Analisis y Gestion de riesgos: Una solucion para cumplir con el
Download
Report
Transcript Analisis y Gestion de riesgos: Una solucion para cumplir con el
Análisis y Gestión de Riesgos.
Una solución para cumplir con el
Esquema Nacional de Seguridad
Marzo-2010
Quienes somos ?
•
•
•
•
•
Empresa especializada en seguridad e integración de sistemas
de telecomunicaciones.
Iniciamos nuestra actividad en 1996….> 15 años.
Actividad en Comunidad Valenciana y Murcia principalmente.
Acción directamente o a través de canal de distribución.
Dedicación principal a Medianas Empresas, y algo de
Administración Pública.
¿ Que hemos detectado ?
•
Con la explosión del Plan de Inversión Local, hemos incidido sobre la
Administración Local y hemos sido conscientes
de una de las problemáticas.
•
•
•
•
Más frentes que cubrir
Menos personal
Entornos heterogéneos
Por informática se entiende TODO lo que tiene ver con tecnología.
Copias de Seguridad
Soporte a usuario
Inventario equipamiento
Carpeta del Ciudadano
VLAN
Auditoría
Enlaces inalámbricos
SMS
VPN
Ley Orgánica Protección de Datos
Control Accesos
Switching L3Antivirus
Operadores y Control Costes
Operadora Automática
Procedimientos
Soluciones de video
WiFi
Fax
Telefonía IP
Gestión Documental
SSL
Lentitud en la red
DHCP
Cableado
WimaxCorreo Electrónico
Routing
AntiSpam
ERP
Presupuestos
Mensajeria Instantanea
Externalización ( Outsourcing )
Desde Leader, ofrecemos soluciones a muchas de sus necesidades
Infraestructuras Seguridad
Corporate - Aplicaciones
Switching L3
Copias de Seguridad
Wimax
LOPD - ENS
SSL
Antivirus
AntiSpam
DHCP
WiFi
VPN
Telefonía IP
VLAN
Mensajeria
Instantanea
CRM
Gestión Riesgos Laborales
Procedimientos
Auditoría
SMS
Inventario equipamiento
Control
Accesos
Soluciones de video
Cableado
Routing
Operadora Automática
Enlaces inalámbricos
Correo Electrónico
Fax
Gestión Documental
Iniciamos el área de seguridad con LOPD.
• En el año 1999 aparece la LOPD como sustituto de la LORTAD 1992
( Tratamiento de Datos Automatizados)
•
En el RD1720/2007 se desarrolla la Ley Orgánica indicando los niveles de seguridad a
aplicar a los ficheros según el contenido de los mismos:
–
•
ALTO, MEDIO Y BAJO. Donde se incluye la documentación en papel.
Aparecen en la LOPD una serie de aspectos comunes o similares a lo que ahora se
especifica en el ENS.
–
–
Responsables de ficheros, encargado de tratamiento de información, responsable
seguridad.
Documento de Seguridad
• Politicas
• Procedimientos
• Deberes y Obligaciones
•
Dentro de la filosofia de trabajo de Leader, siempre planteamos que ya puestos a
desarrollar una actividad, que sirva para algo más que para cumplir con la
legislación vigente.
•
ASI PONEMOS EN MARCHA EL ANALISIS Y GESTIÓN DE RIESGOS.
¿ Cuántos esquemas nos hemos hecho ?
¿ Por dónde empiezo ?
Análisis y Gestión de Riesgos
¿ Qué es AGR ?
• El análisis del estado actual de sus infraestructuras
• Análisis de riesgos y amenazas
• Acta con medidas correctivas… La Hoja de Ruta.
• Una “foto” de lo que tienen y lo que deberían tener para
estar seguros.
• Respuesta a lo que se solicita se solicita en ENS
+
Un análisis de costes de telecomunicaciones.
ASPECTO TANGIBLE … REDUCE €
(Experiencia…. Reducción del orden de un 30%)
Según la situación actual del Ayuntamiento
• SEAMOS PRÁCTICOS…Esto es un Plan Director de Sistemas
¿ Qué es el ENS ?
•
Una forma de dar confianza a los ciudadanos para que la Ley 11/2007 de acceso
electrónico de los ciudadanos a los Servicios Publicos sea una realidad.
–
•
¿ COMO ? Analizando:
• DISPONIBILIDAD
• AGILIDAD
• CONFIDENCIALIDAD
• SEGURIDAD: INTEGRIDAD / TRAZABILIDAD / AUTENTICIDAD
Determinar los principios básicos y requisitos mínimos de protección de activos:
– Qué, Dónde y Cómo están instalados los servicios.
– Responsables de cada una de las áreas– información, servicios y seguridad
– Evitar “tierras de nadie” en las que no hay responsable ni responsabilidad ni
servicio
– Definir las politicas de seguridad y obligaciones y derechos – de cada uno de los
roles participantes en el flujo de la información
– Implementar las medidas oportunas según su categoría para resistir un ataque, o
acciones ilicitas o malintencionadas que pongan en juego la:
• AUTENTICIDAD
DISPONIBILIDAD
• INTEGRIDAD
TRAZABILIDAD
• CONFIDENCIALIDAD
Principios básicos
•
Seguridad Integral.
•
Gestión de riesgos. Análisis y gestión del entorno (SGR)
•
Medidas de prevención, reacción y recuperación (Procedimientos)
•
Lineas de defensa. Constituidas por medidas de naturaleza
organizativa, fisica y logica.
•
Reevaluación periódica (Auditoria cada 2 años minimo)
•
Desginación de responsables de
–
–
–
–
Comprende todos los medios (materiales, humanos, y organizativos
relacionados con “el sistema”)
Información. Alto cargo de la AAPP
Servicio.
Seguridad.
En la LOPD
• Ya se ha desarrollado parte del
trabajo.
– Registro de bases de datos
– Autorización ( aspectos legales )
– Documento de seguridad:
• Procedimientos
• Obligaciones y funciones
• Control de usuarios y acceso
• Se protegen los activos de información
Con el ENS….
•
Se protege el servicio que se ofrece al ciudadano – via
telemática o mediante servicios in situ, y conlleva TODO.
URBANISMO
SERVICIOS
SOCIALES
APLICACIÓN 1.
JUVENTUD
APLICACIÓN 2
INTERVENCION
APLICACIÓN 3
BASES DE DATOS
BASES DE DATOS
HARDWARE
HARDWARE
COMUNICACIONES - SEGURIDAD
APLICACIÓN 4
BASES DE DATOS
HARDWARE
DEPORTES
Cómo trabajamos
• Metodología propia basada en MAGERIT, con
adaptaciones.
• Requerimientos de Seguridad PCI (Payment
Credit Industry),
• Metodología intercambiada con miembros de
Information Systems Audit and Control
Association (ISACA)
• Personal con experiencia en sistemas y
telecomunicaciones.
Qué información obtenemos
•
•
•
•
Organigrama de la Entidad
Mapa de servicios y activos de información
Mapa de dependencias
Inventario
–
–
–
–
–
•
•
•
Topología de red
Sistemas
Bases de datos
Accesos a los sistemas
Lineas de Comunicaciones
Mapa de valor….. Análisis de variables ALTO, MEDIO, BAJO
Amenazas posibles y % probabilidad
Acta de medidas correctivas
– Costes en lineas de comunicaciones
– Medidas para maximizar SEG, DISP, AGIL, CONF, INTEG, TRAZ.
•
Plan Director
Plan Director
•
Marco Organizativo
•
Marco Operacional
•
Medidas de protección
–
–
–
–
Politica de Seguridad
Normativa
Procedimientos
Autorizaciones
–
–
–
–
–
–
Planificación
Control de Acceso
Explotación
Servicios Externos
Continuidad del servicio
Monitorización
–
–
–
–
–
–
–
–
Instalaciones e infraestructuras
Gestión del personal
Protección de los equipos
Protección de las comunicaciones
Protección de los soportes
Protección de las aplicaciones
Protección de la información
Protección de los servicios
¿ Por qué el Plan Director ?
Entrada en vigor: Dia siguiente publicación BOE (29.01.2010)
EL DIA 30/1/2011 debe cumplir el ENS
Para los sistemas existentes,
y los nuevos, TODOS.
¿ QUIEN CUMPLE ?
En caso contrario presentar:
Plan Adecuación – Plan Director - para tenerlo
Máximo en proximos 48 meses a partir entrada en vigor
( Quedan 36 meses )
¿ De dónde sacar fondos ?
• De la reducción de costes obtenida en el
análisis de los sistemas de
telecomunicaciones.
Circuitos heredados
Servicios no solicitados
Control de facturas
…..
…..
REDUCCIÓN 30% según casos…
( Nuestro último caso 150.000€/año, sobre 400.000€)
Muchas Gracias,
• Datos de contacto:
– Carlos Estrela Alfaro
– Email: [email protected]
– Telef. 902 15 85 00