1 / 15

Palacio Europa 7 de Mayo de 2009

Lecciones aprendidas en la implantación del SGSI – Sistema de Gestión de la Seguridad de la Información. Palacio Europa 7 de Mayo de 2009. EJIE.

dillan
Download Presentation

Palacio Europa 7 de Mayo de 2009

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Lecciones aprendidas en la implantación del SGSI – Sistema de Gestión de la Seguridad de la Información Palacio Europa 7 de Mayo de 2009

  2. EJIE • EJIE es la empresa pública que ofrece servicios informáticos al Gobierno Vasco y a todas sus instituciones y organizaciones, facilitando, mediante la tecnologíainformática, la innovación del propio Gobierno y de los servicios que éste ofrece a los ciudadanos.

  3. Misión Contribuir mediante la prestación de servicios informáticos, a conseguir una Administración Pública Vasca, moderna y eficiente. Objetivos • Prestar servicios de manera eficiente y con calidad, cumpliendo plazos de respuesta y un nivel "cero" de reclamaciones e incidencias. • Prestar servicios competitivos en relación al sector, adecuando los servicios internos al ámbito de actuación y asignando los recursos óptimos. • Integrarse activamente con sus clientes en un entorno de transparencia, comunicación y con objetivos comunes. • Obtener una imagen corporativa de servicio eficiente, de calidad y de empresa en punta tecnológica en el sector.

  4. Organización Zuzendaritza NagusiaDirección General MarketinMarketing Kalitatea eta SegurtasunaCalidad y Seguridad Sitemak eta TelekomunikazioakSistemas y Telecomunicaciones EkoizpenaProducción Administrazioa eta LangileakAdministración y Personal Proiektuak eta Laguntza TecnikoaProyectos y Asistencia Técnica

  5. Áreasdeactuaciónyservicios • Gestión de Infraestructuras: Sistemas de Información y Redes de Comunicación • Albergue y Operación de Sistemas de Información • Telecomunicaciones y Seguridad • Instalación de Equipamiento Hardware y Software • Mantenimiento Hardware y Software • Consultoría y Proyectos • Consultoría y Desarrollo de Proyectos Software • Implantación de Software y Aplicaciones • Gestión de Proyectos Comunes • Soporte a Usuarios • Centro de Atención a Usuarios (CAU) • Seguridad y Acceso Usuario (SASU) • Soporte Software • Formación a Usuarios • Asistencia Técnica • Desarrollo de Aplicaciones • Mantenimiento Correctivo y Adaptativo

  6. Algunos servicios de EJIE • Telecentros KZGunea: Formación al ciudadano y empresas en las TIC • Tarjeta Sanitaria de usos ciudadanos (ONA) • Sistema de gestión de expedientes • PLATEA: Plataforma tecnológica base para servicios de administración electrónica • Presencia en Internet • Teletramitación • Archivo digital para la gestión documental del Gobierno Vasco • NORA: Gestión de localizaciones • Sistema de pago seguro por internet para el ciudadano • Sistema de gestión de Bibliotecas de Euskadi

  7. La gestión de los riesgos – El corazón del SGSI Un correcto enfoque respecto a la gestión de los riesgos no asegura por sí mismo un buen resultado del SGSI, pero evita malgastar unos recursos valiosísimos No es la primera vez que EJIE se embarca en un proceso de implantación de un SGSI, pero es la primera vez que lo ha certificado según la ISO 27001

  8. La gestión de los riesgos – Planificar • El alcance establece cuántos activos van a ser considerados en el SGSI, por lo que se puede establecer una relación al trabajo que viene después. ¿Buscamos el SGSI del GV o el SGSI de EJIE? • No es necesario inventar la rueda: La metodología MAGERIT desarrollada y actualizada permanentemente por el MAP es más que adecuada, y además es gratuita y fácilmente accesible

  9. La gestión de los riesgos – Identificar y analizar Frecuencia estimada

  10. La gestión de los riesgos – Identificar y analizar • Según el nº de activos considerados será imposible o factible valorar el riesgo. Es necesario mantener las valoraciones de unas 25 amenazas por activo y de unos 25 controles por amenaza (100 activos implica mantener 62.500 valores) • Tampoco hay que tener miedo a tratar los activos agrupados, ya que el método nos obligará a disgregarlos cuando abordemos el nivel de riesgo correspondiente • De nuevo, no es necesario inventar la rueda: La metodología MAGERIT establece las relaciones por defecto entre activos, vulnerabilidades, amenazas y riesgos, y esta relación se mantiene permanentemente actualizada

  11. La gestión de los riesgos – Dirección • No es bueno tratar todos los riesgos a la primera, es necesario dedicar los recursos disponibles a mitigar los mayores riesgos • Paulatinamente se reducirá el riesgo residual a medida que lanza anualmente cada Plan de Tratamiento de Riesgos

  12. La gestión de los riesgos – Tratamiento del riesgo sin mitigación • Conviene trabajar con los proveedores para asumir conjuntamente el riesgo o transferirlo convenientemente (política de seguridad para proveedores, SLAs, seguros …) • En aquellos riesgos que sea más caro mitigarlo que asumirlo (no olvidar el “coste de imagen”), podemos no hacer nada • Si tenemos la suerte de encontrar actividades que generan riesgo y no valor, aplicar la 1ª Ley del agujero 1ª Ley del agujero: Si quieres salir de un agujero, antes deja de cavar

  13. La gestión de los riesgos – Mitigar • El SOA (Statement of aplicability o Declaración de aplicabilidad) establece qué controles son aplicables de los 133 de la norma • Antes de buscar excusas sobre porqué no es aplicable un control, conviene aplicar el control en función del riesgo obtenido (considerar mitigar, transferir, aceptar y evitar) • Implantar seguridad no es barato (normalmente no suele ser la opción más barata)

  14. Conclusiones sobre la gestión de riesgos • Dedicar el tiempo suficiente a establecer un alcance del SGSI controlable • No inventar la rueda, antes consultar MAGERIT • No ser detallistas en la identificación inicial de activos (100 está bien) e incrementar la granularidad a medida que sea necesario • Los riesgos deben ser tratados en sucesivos planes anuales en los cuales se irá mejorando el nivel de riesgo asumido • El tratamiento de los riesgos deberá ser adecuado al nivel de riesgo evaluado considerando siempre la posibilidad de transferir, aceptar y evitar el riesgo • Mitigar el riesgo suele ser una buena opción, pero también la más cara. Priorizar siempre en función del análisis del riesgo

  15. Gracias por su atención EJIE, S.A. Avda. del Mediterráneo, 14 01010 Vitoria-Gasteiz Teléfono: 945 017 300 Fax: 945 017 301 www.ejie.net

More Related