Seguridad de la Información en el FEGA

1. Seguridad de la Información en el FEGA Marzo 2010

2. Certificación UNE-ISO/IEC 27001 • ISO/IEC 27002 implantada • Política definida • Comité de Seguridad de la Información con reuniones mensuales • Procedimientos definidos e implantados cubren la mayoría de controles • Formación y concienciación de los usuarios • Jornadas obligatorias de introducción a la Seguridad de la Información • Auditorías periódicas • Únicamente una recomendación de nivel medio Punto de partida

3. Certificación UNE-ISO/IEC 27001 • Análisis de riesgos • Con mayor alcance que el del SGSI: visión de conjunto • Identificación de todos los procesos de negocio y de su valoración ACIDT por el Comité de Dirección • Metodología Magerit, utilizando PILAR • Resultados: • Procesos de negocio, con sus valoraciones de riesgo • Niveles de riesgo actuales y objetivo • Plan de tratamiento del riesgo • Declaración de aplicabilidad Avance en el último año

4. Certificación UNE-ISO/IEC 27001 • Procesos de negocio, con sus valoraciones de riesgo • Visión de conjunto: Saber qué hace el Organismo • Saber qué preocupa más al Comité de Dirección permite enfocar los objetivos de seguridad. No se puede abordar todo de una vez, por eso lo abordamos desde el punto de vista de la mejora continua. La valoración permite empezar por lo que el Comité de Dirección considera prioritario. Avance en el último año

5. Certificación UNE-ISO/IEC 27001 • Definición e implantación del SGSI: • Definir el Alcance: FEGA como Organismo Pagador • Empezar con un alcance reducido • Objetivo futuro: extenderlo al resto de actividades • Definición de los procedimientos UNE-ISO/IEC 27001 • Control de documentación y registros • Auditoría previa • Mejora Continua • Revisión por la dirección • Formación (formalizar lo existente) Avance en el último año

6. Certificación UNE-ISO/IEC 27001 • Puesta a punto de ISO 27002 • Clasificación de la Información • Revisarla con el enfoque del ENS • Normas • No exhaustivas, sólo sobre los temas más amplios: uso de Sistemas de información, desarrollo y adquisición aplicaciones, etc. • Uniformizar distintas fuentes: legislación, ISO 27000, directrices internas • Revisión y actualización de procedimientos • Identificar indicadores y registros • Actualizar los obsoletos Situación acutal

7. Esquema Nacional de Seguridad • Sigue el mismo enfoque que las normas ISO 27000 • Partimos con ventaja sobre otras Administraciones Públicas • Principales dificultades: • Correlación de controles entre el ENS y las normas ISO 27000 => Declaración de aplicabilidad conjunta • Clasificación de la información: • Distinto criterio al de la LOPD • Selección del nivel de seguridad subjetivo: a confirmar con los órganos de control

8. Esquema Nacional de Seguridad • Aprovechar las valoraciones del Análisis de Riesgos • Las categorías del ENS se basan en los mismos principios que Magerit, por lo que no hay que volver a valorar la información • Nivel máximo: nivel medio • Algunas de las medidas de nivel alto son desproporcionadas • El nivel alto está asimilado en ciertos foros a la información que pueda causar pérdidas humanas, secretos de estado, etc. • Considerar medidas adicionales (el ENS marca mínimos): • Continuidad de negocio • Registro de actividad • Abstraer al resto del personal de la dificultad de la existencia de distintos criterios Enfoque en la Clasificación de la información