Análisis y Gestión de Riesgos. Una solución para cumplir con el Esquema Nacional de Seguridad

1. Análisis y Gestión de Riesgos. Una solución para cumplir con el Esquema Nacional de Seguridad Marzo-2010

2. Quienes somos ? • Empresa especializada en seguridad e integración de sistemas de telecomunicaciones. • Iniciamos nuestra actividad en 1996….> 15 años. • Actividad en Comunidad Valenciana y Murcia principalmente. • Acción directamente o a través de canal de distribución. • Dedicación principal a Medianas Empresas, y algo de Administración Pública.

3. ¿ Que hemos detectado ? • Con la explosión del Plan de Inversión Local, hemos incidido sobre la Administración Local y hemos sido conscientes de una de las problemáticas. • Más frentes que cubrir • Menos personal • Entornos heterogéneos • Por informática se entiende TODO lo que tiene ver con tecnología. Copias de Seguridad Presupuestos Cableado Soporte a usuario Inventario equipamiento VPN Wimax Carpeta del Ciudadano Correo Electrónico VLAN Ley Orgánica Protección de Datos Auditoría Control Accesos Enlaces inalámbricos Routing AntiSpam Switching L3 Antivirus WiFi Operadores y Control Costes ERP Operadora Automática Fax Telefonía IP Procedimientos Gestión Documental SMS SSL Soluciones de video Lentitud en la red DHCP Mensajeria Instantanea

4. Externalización ( Outsourcing ) Desde Leader, ofrecemos soluciones a muchas de sus necesidades Infraestructuras Seguridad Corporate - Aplicaciones Switching L3 Copias de Seguridad Mensajeria Instantanea LOPD - ENS Wimax Antivirus SSL CRM AntiSpam DHCP Gestión Riesgos Laborales Procedimientos WiFi SMS Auditoría VPN Inventario equipamiento Control Accesos Telefonía IP Correo Electrónico Soluciones de video VLAN Fax Gestión Documental Cableado Routing Operadora Automática Enlaces inalámbricos

5. Iniciamos el área de seguridad con LOPD. • En el año 1999 aparece la LOPD como sustituto de la LORTAD 1992 ( Tratamiento de Datos Automatizados) • En el RD1720/2007 se desarrolla la Ley Orgánica indicando los niveles de seguridad a aplicar a los ficheros según el contenido de los mismos: • ALTO, MEDIO Y BAJO. Donde se incluye la documentación en papel. • Aparecen en la LOPD una serie de aspectos comunes o similares a lo que ahora se especifica en el ENS. • Responsables de ficheros, encargado de tratamiento de información, responsable seguridad. • Documento de Seguridad • Politicas • Procedimientos • Deberes y Obligaciones • Dentro de la filosofia de trabajo de Leader, siempre planteamos que ya puestos a desarrollar una actividad, que sirva para algo más que para cumplir con la legislación vigente. • ASI PONEMOS EN MARCHA EL ANALISIS Y GESTIÓN DE RIESGOS.

6. ¿ Cuántos esquemas nos hemos hecho ? ¿ Por dónde empiezo ?

7. Análisis y Gestión de Riesgos

8. ¿ Qué es AGR ? • El análisis del estado actual de sus infraestructuras • Análisis de riesgos y amenazas • Acta con medidas correctivas… La Hoja de Ruta. • Una “foto” de lo que tienen y lo que deberían tener para estar seguros. • Respuesta a lo que se solicita se solicita en ENS + Un análisis de costes de telecomunicaciones. ASPECTO TANGIBLE … REDUCE € (Experiencia…. Reducción del orden de un 30%) Según la situación actual del Ayuntamiento • SEAMOS PRÁCTICOS…Esto es un Plan Director de Sistemas

9. ¿ Qué es el ENS ? • Una forma de dar confianza a los ciudadanos para que la Ley 11/2007 de acceso electrónico de los ciudadanos a los Servicios Publicos sea una realidad. • ¿ COMO ? Analizando: • DISPONIBILIDAD • AGILIDAD • CONFIDENCIALIDAD • SEGURIDAD: INTEGRIDAD / TRAZABILIDAD / AUTENTICIDAD • Determinar los principios básicos y requisitos mínimos de protección de activos: • Qué, Dónde y Cómo están instalados los servicios. • Responsables de cada una de las áreas– información, servicios y seguridad • Evitar “tierras de nadie” en las que no hay responsable ni responsabilidad ni servicio • Definir las politicas de seguridad y obligaciones y derechos – de cada uno de los roles participantes en el flujo de la información • Implementar las medidas oportunas según su categoría para resistir un ataque, o acciones ilicitas o malintencionadas que pongan en juego la: • AUTENTICIDAD DISPONIBILIDAD • INTEGRIDAD TRAZABILIDAD • CONFIDENCIALIDAD

10. Principios básicos • Seguridad Integral. • Comprende todos los medios (materiales, humanos, y organizativos relacionados con “el sistema”) • Gestión de riesgos. Análisis y gestión del entorno (SGR) • Medidas de prevención, reacción y recuperación (Procedimientos) • Lineas de defensa. Constituidas por medidas de naturaleza organizativa, fisica y logica. • Reevaluación periódica (Auditoria cada 2 años minimo) • Desginación de responsables de • Información. Alto cargo de la AAPP • Servicio. • Seguridad.

11. En la LOPD • Ya se ha desarrollado parte del trabajo. • Registro de bases de datos • Autorización ( aspectos legales ) • Documento de seguridad: • Procedimientos • Obligaciones y funciones • Control de usuarios y acceso • Se protegen los activos de información

12. Con el ENS…. • Se protege el servicio que se ofrece al ciudadano – via telemática o mediante servicios in situ, y conlleva TODO.

13. Cómo trabajamos • Metodología propia basada en MAGERIT, con adaptaciones. • Requerimientos de Seguridad PCI (Payment Credit Industry), • Metodología intercambiada con miembros de Information Systems Audit and Control Association (ISACA) • Personal con experiencia en sistemas y telecomunicaciones.

14. Qué información obtenemos • Organigrama de la Entidad • Mapa de servicios y activos de información • Mapa de dependencias • Inventario • Topología de red • Sistemas • Bases de datos • Accesos a los sistemas • Lineas de Comunicaciones • Mapa de valor….. Análisis de variables ALTO, MEDIO, BAJO • Amenazas posibles y % probabilidad • Acta de medidas correctivas • Costes en lineas de comunicaciones • Medidas para maximizar SEG, DISP, AGIL, CONF, INTEG, TRAZ. • Plan Director

15. Plan Director • Marco Organizativo • Politica de Seguridad • Normativa • Procedimientos • Autorizaciones • Marco Operacional • Planificación • Control de Acceso • Explotación • Servicios Externos • Continuidad del servicio • Monitorización • Medidas de protección • Instalaciones e infraestructuras • Gestión del personal • Protección de los equipos • Protección de las comunicaciones • Protección de los soportes • Protección de las aplicaciones • Protección de la información • Protección de los servicios

16. ¿ Por qué el Plan Director ? Entrada en vigor: Dia siguiente publicación BOE (29.01.2010) EL DIA 30/1/2011 debe cumplir el ENS Para los sistemas existentes, y los nuevos, TODOS. ¿ QUIEN CUMPLE ? En caso contrario presentar: Plan Adecuación – Plan Director - para tenerlo Máximo en proximos 48 meses a partir entrada en vigor ( Quedan 36 meses )

17. ¿ De dónde sacar fondos ? • De la reducción de costes obtenida en el análisis de los sistemas de telecomunicaciones. Circuitos heredados Servicios no solicitados Control de facturas ….. ….. REDUCCIÓN 30% según casos… ( Nuestro último caso 150.000€/año, sobre 400.000€)

18. Muchas Gracias, • Datos de contacto: • Carlos Estrela Alfaro • Email: cestrela@Lnm.es • Telef. 902 15 85 00