agenda del evento

Desde la seguridad de la información hasta los Sistemas de Riesgo, Continuidad y Cumplimiento -

Integración SGSI - Governance & Compliance

Agenda del Evento

1. Audisec2. Seguridad de la

información3. ISO 27001, Riesgo,

Continuidad y Cumplimiento.

4. Conclusiones

Audisec: Quienes somos

AUDISEC Seguridad de la Información, como fabricante de GlobalSUITE, ha participado en multitud

de proyectos:

• Sistemas de Gestión de Seguridad de la Información (SGSI) ISO 27001(APROX. LA MITAD DE LA EMPRESAS CERTIFICADAS EN ESPAÑA)

• Sistemas de Gestión de Servicios TI Norma ISO 20000(APROX. LA MITAD DE LA EMPRESAS CERTIFICADAS EN ESPAÑA)

• Planes de continuidad de Negocio ISO 22301• Sistemas de gestión para Protección de Infraestructuras Críticas• Calidad de Software, CMMI, SPICE• Sistemas de protección de datos de carácter personal (LOPD)• Esquema Nacional de Seguridad (ENS)

Desarrollo de proyectos de I + D + i

Desarrollo de productos para esos servicios: GlobalSUITE

Audisec: Dónde estamos

AUDISEC Seguridad de la Información, fabricante de GlobalSUITE, tiene enfoque

internacional y actualmente se encuentra operando en los principales países de

Latinoamérica, Norteamérica y Europa.

GlobalSUITE: Solución integrada

GlobalSUITE® Única herramienta que existe actualmente en el mercado mundial que gestiona

ÍNTEGRAMENTE la implantación, mantenimiento, automatización y monitorización de cualquier

tipo de sistema de gestión

GlobalSUITE® permite gestionar de manera integrada o bien de manera separada cualquier tipo

de sistema de gestión

GlobalSuite: Solución integrada de Gestión

HERRAMIENTAS INTEGRADAS:

Herramienta para la gestión y

mantenimiento de sistemas de calidad y

medioambiente (ISO 9001 e ISO 14001)

Herramienta para gestionar sistemas de

gestión de Seguridad de la Información

(ISO 27001)

Para empresas TI Global 20000 permite la

gestión de sistemas de gestión de sus

servicios TI ( ISO 20000)

Esta herramienta permite gestionar la

continuidad de negocio bajo la norma

ISO22301 / BS25999

GlobalSuite: Solución integrada de Gestión

HERRAMIENTAS INTEGRADAS: ANÁLISIS Y GESTIÓN DE RIESGOS INTEGRAL

aprovechando el motor de AGR avanzado de

GlobalSGSI, nos permite analizar y gestionar riesgos,

de cualquier tipo (Financieros, legales, operacionales,

etc.) con cualquier metodología de análisis, y

pudiendo personalizar los catálogos de amenazas,

vulnerabilidades, controles, etc

CUMPLIMIENTO LEGAL Y NORMATIVO

Gracias a los módulos GAP ANALYSIS y AUDITORÍA se

pueden cargar esquemas de leyes, normas o

estándares y realizar un análisis diferencial contra el

esquema deseado para que luego GlobalCOMPLIANCE

genere automáticamente el plan de adecuación

BALANCED SCORECARD (BSC) Herramienta para la

implantación y mantenimiento diario de un Cuadro de

Mandos Integral (CMI) que además ayuda al

mantenimiento de cualquier sistema de gestión (9001,

14001, 27001, etc.)

GlobalSuite: Solución integrada de Gestión

HERRAMIENTAS INTEGRADAS:

Dentro de la plataforma también se integran otras herramientas que permiten cumplir con la

legislación española y además SON OBLIGATORIOS en Europa y varios países LATAM(integrándose

con el resto de sistemas o de manera aislada)

Herramienta para que empresas privadas y

administraciones públicas puedan adecuarse a la

Ley de Protección de Datos

Herramienta para la adecuación del Esquema

Nacional de Seguridad, obligatorio para

Administraciones Públicas

Herramienta para la Implantación de Sistemas para

la Gestión de la Protección de Infraestructuras

Críticas

Seguridad de la Información

LA SEGURIDAD DE LA INFORMACIÓN

SGSI, ISO 27001

Visión General

ISO 27001, Introducción

ISO 27001, el estándar internacional para la implantación de sistemas de gestión de seguridad de la información.

SGSI

ISO 27001, Introducción

22301

SGSIENS

PCI

27001

27031

PIC

25777

20000

Contexto legal y normativo

ISO 27001, Introducción

SGSI

Cuestiones Técnicas

Cuestiones Organizativas

Sistema de Gestión

ISO 27001, Introducción

ISO 27001• Todo tipo de organizaciones, siendo de especial interés para

aquellas en las que su información sea un activo vital para su negocio, con lo que tendrán que protegerlo.

• Todo tipo de sectores de actividad.• En cualquier país.• No sólo seguridad informática -> seguridad de la información.

ISO 27001, Introducción

Factores clave para implantar un sistema de gestión basado en ISO 27001

Hay que buscar alcances que sean ambiciosos pero que no deriven en un proyecto inmanejable.

Hay que marcarse un plazo realista. Hay que buscar herramientas que automaticen el proceso,

tanto de implantación como de mantenimiento posterior. La dirección debe estar comprometida con el proyecto, sobre

todo a la hora de asignar recursos.

ISO 27001, Introducción

Semejanzas entre ISO 27001, ISO 20000, ISO 22301, ISO 9001, ISO 14001, etc.

Implantan un sistema de gestión, con lo que ello implica: Control documental Control de registros. Alcance. Objetivos. Auditoría interna. Revisión por dirección Mejora continua Etc…

ISO 27001, Beneficios

ANTE EL MERCADO

ANTE LOS CLIENTES

GESTIÓN ORGANIZACIÓN

Afianza la posición de su organización

Nuevos clientes

Factor competitivo

Imagen de marca

Favorece el desarrollo

Puntúa en pliegos de las AAPP.

Seguridad

Servicios TI orientados hacia el negocio. Eficiencia y productividad

Conocimiento y depuración procesos internos

Mejor gestión de recursos y costes

Mejora continua

Continuidad Negocio

Mayor confianza del cliente

Aumenta satisfacción

Mejor imagen y comunicación

Confidencialidad, Integridad y

Disponibilidad de la información

Gestión de la continuidad de

negocio

ISO 27001 y Riesgo, Continuidad y Cumplimiento

ISO 27001, Seguridad, Continuidad, Riesgo y

Cumplimiento

ISO 27001 y Riesgo, Continuidad y Cumplimiento

Medidas de seguridad a implantar en ISO 27001

ISO 27001 y Riesgo, Continuidad y Cumplimiento

¿Por qué empezar a implantar ISO 27001?

No tiene sólo aspectos de seguridad:

Hay que hacer análisis de riesgos. Hay que establecer planes de continuidad de

negocio. Hay una parte de cumplimiento legal.

CONCLUSIÓN: es el mejor punto de partida.

ISO 27001 y Riesgo, Continuidad y Cumplimiento

ISO 27001• SeguridadISO 22301• Continuidad

ISO 31000• Gestión del Riesgo

TODAS LAS NORMAS• Cumplimiento

Camino a seguir

ISO 27001 y Riesgo, Continuidad y Cumplimiento

ISO 22301, el estándar internacional para la implantación de sistemas de gestión de continuidad de negocio.

SGCN

ISO 27001 y Riesgo, Continuidad y Cumplimiento

ISO 31000, el estándar internacional para gestión del riesgo

GR

ISO 27001 y Riesgo, Continuidad y Cumplimiento

INTEGRACIÓN DE LOS SISTEMAS

Desde Seguridad hacia Riesgo, Continuidad y Cumplimiento

ISO 27001 y Riesgo, Continuidad y Cumplimiento

Implantar un sistema de gestión integrado basado en las normas ISO 27001, ISO 31000 e ISO 22301.

Las tres normas tienen muchos requisitos en común. Hay que buscar alcances coincidentes. Hay que buscar herramientas que automaticen el proceso,

tanto de implantación como de mantenimiento posterior. Proponemos el uso de GlobalSUITE con los módulos GlobalSGSI, GlobalRISK y GlobalCONTINUITY.

El sistema debe estar integrado.

ISO 27001 y Riesgo, Continuidad y Cumplimiento

Semejanzas entre ISO 27001, ISO 31000 e ISO 22301.

Implantan un sistema de gestión, con lo que ello implica: Control documental Control de registros. Alcance. Objetivos. Auditoría interna. Revisión por dirección Mejora continua Etc…

ISO 27001 y Riesgo, Continuidad y Cumplimiento

Semejanzas entre ISO 27001 e ISO 22301.

Hay varios procesos que son similares: Análisis y gestión del riesgo. Continuidad y disponibilidad.Gestión de incidentes.Gestión de proveedores.El sistema de gestión completo, ciclo PHVA.Etc…

CON ISO 31000 SE PUEDE HACER AMBOS ANÁLISIS DE RIESGOS

ISO 27001 y Riesgo, Continuidad y Cumplimiento

ISO 27001

ISO 22301

ISO 31000

ISO 27001 y Riesgo, Continuidad y Cumplimiento

Ir creciendo de forma gradual en los distintos sistemas tiene múltiples beneficios:

Beneficios:• Ahorro de tiempo en la implantación y el mantenimiento del

sistema de gestión.• Ahorro de costos.• Sistema de gestión mucho más adaptado a la organización,

integrando la visión de seguridad y de continuidad.• Manejo más sencillo del sistema.

ISO 27001 y Riesgo, Continuidad y Cumplimiento

•Revisión del SG.•Cuadro de mando.•Auditoría interna.•Validación del SG.•Mediciones.•Revisión por Dirección.

•Gestión No Conformidades, acciones preventivas y correctivas.

•Implantación de Mejoras.

•Implementación de procesos.•Implementación de controles.•Planes de continuidad y pruebas.

•Capacitación y sensibilización.

•Planificación del proyecto.•Grupo de Trabajo.•Alcance.•Políticas.•Planes.•Análisis de Riesgos.•BIA

PLAN

DOCHECK

ACT

Conclusiones

CONCLUSIONES

Conclusiones

Múltiples beneficios al integrar sistemas:• Ahorro de tiempo y costos• Visión de seguridad , riesgos y de continuidad integrada.• Manejo más sencillo del sistema.

Es recomendable comenzar por ISO 27001 ya que incluye requisitos de riesgos, continuidad y cumplimiento.

Con ISO 31000 podemos hacer análisis de riesgos para el resto de normas

Hay que automatizar los sistemas con herramientas.

Conclusiones

GlobalSUITE permite desarrollar los proyectos con este enfoque

Gracias por su atención!

Q&A

MADRID CIUDAD REAL

www.globalsuite.es

BOGOTÁ MÉXICO DF