Lagging Outsource Low High Preferred Suppplier Outsource
Preferred Contractor
Consultoría Commodity Critical OutsourceBest Source Subcritical Mass Leading Outsource
Best Source Low High Preferred Suppplier OutsourcePreferred Contractor
Análisis y Diseño Commodity Critical OutsourceBest Source Subcritical Mass Leading Outsource
Best Source Low High Preferred Suppplier OutsourcePreferred Contractor
Desarrollo Commodity Useful Outsource Subcritical Mass Leading OutsourceBest Source Low High Preferred Suppplier Outsource
Preferred Contractor
Implantación Commodity Critical OutsourceBest Source Subcritical Mass Leading Outsource
Best Source Low High Preferred Suppplier OutsourcePreferred Contractor
Operación Commodity Critical OutsourceBest Source Critical Mass Leading Insource High High Preferred Contractor Outsource
Preferred Contractor
Administración Commodity Critical OutsourceBest Source Critical Mass Leading Insource High High Preferred Contractor Outsource
Preferred Contractor
Monitorización Commodity Useful Outsource Subcritical Mass Leading OutsourceBest Source High High Preferred Contractor Outsource
Preferred Contractor
S&M Commodity Critical OutsourceBest Source Critical Mass Leading Insource High High Preferred Contractor Outsource
Preferred Contractor
Gestión de Incidencias Commodity Critical OutsourceBest Source Critical Mass Leading Insource High High Preferred Contractor Outsource
Preferred Contractor
Resolución de Incidencias Commodity Critical OutsourceBest Source Critical Mass Leading Insource High High Preferred Contractor Outsource
Preferred Contractor
Auditoría Auditoría Commodity Critical OutsourceBest Source Subcritical Mass Leading Outsource
Best Source High High Preferred Contractor OutsourcePreferred Contractor
Technical
Implantación
Explotación
Continuidad
Planificación
Business Economic
MODELOS DE PRESTACIÓN (II)
© GMV, 2007 INFORMACIÓN NO CLASIFICADACÁTEDRA CRSI – IE: QUÉ, CUANDO, CÓMO Y DE QUÉEXTERNALIZAR SEGURIDAD Pág. 2504/12/2007, Versión 1
SGI-SGSI-PRE-055
Servicio Positioning Operations Result Economiesof Scale
ManagerialPractice Result Maturity Integration Result Decission
Políticas de Seguridad Differentiator Critical Insource Subcritical Mass Lagging Outsource Low High Preferred Suppplier InsourcePreferred Supplier
Definición de Alcance Differentiator Critical Insource Subcritical Mass Lagging Outsource Low High Preferred Suppplier InsourcePreferred Supplier
Análisis de Riesgos/Identificación de Activos Commodity Useful Outsource Subcritical Mass Lagging Outsource Low High Preferred Suppplier Outsource
Preferred ContractorAnálisis de Riesgos/
Identificación de Vulnerabilidades Commodity Critical OutsourceBest Source Subcritical Mass Lagging Outsource Low High Preferred Suppplier Outsource
Preferred ContractorAnálisis de Riesgos/
Identificación de Amenazas Commodity Critical OutsourceBest Source Subcritical Mass Lagging Outsource Low High Preferred Suppplier Outsource
Preferred Contractor
Plan de Seguridad Commodity Critical OutsourceBest Source Subcritical Mass Lagging Outsource Low High Preferred Suppplier Outsource
Preferred Contractor
Consultoría Commodity Critical OutsourceBest Source Subcritical Mass Leading Outsource
Best Source Low High Preferred Suppplier OutsourcePreferred Contractor
Análisis y Diseño Commodity Critical OutsourceBest Source Subcritical Mass Leading Outsource
Best Source Low High Preferred Suppplier OutsourcePreferred Contractor
Desarrollo Commodity Useful Outsource Subcritical Mass Leading OutsourceBest Source Low High Preferred Suppplier Outsource
Preferred Contractor
Implantación Commodity Critical OutsourceBest Source Subcritical Mass Leading Outsource
Best Source Low High Preferred Suppplier OutsourcePreferred Contractor
Operación Commodity Critical OutsourceBest Source Critical Mass Leading Insource High High Preferred Contractor Outsource
Preferred Contractor
Administración Commodity Critical OutsourceBest Source Critical Mass Leading Insource High High Preferred Contractor Outsource
Preferred Contractor
Monitorización Commodity Useful Outsource Subcritical Mass Leading OutsourceBest Source High High Preferred Contractor Outsource
Preferred Contractor
S&M Commodity Critical OutsourceBest Source Critical Mass Leading Insource High High Preferred Contractor Outsource
Preferred Contractor
Gestión de Incidencias Commodity Critical OutsourceBest Source Critical Mass Leading Insource High High Preferred Contractor Outsource
Preferred Contractor
Resolución de Incidencias Commodity Critical OutsourceBest Source Critical Mass Leading Insource High High Preferred Contractor Outsource
Preferred Contractor
Auditoría Auditoría Commodity Critical OutsourceBest Source Subcritical Mass Leading Outsource
Best Source High High Preferred Contractor OutsourcePreferred Contractor
Technical
Implantación
Explotación
Continuidad
Planificación
Business Economic
MODELOS DE PRESTACIÓN (III)
© GMV, 2007 INFORMACIÓN NO CLASIFICADACÁTEDRA CRSI – IE: QUÉ, CUANDO, CÓMO Y DE QUÉEXTERNALIZAR SEGURIDAD Pág. 2604/12/2007, Versión 1
SGI-SGSI-PRE-055
Servicio Positioning Operations Result Economiesof Scale
ManagerialPractice Result Maturity Integration Result Decission
Políticas de Seguridad Differentiator Critical Insource Subcritical Mass Lagging Outsource Low High Preferred Suppplier InsourcePreferred Supplier
Definición de Alcance Differentiator Critical Insource Subcritical Mass Lagging Outsource Low High Preferred Suppplier InsourcePreferred Supplier
Análisis de Riesgos/Identificación de Activos Commodity Useful Outsource Subcritical Mass Lagging Outsource Low High Preferred Suppplier Outsource
Preferred ContractorAnálisis de Riesgos/
Identificación de Vulnerabilidades Commodity Critical OutsourceBest Source Subcritical Mass Lagging Outsource Low High Preferred Suppplier Outsource
Preferred ContractorAnálisis de Riesgos/
Identificación de Amenazas Commodity Critical OutsourceBest Source Subcritical Mass Lagging Outsource Low High Preferred Suppplier Outsource
Preferred Contractor
Plan de Seguridad Commodity Critical OutsourceBest Source Subcritical Mass Lagging Outsource Low High Preferred Suppplier Outsource
Preferred Contractor
Consultoría Commodity Critical OutsourceBest Source Subcritical Mass Leading Outsource
Best Source Low High Preferred Suppplier OutsourcePreferred Contractor
Análisis y Diseño Commodity Critical OutsourceBest Source Subcritical Mass Leading Outsource
Best Source Low High Preferred Suppplier OutsourcePreferred Contractor
Desarrollo Commodity Useful Outsource Subcritical Mass Leading OutsourceBest Source Low High Preferred Suppplier Outsource
Preferred Contractor
Implantación Commodity Critical OutsourceBest Source Subcritical Mass Leading Outsource
Best Source Low High Preferred Suppplier OutsourcePreferred Contractor
Operación Commodity Critical OutsourceBest Source Critical Mass Leading Insource High High Preferred Contractor Outsource
Preferred Contractor
Administración Commodity Critical OutsourceBest Source Critical Mass Leading Insource High High Preferred Contractor Outsource
Preferred Contractor
Monitorización Commodity Useful Outsource Subcritical Mass Leading OutsourceBest Source High High Preferred Contractor Outsource
Preferred Contractor
S&M Commodity Critical OutsourceBest Source Critical Mass Leading Insource High High Preferred Contractor Outsource
Preferred Contractor
Gestión de Incidencias Commodity Critical OutsourceBest Source Critical Mass Leading Insource High High Preferred Contractor Outsource
Preferred Contractor
Resolución de Incidencias Commodity Critical OutsourceBest Source Critical Mass Leading Insource High High Preferred Contractor Outsource
Preferred Contractor
Auditoría Auditoría Commodity Critical OutsourceBest Source Subcritical Mass Leading Outsource
Best Source High High Preferred Contractor OutsourcePreferred Contractor
Technical
Implantación
Explotación
Continuidad
Planificación
Business Economic
MODELOS DE PRESTACIÓN (IV)
© GMV, 2007 INFORMACIÓN NO CLASIFICADACÁTEDRA CRSI – IE: QUÉ, CUANDO, CÓMO Y DE QUÉEXTERNALIZAR SEGURIDAD Pág. 2704/12/2007, Versión 1
SGI-SGSI-PRE-055
Servicio Positioning Operations Result Economiesof Scale
ManagerialPractice Result Maturity Integration Result Decission
Políticas de Seguridad Differentiator Critical Insource Subcritical Mass Lagging Outsource Low High Preferred Suppplier InsourcePreferred Supplier
Definición de Alcance Differentiator Critical Insource Subcritical Mass Lagging Outsource Low High Preferred Suppplier InsourcePreferred Supplier
Análisis de Riesgos/Identificación de Activos Commodity Useful Outsource Subcritical Mass Lagging Outsource Low High Preferred Suppplier Outsource
Preferred ContractorAnálisis de Riesgos/
Identificación de Vulnerabilidades Commodity Critical OutsourceBest Source Subcritical Mass Lagging Outsource Low High Preferred Suppplier Outsource
Preferred ContractorAnálisis de Riesgos/
Identificación de Amenazas Commodity Critical OutsourceBest Source Subcritical Mass Lagging Outsource Low High Preferred Suppplier Outsource
Preferred Contractor
Plan de Seguridad Commodity Critical OutsourceBest Source Subcritical Mass Lagging Outsource Low High Preferred Suppplier Outsource
Preferred Contractor
Consultoría Commodity Critical OutsourceBest Source Subcritical Mass Leading Outsource
Best Source Low High Preferred Suppplier OutsourcePreferred Contractor
Análisis y Diseño Commodity Critical OutsourceBest Source Subcritical Mass Leading Outsource
Best Source Low High Preferred Suppplier OutsourcePreferred Contractor
Desarrollo Commodity Useful Outsource Subcritical Mass Leading OutsourceBest Source Low High Preferred Suppplier Outsource
Preferred Contractor
Implantación Commodity Critical OutsourceBest Source Subcritical Mass Leading Outsource
Best Source Low High Preferred Suppplier OutsourcePreferred Contractor
Operación Commodity Critical OutsourceBest Source Critical Mass Leading Insource High High Preferred Contractor Outsource
Preferred Contractor
Administración Commodity Critical OutsourceBest Source Critical Mass Leading Insource High High Preferred Contractor Outsource
Preferred Contractor
Monitorización Commodity Useful Outsource Subcritical Mass Leading OutsourceBest Source High High Preferred Contractor Outsource
Preferred Contractor
S&M Commodity Critical OutsourceBest Source Critical Mass Leading Insource High High Preferred Contractor Outsource
Preferred Contractor
Gestión de Incidencias Commodity Critical OutsourceBest Source Critical Mass Leading Insource High High Preferred Contractor Outsource
Preferred Contractor
Resolución de Incidencias Commodity Critical OutsourceBest Source Critical Mass Leading Insource High High Preferred Contractor Outsource
Preferred Contractor
Auditoría Auditoría Commodity Critical OutsourceBest Source Subcritical Mass Leading Outsource
Best Source High High Preferred Contractor OutsourcePreferred Contractor
Technical
Implantación
Explotación
Continuidad
Planificación
Business Economic
MODELOS DE PRESTACIÓN (V)
© GMV, 2007 INFORMACIÓN NO CLASIFICADACÁTEDRA CRSI – IE: QUÉ, CUANDO, CÓMO Y DE QUÉEXTERNALIZAR SEGURIDAD Pág. 2804/12/2007, Versión 1
SGI-SGSI-PRE-055
Servicio Positioning Operations Result Economiesof Scale
ManagerialPractice Result Maturity Integration Result Decission
Políticas de Seguridad Differentiator Critical Insource Subcritical Mass Lagging Outsource Low High Preferred Suppplier InsourcePreferred Supplier
Definición de Alcance Differentiator Critical Insource Subcritical Mass Lagging Outsource Low High Preferred Suppplier InsourcePreferred Supplier
Análisis de Riesgos/Identificación de Activos Commodity Useful Outsource Subcritical Mass Lagging Outsource Low High Preferred Suppplier Outsource
Preferred ContractorAnálisis de Riesgos/
Identificación de Vulnerabilidades Commodity Critical OutsourceBest Source Subcritical Mass Lagging Outsource Low High Preferred Suppplier Outsource
Preferred ContractorAnálisis de Riesgos/
Identificación de Amenazas Commodity Critical OutsourceBest Source Subcritical Mass Lagging Outsource Low High Preferred Suppplier Outsource
Preferred Contractor
Plan de Seguridad Commodity Critical OutsourceBest Source Subcritical Mass Lagging Outsource Low High Preferred Suppplier Outsource
Preferred Contractor
Consultoría Commodity Critical OutsourceBest Source Subcritical Mass Leading Outsource
Best Source Low High Preferred Suppplier OutsourcePreferred Contractor
Análisis y Diseño Commodity Critical OutsourceBest Source Subcritical Mass Leading Outsource
Best Source Low High Preferred Suppplier OutsourcePreferred Contractor
Desarrollo Commodity Useful Outsource Subcritical Mass Leading OutsourceBest Source Low High Preferred Suppplier Outsource
Preferred Contractor
Implantación Commodity Critical OutsourceBest Source Subcritical Mass Leading Outsource
Best Source Low High Preferred Suppplier OutsourcePreferred Contractor
Operación Commodity Critical OutsourceBest Source Critical Mass Leading Insource High High Preferred Contractor Outsource
Preferred Contractor
Administración Commodity Critical OutsourceBest Source Critical Mass Leading Insource High High Preferred Contractor Outsource
Preferred Contractor
Monitorización Commodity Useful Outsource Subcritical Mass Leading OutsourceBest Source High High Preferred Contractor Outsource
Preferred Contractor
S&M Commodity Critical OutsourceBest Source Critical Mass Leading Insource High High Preferred Contractor Outsource
Preferred Contractor
Gestión de Incidencias Commodity Critical OutsourceBest Source Critical Mass Leading Insource High High Preferred Contractor Outsource
Preferred Contractor
Resolución de Incidencias Commodity Critical OutsourceBest Source Critical Mass Leading Insource High High Preferred Contractor Outsource
Preferred Contractor
Auditoría Auditoría Commodity Critical OutsourceBest Source Subcritical Mass Leading Outsource
Best Source High High Preferred Contractor OutsourcePreferred Contractor
Technical
Implantación
Explotación
Continuidad
Planificación
Business Economic
MODELOS DE PRESTACIÓN (VI)
© GMV, 2007 INFORMACIÓN NO CLASIFICADACÁTEDRA CRSI – IE: QUÉ, CUANDO, CÓMO Y DE QUÉEXTERNALIZAR SEGURIDAD Pág. 2904/12/2007, Versión 1
SGI-SGSI-PRE-055
Servicio Positioning Operations Result Economiesof Scale
ManagerialPractice Result Maturity Integration Result Decission
Políticas de Seguridad Differentiator Critical Insource Subcritical Mass Lagging Outsource Low High Preferred Suppplier InsourcePreferred Supplier
Definición de Alcance Differentiator Critical Insource Subcritical Mass Lagging Outsource Low High Preferred Suppplier InsourcePreferred Supplier
Análisis de Riesgos/Identificación de Activos Commodity Useful Outsource Subcritical Mass Lagging Outsource Low High Preferred Suppplier Outsource
Preferred ContractorAnálisis de Riesgos/
Identificación de Vulnerabilidades Commodity Critical OutsourceBest Source Subcritical Mass Lagging Outsource Low High Preferred Suppplier Outsource
Preferred ContractorAnálisis de Riesgos/
Identificación de Amenazas Commodity Critical OutsourceBest Source Subcritical Mass Lagging Outsource Low High Preferred Suppplier Outsource
Preferred Contractor
Plan de Seguridad Commodity Critical OutsourceBest Source Subcritical Mass Lagging Outsource Low High Preferred Suppplier Outsource
Preferred Contractor
Consultoría Commodity Critical OutsourceBest Source Subcritical Mass Leading Outsource
Best Source Low High Preferred Suppplier OutsourcePreferred Contractor
Análisis y Diseño Commodity Critical OutsourceBest Source Subcritical Mass Leading Outsource
Best Source Low High Preferred Suppplier OutsourcePreferred Contractor
Desarrollo Commodity Useful Outsource Subcritical Mass Leading OutsourceBest Source Low High Preferred Suppplier Outsource
Preferred Contractor
Implantación Commodity Critical OutsourceBest Source Subcritical Mass Leading Outsource
Best Source Low High Preferred Suppplier OutsourcePreferred Contractor
Operación Commodity Critical OutsourceBest Source Critical Mass Leading Insource High High Preferred Contractor Outsource
Preferred Contractor
Administración Commodity Critical OutsourceBest Source Critical Mass Leading Insource High High Preferred Contractor Outsource
Preferred Contractor
Monitorización Commodity Useful Outsource Subcritical Mass Leading OutsourceBest Source High High Preferred Contractor Outsource
Preferred Contractor
S&M Commodity Critical OutsourceBest Source Critical Mass Leading Insource High High Preferred Contractor Outsource
Preferred Contractor
Gestión de Incidencias Commodity Critical OutsourceBest Source Critical Mass Leading Insource High High Preferred Contractor Outsource
Preferred Contractor
Resolución de Incidencias Commodity Critical OutsourceBest Source Critical Mass Leading Insource High High Preferred Contractor Outsource
Preferred Contractor
Auditoría Auditoría Commodity Critical OutsourceBest Source Subcritical Mass Leading Outsource
Best Source High High Preferred Contractor OutsourcePreferred Contractor
Technical
Implantación
Explotación
Continuidad
Planificación
Business Economic
MODELOS DE PRESTACIÓN (VII)
© GMV, 2007 INFORMACIÓN NO CLASIFICADACÁTEDRA CRSI – IE: QUÉ, CUANDO, CÓMO Y DE QUÉEXTERNALIZAR SEGURIDAD Pág. 3004/12/2007, Versión 1
SGI-SGSI-PRE-055
Implantación, desarrollo e integración
Consultoría Análisis y Diseño
Implantación Desarrollo
Auditoría
Planificación Estratégica de la Seguridad
Análisis de Riesgos
Activos Vulnerabilidades Amenazas
Plan de Seguridad
Explotación
Operación Seguimiento y Mejora Contínua
Monitorización Administración
Continuidad
Crisis y Contingencias Gestión de Incidencias
S&M Resolución de Incidencias
SERVICIOS MÁS ADECUADOSPARA CADA MODELO
Política de Seguridad
Definición de Alcance
Proyecto
Servicio
© GMV, 2007 INFORMACIÓN NO CLASIFICADACÁTEDRA CRSI – IE: QUÉ, CUANDO, CÓMO Y DE QUÉEXTERNALIZAR SEGURIDAD Pág. 3104/12/2007, Versión 1
SGI-SGSI-PRE-055
Implantación, desarrollo e integración
Consultoría Análisis y Diseño
Implantación Desarrollo
Auditoría
Planificación Estratégica de la Seguridad
Análisis de Riesgos
Activos Vulnerabilidades Amenazas
Plan de Seguridad
Explotación
Operación Seguimiento y Mejora Contínua
Monitorización Administración
Continuidad
Crisis y Contingencias Gestión de Incidencias
S&M Resolución de Incidencias
SERVICIOS MÁS ADECUADOSPARA CADA PRESTADOR
Política de Seguridad
Definición de Alcance
Insourcing
Outsourcing
INFORMACIÓN NO CLASIFICADA
El presente documento ha sido clasificado como "Información No Clasificada" dentro del marco del Sistema de Gestión de la Seguridad de la Información (SGSI) de GMV-SGI. Dicha clasificación permite a su receptor la utilización y difusión de la información contenida en el documento con respeto a los derechos de propiedad intelectual de la fuente y referencia a la misma, y ello sin perjuicio del cumplimiento de la normativa sobre propiedad intelectual y sobre protección de datos de carácter personal.
GMV SOLUCIONES GLOBALES INTERNET S.A.
GESTIÓN DEL OUTSOURCING DE SEGURIDAD
CÁTEDRA CRSI – IE
INFORMACIÓN NO CLASIFICADA
© GMV, 2007 INFORMACIÓN NO CLASIFICADACÁTEDRA CRSI – IE: QUÉ, CUANDO, CÓMO Y DE QUÉEXTERNALIZAR SEGURIDAD Pág. 3304/12/2007, Versión 1
SGI-SGSI-PRE-055
MODELO GENERAL DE GESTIÓN
Planificar
Implantar
Verificar
ActuarMantenimiento
ActuarIdeas/Mejoras
ActuarCarencias/Incidentes
Cic
lo d
e M
ejor
a
Cic
lo d
e M
ante
nim
ient
oCic
lo d
e R
esol
ució
n
OK
NOK
© GMV, 2007 INFORMACIÓN NO CLASIFICADACÁTEDRA CRSI – IE: QUÉ, CUANDO, CÓMO Y DE QUÉEXTERNALIZAR SEGURIDAD Pág. 3404/12/2007, Versión 1
SGI-SGSI-PRE-055
Planificación Estratégica de la Seguridad
Análisis de Riesgos
Activos Vulnerabilidades Amenazas
Plan de Seguridad
SOPORTE DE OUTSOURCING DESEGURIDAD EN SLA
Auditoría
Explotación
Operación Seguimiento y Mejora Contínua
Monitorización Administración
Continuidad
Crisis y Contingencias Gestión de Incidencias
S&M Resolución de Incidencias
Política de Seguridad
Definición de Alcance
Implantación, desarrollo e integración
Consultoría Análisis y Diseño
Implantación DesarrolloSLA Básico
SLAs Definible
© GMV, 2007 INFORMACIÓN NO CLASIFICADACÁTEDRA CRSI – IE: QUÉ, CUANDO, CÓMO Y DE QUÉEXTERNALIZAR SEGURIDAD Pág. 3504/12/2007, Versión 1
SGI-SGSI-PRE-055
REQUISITOS DE UN PROVEEDOR DE SERVICIOS GESTIONADOS
SGSI Implantado y Certificado
Proveedor tiene ACCESO, y debe proteger, la INFORMACIÓN de su CLIENTE
Certificación = mínimos de CONOCIMIENTOS
Certificación = Manejo como cliente del SLA Personal Proveedor Formado&
En tecnologías IMPLANTADAS
En tecnologías ALTERNATIVAS
En tecnologías COMPLEMENTARIASPortfolio Completo de Serviciosi
Aligerar GESTIÓN por el Cliente
SLA completos/combinados (aún complejos)
Inclusión de Servicios Especializados
INFORMACIÓN NO CLASIFICADA
El presente documento ha sido clasificado como "Información No Clasificada" dentro del marco del Sistema de Gestión de la Seguridad de la Información (SGSI) de GMV-SGI. Dicha clasificación permite a su receptor la utilización y difusión de la información contenida en el documento con respeto a los derechos de propiedad intelectual de la fuente y referencia a la misma, y ello sin perjuicio del cumplimiento de la normativa sobre propiedad intelectual y sobre protección de datos de carácter personal.
GMV SOLUCIONES GLOBALES INTERNET S.A.
UN POSIBLE PORTFOLIO DE SERVICIOS
CÁTEDRA CRSI – IE
INFORMACIÓN NO CLASIFICADA
© GMV, 2007 INFORMACIÓN NO CLASIFICADACÁTEDRA CRSI – IE: QUÉ, CUANDO, CÓMO Y DE QUÉEXTERNALIZAR SEGURIDAD Pág. 3704/12/2007, Versión 1
SGI-SGSI-PRE-055
PLAN DO
CHECKACT
SGS Vulnerability
SGS Risk Analysis
SGS Admin
SGS S&M
SGS Monitor
SGS Control Delivery
SGS SGSI SGS Forensics
SGS Legal SGS Test
SGS Dashboard
EJEMPLO: PORTFOLIO DE SERVICIOS GESTIONADOS
SGS IRT
SGS CSO Office
SGS Asset
INFORMACIÓN NO CLASIFICADA
El presente documento ha sido clasificado como "Información No Clasificada" dentro del marco del Sistema de Gestión de la Seguridad de la Información (SGSI) de GMV-SGI. Dicha clasificación permite a su receptor la utilización y difusión de la información contenida en el documento con respeto a los derechos de propiedad intelectual de la fuente y referencia a la misma, y ello sin perjuicio del cumplimiento de la normativa sobre propiedad intelectual y sobre protección de datos de carácter personal.
GMV SOLUCIONES GLOBALES INTERNET S.A.
CONCLUSIONESCÁTEDRA CRSI – IE
INFORMACIÓN NO CLASIFICADA
© GMV, 2007 INFORMACIÓN NO CLASIFICADACÁTEDRA CRSI – IE: QUÉ, CUANDO, CÓMO Y DE QUÉEXTERNALIZAR SEGURIDAD Pág. 3904/12/2007, Versión 1
SGI-SGSI-PRE-055
CONCLUSIONES
Gestión de la Seguridad de la Información, REALIZABLE mediante su externalización en un tercero
#
Existen criterios objetivos de IDENTIFICACIÓN de servicios EXTERNALIZABLES
#
PROVEEDOR debe OFRECER un portfolio de servicios COMPLETO, con servicios MESURABLES y mesurados
j
PROVEEDOR debe APOYAR e incluir en su portfolio la MEJORA de los servicios recibidos por el CLIENTE
j
INFORMACIÓN NO CLASIFICADA
El presente documento ha sido clasificado como "Información No Clasificada" dentro del marco del Sistema de Gestión de la Seguridad de la Información (SGSI) de GMV-SGI. Dicha clasificación permite a su receptor la utilización y difusión de la información contenida en el documento con respeto a los derechos de propiedad intelectual de la fuente y referencia a la misma, y ello sin perjuicio del cumplimiento de la normativa sobre propiedad intelectual y sobre protección de datos de carácter personal.
GMV SOLUCIONES GLOBALES INTERNET S.A.
Gracias
Mariano J. Benito Gómez
Director de Seguridad / CISO
www.gmv-sgi.es, www.gmv.com
INFORMACIÓN NO CLASIFICADA