1 / 36

ESCUELA SUPERIOR POLITÉCNICA DEL LITORAL EDCOM - ESPOL

ESCUELA SUPERIOR POLITÉCNICA DEL LITORAL EDCOM - ESPOL. Luis Cepeda Fernández Jhonny Plúas Ronquillo Byron Zamora Zamora. Escuela de Diseño y Comunicación EDCOM. Sistemas de Gestión de Seguridad de la Información. ISO 27001 Gestión de la Continuidad del Negocio. INTRODUCCIÓN.

madison
Download Presentation

ESCUELA SUPERIOR POLITÉCNICA DEL LITORAL EDCOM - ESPOL

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. ESCUELA SUPERIOR POLITÉCNICA DEL LITORAL EDCOM - ESPOL Luis Cepeda Fernández Jhonny Plúas Ronquillo Byron Zamora Zamora Escuela de Diseño y Comunicación EDCOM

  2. Sistemas de Gestión de Seguridad de la Información ISO 27001 Gestión de la Continuidad del Negocio

  3. INTRODUCCIÓN

  4. CONTINUIDAD DEL NEGOCIO • Cuando se habla de la continuidad del negocio hay que establecer los requerimientos ocasionados por amenazas ocurridas con anterioridad o detectados en el análisis • Es esencial que la empresa este preparada para reactivar sus servicios en un mínimo tiempo y así disminuir el impacto que causaría al negocio.

  5. SEGURIDAD • Hoy en día la información es un recurso muy importante como el resto de los activos comerciales. • La seguridad de información protege una gama de amenazas como desastres naturales, incendios descargas eléctricas e inundaciones, ataques informáticos, virus, con el fin de garantizar la continuidad del negocio .

  6. VALOR DE LOS ACTIVOS • Se debe considerar a la información como un activo crítico de las organizaciones y como tal se debe preservar su Integridad, disponibilidad, confidencialidad.

  7. ¿ ES POSIBLE ELIMINAR LOS RIESGOS ? No es posible eliminar por completo los riesgos, sin embargo es posible reducirlos mediante controles de protección contra amenazas y vulnerabilidades.

  8. AMENAZAS • Ataques informáticos • Pérdida de enlaces • Descargas eléctricas • Desastres naturales (incendio, terremotos, inundaciones , etc.) La empresa no está libre de sufrir:

  9. BENEFICIOS SGSI Dentro del conjunto de beneficios que se obtendrían al contar con un SGSI se pueden mencionar como: • Contar con un proceso definido para: Evaluar, Implementar, Mantener y Administrar la Seguridad de la Información en la empresa. • Diferenciarse en el mercado. • Tener una metodología para poder administrar los riesgos. Cabe indicar que con el presente trabajo, no se busca preparar a la empresa inmobiliaria para una eventual certificación en materia de seguridad de la información, sino que proporciona las bases de un SGSI para que una vez implementado, se pueda aprovechar los beneficios que éste ofrece.

  10. GENERALIDADES DE LA EMPRESA INMOBILIARIA La amplia trayectoria convierte a la inmobiliaria en el mayor promotor de viviendas del Ecuador desde 1973, permitiendo la entrega puntual de decenas de miles de viviendas, de un extenso catálogo de productos con la máxima flexibilidad en plazos de financiamiento. Certificación de calidad ISO 9001:2008.

  11. ACTIVOS DE LA EMPRESA • Actualmente la empresa cuenta con un Data Center con servidores de : • Dominio, DNS • Correo • Base de Datos • Internet • Dispositivos Móviles (Black Berry) • Servidor de Archivos • Enlaces de Red con Puntos remotos • Centrales Telefónicas

  12. ENLACES DE DATOS PRINCIPALES

  13. MARCO TEÓRICO

  14. GESTION DE CONTINUIDAD DE NEGOCIO • En varias empresas se aplican ciertos procesos de contingencia ante cualquier eventualidad que pueda afectar sus medios de almacenamiento o comunicación. En otros casos se improvisa una solución inmediata. • Con lo anteriormente mencionado se realizará el proyecto utilizando las metodologías : • Norma ISO 27001 • ITIL (Buenas prácticas)

  15. ISO 27001 • NORMAS ISO27001 forma metódica y clara basada en objetivos claros de seguridad y una evaluación de los riesgos a los que está sometida la información de la organización.

  16. CICLO DE VIDA Esta Basado en el ciclo de vida PDCA (Planear-Hacer-Verificar-Actuar; o ciclo de Deming).

  17. OTROS ESTANDARES DE SGSI Existen otros estándares internacionalmente aceptados relacionados con seguridad de la información como: COBIT, NIST, MAGERIT, ITIL, entre otros, que la enfocan desde diferentes puntos de vista como controles de seguridad, buen gobierno, gestión de riesgo.

  18. ITIL • ITIL establece los conceptos básicos. Las tareas clave a realizar y la documentación resultante común a todos los proyectos de análisis y gestión de riesgos donde se aplique ITIL.

  19. ¿ QUE ES ITIL ? • Desarrollada a finales de 1980, y es la Biblioteca de Infraestructura de Tecnologías de la Información (ITIL) se ha convertido en el estándar mundial de factor en la Gestión de Servicios Informáticos. Prestación de Servicios Soporte a los Usuarios Soluciones Perspectivas de Negocios Gestión de la Infraestructura

  20. TECNOLOGÍA ITIL

  21. ANÁLISIS DE RIESGOS

  22. GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO Es un proceso de gestión logístico que identifica potenciales impactos que amenazan la organización y provee una estructura para aumentar la resistencia y la capacidad de respuesta de manera efectiva que salvaguardan los intereses de los miembros de la organización, su reputación, marca y valor creando actividades.

  23. ESTRATEGIA DE CONTINUIDAD Definición Diagrama • HOT SITE: • Página web compacta construida a partir de modelos estandarizados. • Posee retorno instantáneo a bajos costos Significativas de respuesta.

  24. ESTRATEGIA DE CONTINUIDAD • WARM SITE: Forma de ver las principales estrategias • Recuperación de desastres fuera de sitio • Recuperación de centro principal. 

  25. MARCO METODOLÓGICO El proceso de Administración de Continuidad de Servicios de TI cuenta con 4 etapas que se ejecutan durante las actividades del proceso. Estas etapas se ilustran en la siguiente figura:

  26. EVALUACIÓN DE RIESGO PARA LA INMOBILIARIA

  27. EVALUACION DE RIESGO Resumen de la Identificación de Riesgos Calificación de riesgo de acuerdo al nivel de Ocurrencia

  28. Calificación de riesgo de acuerdo al nivel de Impacto Calificación de riesgo de acuerdo al nivel de Severidad Severidad = Nivel de Ocurrencia x Nivel de Impacto

  29. Calificación de riesgo de acuerdo al nivel de Criticidad

  30. EJECUCIÓN

  31. EJECUCIÓN Ubicación de los principales Activos de la empresa:

  32. CONTROLES DE APLICABILIDAD Activos y procesos:

  33. CONTROLES DE APLICABILIDAD • Incluir seguridad de información en el proceso. • Continuidad comercial y evaluación de riesgos. • Desarrollo e implementación del plan de continuidad. • Marco referencial de la planeación. • Prueba y evaluación.

  34. CONCLUSIONES • La perdida de información podría soportar muchas consecuencias negativas. • La seguridad de información es una medida para incrementar el éxito. • Permitirá mantener un proceso de mejora continua.

  35. RECOMENDACIONES • Contar con el apoyo correspondiente de las altas autoridades. • Concienciar a los empleados sobre la seguridad de la información. • Constante evaluación del sistema de seguridad de información.

  36. GRACIAS POR SU ATENCIÓN

More Related