Lopd iso 27001 como elementos de valor
-
Upload
ascendia-reingenieria-consultoria -
Category
Business
-
view
1.426 -
download
0
description
Transcript of Lopd iso 27001 como elementos de valor
www.ascendiarc.com
www.ascendiarc.com
Normalización de la Seguridad del Sistema de
Información y Requisitos Legales en materia de
Protección de Datos como elementos de valor
www.ascendiarc.com
1. SGSI. PRINCIPIO DE SEGURIDAD
2. LA DOCUMENTACION DE LA SEGURIDAD.
3. IMPLANTACIÓN DE UN PLAN DE SEGURIDAD.
4. PLANES DE CONTINUIDAD DEL NEGOCIO.¿OBLIGACIÓN O NECESIDAD?
5. RELACIONES CON TERCEROS. ACUERDOS DE NIVEL DE SERVICIO
6. LOS RECURSOS HUMANOS COMO ACTIVO FUNDAMENTAL
7. EL CONTROL EMPRESARIAL EN LA ERA DE LAS TECNOLOGÍAS
ÍNDICE
www.ascendiarc.com
SISTEMAS DE GESTIÓN DE SEGURIAD DE LA INFORMACION. PRINCIPIO DE SEGURIDAD
CONCEPTO DE SEGURIDAD. UN CONCEPTO SUBJETIVO
OBJETIVANDO EL CONCEPTO DE SEGURIDAD
ISO/IEC 27001ISO/IEC 27002
LOPDRLOPD
www.ascendiarc.com
SISTEMAS DE GESTIÓN DE SEGURIAD DE LA INFORMACION. PRINCIPIO DE SEGURIDAD
SEGURIDAD, UN ELEMENTO NECESARIO EN EL AVANCE
ANTES AHORA
www.ascendiarc.com
SISTEMAS DE GESTIÓN DE SEGURIAD DE LA INFORMACION. PRINCIPIO DE SEGURIDAD
INFORMACIÓN COMO ACTIVO FUNDAMENTAL
www.ascendiarc.com
SISTEMAS DE GESTIÓN DE SEGURIAD DE LA INFORMACION. PRINCIPIO DE SEGURIDAD
¿QUÉS UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI)?
SIMIL: ORQUESTA DE MÚSICA
gestionar = dirigir
¿eficientemente? = ¿suena bien?
conseguir los objetivos = alcanzar el éxito
La orquesta suena bien si todos:
Saben tocar bien
Pueden tocar bien
Quieren tocar bien
Se alcanza el éxito
www.ascendiarc.com
SISTEMAS DE GESTIÓN DE SEGURIAD DE LA INFORMACION. PRINCIPIO DE SEGURIDAD
¿POR QUÉ AHORA?
www.ascendiarc.com
SISTEMAS DE GESTIÓN DE SEGURIAD DE LA INFORMACION. PRINCIPIO DE SEGURIDAD
SEGURIDAD INFORMATICA VS SEGURIDAD DE LA INFORMACIÓN
SEGURIDAD INFORMATICA
NO GESTIONA
www.ascendiarc.com
SISTEMAS DE GESTIÓN DE SEGURIAD DE LA INFORMACION. PRINCIPIO DE SEGURIDAD
SEGURIDAD INFORMATICA VS SEGURIDAD DE LA INFORMACIÓN
SEGURIDAD DE LA INFORMACIONEstablece medidas encaminadas a proteger la información, independientemente del soporte
en que se encuentre, contra cualquier amenaza. De este modo, estaremos en condiciones
de asegurar la continuidad de la actividad de la entidad, minimizar el perjuicio que pudiera
causar y maximizar el rendimiento del capital invertido.
Se caracteriza por preservar las tres propiedades de la información:
> CONFIDENCIALIDAD
> INTEGRIDAD
> DISPONIBILIDAD
www.ascendiarc.com
SISTEMAS DE GESTIÓN DE SEGURIAD DE LA INFORMACION. PRINCIPIO DE SEGURIDAD
CICLO DE MEJORA CONTINUA
www.ascendiarc.com
UTILIDADES
INTERNA EXTERNA
APROVECHEMOS PARA MEJORAR
SISTEMAS DE GESTIÓN DE SEGURIAD DE LA INFORMACION. PRINCIPIO DE SEGURIDAD
1. Evitar interrupciones en la
actividad
2. Descubrir fraudes de empleados
3. Aumentar la calidad del servicio al
evitar riesgos
4. ...
1. Aumentar la competitividad
2. Descubrir fraudes externos
3. Evitar robos y destrozos
4. …
www.ascendiarc.com
LA DOCUMENTACIÓN DE LA SEGURIDAD
¿POR QUÉ HAY QUE PROCEDIMENTAR?
NECESIDAD DE APUNTARLO TODO.
BENEFICIOS DE LA ESTANDARIZACION DE PROCESOS
www.ascendiarc.com
IMPLANTACION DE UN PLAN DE SEGURIDAD
¿HACIA DÓNDE NOS DIRIGIMOS?
CONTENIDO DEL PLAN DE SEGURIDAD
1. Aspectos legales
2. Normas y procedimientos
3. Responsabilidades
4. Seguridad física
5. Seguridad lógica
6. Comunicaciones
7. Software
8. Planes de continuidad
www.ascendiarc.com
PLANES DE CONTINUIDAD DEL NEGOCIO. ¿OBLIGACIÓN O NECESIDAD?
¿EN QUÉ CONSISTE?
1. Continuidad de las operaciones
2. Contingencias de tecnologías de la información
3. Comunicación de la situación de crisis
4. Respuesta a incidentes
5. Recuperación ante desastres
¿SIGUE SIENDO NECESARIO UN PLAN DE CONTINUIDAD?
www.ascendiarc.com
¿Y TÚ COMO TE VES ANTE UN DESASTRE?
CAPACIDAD DE RESPUESTA (TIEMPO) (DEPENDEN DE REQUISITOS DE NEGOCIO).
INTERNET
APAGÓN
COPIAS DE RESPALDO
www.ascendiarc.com
¿Y SI TU EMPRESA HUBIERA ESTADO EN EL WINDSOR?
REDUCCIÓN DEL 90% DE LA ACTIVIDAD. PÉRDIDA INGENTE DE CLIENTES
www.ascendiarc.com
¿Y SI TU EMPRESA HUBIERA ESTADO EN EL WINDSOR?
ALGUNOS DATOS DE INTERÉS:
COMPAREX FUNCIONABA CON NORMALIDAD EN 24 HORAS
GARRIGUES TARDÓ MESES EN RECUPERAR LA NORMALIDAD
INVERSIÓN MEDIA EN PLANES DE CONTINUIDAD (ENTRE 1% Y EL 2%)
EL 20% DE LAS PYMES SUFRE UN DESASTRE DE ORIGEN TECNOLÓGICO GRAVE CADA 5 AÑOS
ESTUDIO INTERXIÓN 75% INTERRUPCIONES EN SU ACTIVIDAD DE LAS CUALES 43% CIERRA, 29% QUIEBRA EN 3 AÑOS Y 93% DESAPARECIÓ EN 5 AÑOS.
www.ascendiarc.com
¿Y SI TU EMPRESA HUBIERA ESTADO EN EL WINDSOR?
FACTORES CLAVE:
COMPRENDER LOS RIESGOS
IDENTIFICACIÓN DE ACTIVOS Y PROCESOS DE NEGOCIO CRÍTICOS. LOGRAR UNA CORRECTA PRIORIZACIÓN
EVALUAR EL IMPACTO QUE LAS INTERRUPCIONES TENDRIAN EN EL NEGOCIO
ASIGANCIÓN DE ROLES Y RESPONSABILIDADES DENTRO DEL PLAN DE CONTINUIDAD
PROBAR Y ACTUALIZAR REGULARMENTE.
www.ascendiarc.com
RELACIONES CON TERCEROS. ACUERDOS DE NIVEL DE SERVICIO
¿CONOCEMOS LOS RIESGOS?
¿EN QUÉ NOS BENEFICIA DOCUMENTARLO?
ORIENTADO A LA CALIDAD Y SEGURIDAD DE LOS SERVICIOS. UTILIDAD DE MEDIR.
www.ascendiarc.com
LOS RECURSOS HUMANOS COMO ACTIVO FUNDAMENTAL
Reducir los riesgos de errores humanos, robos, fraudes o mal uso de las instalaciones y
los servicios.
Asegurar que los usuarios son conscientes de las amenazas y riesgos en el ámbito de la
seguridad de la información, y que están preparados para sostener la política de
seguridad de la organización en el curso normal de su trabajo.
>antes del empleo, durante el empleo, y a la terminación o cambio de empleo.
>Implicaciones del factor humano en la seguridad de la información son muy elevadas.
>
Todo el personal debe conocer líneas generales de la política de seguridad corporativa Y
las implicaciones de su trabajo en el mantenimiento de la seguridad global.
>
Diferentes relaciones con los sistemas de información: operador, guardia de seguridad,
personal de servicios, etc.
> Procesos de notificación de incidencias claros, ágiles y conocidos por todos.
SEGURIDAD LIGADA AL PERSONAL
www.ascendiarc.com
EL CONTROL EMPRESARIAL EN LA ERA DE LAS TECNOLOGÍAS
¿QUÉ CONTROL PUEDE EJERCER EL EMPRESARIO SOBRE LOS TRABAJADORES?
RIESGOS: REVELACIONDAÑOSDESTRUCCIÓN
OPCIONES: VIDEOVIGILANCIACONTROLES DE ACCESOGPSINSPECCIONES DEL CORREO ELECTRÓNICOREVISIÓN NAVEGACION INTERNETPROGRAMAS ESPÍA
ALGUNOS SUPUESTOS REALES: CASINO DE LA TOJACOMEDOR DE EMPRESAREGISTRO ORDENADOR
www.ascendiarc.com
EL CONTROL EMPRESARIAL EN LA ERA DE LAS TECNOLOGÍAS
ESPECTATIVA DE INTIMIDAD DEL TRABAJADOR. ¿CÓMO DEBEMOS PROCEDER?
1. ESTABLECER REGLAS DEL JUEGO
2. INFORMAR AL TRABAJADOR
CONCEPTO DE INTIMIDAD GRADUABLE
BENEFICIOS DE DOCUMENTARLO
PROBLEMAS DE PRUEBA. HERRAMIENTAS PARA SOLUCIONARLO
www.ascendiarc.com
gracias por su colaboraciónwww.ascendiarc.com
Elisa Santolaya Domínguez
Consultor Senior