2. Normalización de la Seguridad del Sistema de
Información y Requisitos Legales en materia de
Protección de Datos como elementos de valor
www.ascendiarc.com
3. ÍNDICE
1. SGSI. PRINCIPIO DE SEGURIDAD
2. LA DOCUMENTACION DE LA SEGURIDAD.
3. IMPLANTACIÓN DE UN PLAN DE SEGURIDAD.
4. PLANES DE CONTINUIDAD DEL NEGOCIO.¿OBLIGACIÓN O NECESIDAD?
5. RELACIONES CON TERCEROS. ACUERDOS DE NIVEL DE SERVICIO
6. LOS RECURSOS HUMANOS COMO ACTIVO FUNDAMENTAL
7. EL CONTROL EMPRESARIAL EN LA ERA DE LAS TECNOLOGÍAS
www.ascendiarc.com
4. SISTEMAS DE GESTIÓN DE SEGURIAD DE LA
INFORMACION. PRINCIPIO DE SEGURIDAD
CONCEPTO DE SEGURIDAD. UN CONCEPTO SUBJETIVO
OBJETIVANDO EL CONCEPTO DE SEGURIDAD
LOPD ISO/IEC 27001
RLOPD ISO/IEC 27002
www.ascendiarc.com
5. SISTEMAS DE GESTIÓN DE SEGURIAD DE LA
INFORMACION. PRINCIPIO DE SEGURIDAD
SEGURIDAD, UN ELEMENTO NECESARIO EN EL AVANCE
ANTES AHORA
www.ascendiarc.com
6. SISTEMAS DE GESTIÓN DE SEGURIAD DE LA
INFORMACION. PRINCIPIO DE SEGURIDAD
INFORMACIÓN COMO ACTIVO FUNDAMENTAL
www.ascendiarc.com
7. SISTEMAS DE GESTIÓN DE SEGURIAD DE LA
INFORMACION. PRINCIPIO DE SEGURIDAD
¿QUÉS UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI)?
SIMIL: ORQUESTA DE MÚSICA
gestionar = dirigir
¿eficientemente? = ¿suena bien?
conseguir los objetivos = alcanzar el éxito
La orquesta suena bien si todos:
Saben tocar bien
Pueden tocar bien
Quieren tocar bien
Se alcanza el éxito
www.ascendiarc.com
8. SISTEMAS DE GESTIÓN DE SEGURIAD DE LA
INFORMACION. PRINCIPIO DE SEGURIDAD
¿POR QUÉ AHORA?
www.ascendiarc.com
9. SISTEMAS DE GESTIÓN DE SEGURIAD DE LA
INFORMACION. PRINCIPIO DE SEGURIDAD
SEGURIDAD INFORMATICA VS SEGURIDAD DE LA INFORMACIÓN
SEGURIDAD INFORMATICA
NO GESTIONA
www.ascendiarc.com
10. SISTEMAS DE GESTIÓN DE SEGURIAD DE LA
INFORMACION. PRINCIPIO DE SEGURIDAD
SEGURIDAD INFORMATICA VS SEGURIDAD DE LA INFORMACIÓN
SEGURIDAD DE LA INFORMACION
Establece medidas encaminadas a proteger la información, independientemente del soporte
en que se encuentre, contra cualquier amenaza. De este modo, estaremos en condiciones
de asegurar la continuidad de la actividad de la entidad, minimizar el perjuicio que pudiera
causar y maximizar el rendimiento del capital invertido.
Se caracteriza por preservar las tres propiedades de la información:
> CONFIDENCIALIDAD
> INTEGRIDAD
> DISPONIBILIDAD
www.ascendiarc.com
11. SISTEMAS DE GESTIÓN DE SEGURIAD DE LA
INFORMACION. PRINCIPIO DE SEGURIDAD
CICLO DE MEJORA CONTINUA
www.ascendiarc.com
12. SISTEMAS DE GESTIÓN DE SEGURIAD DE LA
INFORMACION. PRINCIPIO DE SEGURIDAD
APROVECHEMOS PARA MEJORAR
UTILIDADES
INTERNA EXTERNA
1. Evitar interrupciones en la
1. Aumentar la competitividad
actividad
2. Descubrir fraudes externos
2. Descubrir fraudes de empleados
3. Evitar robos y destrozos
3. Aumentar la calidad del servicio al
4. …
evitar riesgos
4. ... www.ascendiarc.com
13. LA DOCUMENTACIÓN DE LA SEGURIDAD
¿POR QUÉ HAY QUE PROCEDIMENTAR?
NECESIDAD DE APUNTARLO TODO.
BENEFICIOS DE LA ESTANDARIZACION DE PROCESOS
www.ascendiarc.com
14. IMPLANTACION DE UN PLAN DE SEGURIDAD
¿HACIA DÓNDE NOS DIRIGIMOS?
1. Aspectos legales
2. Normas y procedimientos
3. Responsabilidades
4. Seguridad física
CONTENIDO DEL PLAN DE SEGURIDAD
5. Seguridad lógica
6. Comunicaciones
7. Software
8. Planes de continuidad www.ascendiarc.com
15. PLANES DE CONTINUIDAD DEL NEGOCIO. ¿OBLIGACIÓN
O NECESIDAD?
1. Continuidad de las operaciones
¿EN QUÉ CONSISTE? 2. Contingencias de tecnologías de la información
3. Comunicación de la situación de crisis
4. Respuesta a incidentes
5. Recuperación ante desastres
¿SIGUE SIENDO NECESARIO UN PLAN DE CONTINUIDAD?
www.ascendiarc.com
16. ¿Y TÚ COMO TE VES ANTE UN DESASTRE?
CAPACIDAD DE RESPUESTA (TIEMPO) (DEPENDEN DE
REQUISITOS DE NEGOCIO).
INTERNET
APAGÓN
COPIAS DE RESPALDO
www.ascendiarc.com
17. ¿Y SI TU EMPRESA HUBIERA ESTADO EN EL WINDSOR?
REDUCCIÓN DEL 90% DE LA ACTIVIDAD. PÉRDIDA INGENTE DE CLIENTES
www.ascendiarc.com
18. ¿Y SI TU EMPRESA HUBIERA ESTADO EN EL WINDSOR?
ALGUNOS DATOS DE INTERÉS:
COMPAREX FUNCIONABA CON NORMALIDAD EN 24 HORAS
GARRIGUES TARDÓ MESES EN RECUPERAR LA NORMALIDAD
INVERSIÓN MEDIA EN PLANES DE CONTINUIDAD (ENTRE 1% Y
EL 2%)
EL 20% DE LAS PYMES SUFRE UN DESASTRE DE ORIGEN
TECNOLÓGICO GRAVE CADA 5 AÑOS
ESTUDIO INTERXIÓN 75% INTERRUPCIONES EN SU ACTIVIDAD
DE LAS CUALES 43% CIERRA, 29% QUIEBRA EN 3 AÑOS Y
93% DESAPARECIÓ EN 5 AÑOS.
www.ascendiarc.com
19. ¿Y SI TU EMPRESA HUBIERA ESTADO EN EL WINDSOR?
FACTORES CLAVE:
COMPRENDER LOS RIESGOS
IDENTIFICACIÓN DE ACTIVOS Y PROCESOS DE NEGOCIO
CRÍTICOS. LOGRAR UNA CORRECTA PRIORIZACIÓN
EVALUAR EL IMPACTO QUE LAS INTERRUPCIONES
TENDRIAN EN EL NEGOCIO
ASIGANCIÓN DE ROLES Y RESPONSABILIDADES DENTRO
DEL PLAN DE CONTINUIDAD
PROBAR Y ACTUALIZAR REGULARMENTE.
www.ascendiarc.com
20. RELACIONES CON TERCEROS. ACUERDOS DE NIVEL DE
SERVICIO
¿CONOCEMOS LOS RIESGOS?
¿EN QUÉ NOS BENEFICIA DOCUMENTARLO?
ORIENTADO A LA CALIDAD Y SEGURIDAD DE LOS
SERVICIOS. UTILIDAD DE MEDIR.
www.ascendiarc.com
21. LOS RECURSOS HUMANOS COMO ACTIVO FUNDAMENTAL
SEGURIDAD LIGADA AL PERSONAL
Reducir los riesgos de errores humanos, robos, fraudes o mal uso de las instalaciones y
los servicios.
Asegurar que los usuarios son conscientes de las amenazas y riesgos en el ámbito de la
seguridad de la información, y que están preparados para sostener la política de
seguridad de la organización en el curso normal de su trabajo.
>antes del empleo, durante el empleo, y a la terminación o cambio de empleo.
>Implicaciones del factor humano en la seguridad de la información son muy elevadas.
> Todo el personal debe conocer líneas generales de la política de seguridad corporativa Y
las implicaciones de su trabajo en el mantenimiento de la seguridad global.
> Diferentes relaciones con los sistemas de información: operador, guardia de seguridad,
personal de servicios, etc.
> Procesos de notificación de incidencias claros, ágiles y conocidos por todos.
www.ascendiarc.com
22. EL CONTROL EMPRESARIAL EN LA ERA DE LAS
TECNOLOGÍAS
¿QUÉ CONTROL PUEDE EJERCER EL EMPRESARIO SOBRE LOS TRABAJADORES?
RIESGOS: REVELACION
DAÑOS
DESTRUCCIÓN
OPCIONES: VIDEOVIGILANCIA
CONTROLES DE ACCESO
GPS
INSPECCIONES DEL CORREO ELECTRÓNICO
REVISIÓN NAVEGACION INTERNET
PROGRAMAS ESPÍA
ALGUNOS SUPUESTOS REALES: CASINO DE LA TOJA
COMEDOR DE EMPRESA
REGISTRO ORDENADOR
www.ascendiarc.com
23. EL CONTROL EMPRESARIAL EN LA ERA DE LAS
TECNOLOGÍAS
ESPECTATIVA DE INTIMIDAD DEL TRABAJADOR. ¿CÓMO DEBEMOS PROCEDER?
1. ESTABLECER REGLAS DEL JUEGO
2. INFORMAR AL TRABAJADOR
CONCEPTO DE INTIMIDAD GRADUABLE
BENEFICIOS DE DOCUMENTARLO
PROBLEMAS DE PRUEBA. HERRAMIENTAS PARA SOLUCIONARLO
www.ascendiarc.com
24. gracias por su colaboración
www.ascendiarc.com
Elisa Santolaya Domínguez
Consultor Senior
esantolaya@ascendiarc.com
www.ascendiarc.com