CÁTEDRA CRSI - crsi.ie.educrsi.ie.edu/files/documentacion/SGI-SGSI-PRE-055-CRSI-externalizac... · cÁtedra crsi – ie: quÉ, cuando, cÓmo y de qu

INFORMACIÓN NO CLASIFICADA

El presente documento ha sido clasificado como "Información No Clasificada" dentro del marco del Sistema de Gestión de la Seguridad de la Información (SGSI) de GMV-SGI. Dicha clasificación permite a su receptor la utilización y difusión de la información contenida en el documento con respeto a los derechos de propiedad intelectual de la fuente y referencia a la misma, y ello sin perjuicio del cumplimiento de la normativa sobre propiedad intelectual y sobre protección de datos de carácter personal.

GMV SOLUCIONES GLOBALES INTERNET S.A.

QUÉ, CÓMO, DE QUÉ Y CUANDO EXTERNALIZAR SEGURIDAD

CÁTEDRA CRSI – IE

CÓDIGO: SGI-SGSI-PRE-055FECHA: 04/12/2007VERSIÓN: 1CÓDIGO INTERNO: SGISA SGISA 40144/07 v1/07

© GMV, 2007 INFORMACIÓN NO CLASIFICADACÁTEDRA CRSI – IE: QUÉ, CUANDO, CÓMO Y DE QUÉEXTERNALIZAR SEGURIDAD Pág. 204/12/2007, Versión 1

SGI-SGSI-PRE-055

1. GMV

2. Introducción al Problema de la Gestión de Seguridad

3. Marco Conceptual de Desarrollo de Servicios

4. Modelos de Prestación

5. Gestión del Outsourcing de Seguridad

6. Propuestas de Servicios

7. Conclusiones

ÍNDICE DE CONTENIDOS




GMV




SGI-SGSI-PRE-055

n Grupo empresarial multinacional fundado en 1984

n De capital privado españoln Filiales en España, Portugal y

EEUUn Más de 800 empleados en todo el

mundon Origen vinculado al sector Espacio

y Defensan Actualmente operamos en

Aeronáutica, Espacio, Defensa, Seguridad, Transporte, Telecomunicaciones, y Tecnologías de la Información

GENERAL


SGI-SGSI-PRE-055

MISIÓN

DESARROLLO DE SOFTWARE

INTEGRACIONDE

SISTEMAS

ESTUDIOS E INGENIERÍA

HW Y SWTERCEROS

ANALISISY DISEÑO

SERVICIOSOPERACIÓN

MANTEN.

DESARROLLO DE SOFTWARE

DESARROLLO SW, HW

Trabajar en estrecha colaboración con nuestros clientes para apoyar sus procesos mediante soluciones tecnológicamente avanzadas, sistemas integrados y servicios especializados que satisfagan sus necesidades específicas y sobrepasen sus expectativas.

GMV da soporte al cliente a lo largo de todas las actividades del ciclo de vida del sistema.


SGI-SGSI-PRE-055

GMV EN EL MUNDOMADRID – OFICINAS CENTRALES

VALLADOLID

SEVILLA

BARCELONA

VALENCIA

ISLAS CANARIAS

EEUU

PORTUGALSKYSOFT PORTUGAL

n Filiales en España, Portugal y EEUUn Clientes en cinco continentesn Personal permanente en 7 países


SGI-SGSI-PRE-055

GMV. CIFRAS: CRECIMIENTO SÓLIDO

El reflejo de un grupo multinacional en sólido crecimiento y presencia diversificada en varios sectores

Facturación M€

0

10

20

30

40

50

60

70

80

2001 2002 2003 2004 2005 2006 2007(*)

Personal

0

100

200

300

400

500

600

700

800

900

2002 2003 2004 2005 2006 2007(*)


SGI-SGSI-PRE-055

GMV SOLUCIONES GLOBALES INTERNET

GMV Soluciones Globales Internet presta desde 1995 servicios especializados en Telecomunicaciones y e-Business

Liderazgo en Seguridad:

n SGSI certificado ISO 27001:2005 en Madrid, Barcelona, Sevilla y Valladolid

n Certificación ISO 9001:2000 en Madrid (también ISO 14001:2004), Barcelona, Sevilla y Valladolid

Equipo de más de 200 profesionales, 90% titulados superiores.

Laboratorios propios de I+D

Madrid

Sevilla

BarcelonaValladolid

Valencia.




INTRODUCCIÓN AL PROBLEMA DE LA GESTIÓN DE LA SEGURIDADO




SGI-SGSI-PRE-055

GESTIÓN

INTRODUCCIÓN

SLA7x24x365

PROCESO

SOC

INFORMES

ADMIN

MONITOR

OUTSOURCINGOUTSOURCING

Seguridad? Necesidad?

Servicios?Proveedores?




MARCO CONCEPTUAL




SGI-SGSI-PRE-055

SEGURIDAD OUTSOURCING

MARCO CONCEPTUAL

GESTIÓN


SGI-SGSI-PRE-055

MARCO CONCEPTUAL:GESTIÓN DEL OUTSOURCING

Outsourcing de Servicios Como Solución para que una Organización ejecutar actividades Necesarias para su Negocio, pero NO CRÍTICAS.

#

Existe en el mercado más que suficiente literatura, propuestas y ofertas en la materia.

#

Outsourcing de Servicios está ya ensayado e implantado en numerosas organizaciones, en los servicios más diversos

• Incluyendo Outsourcing de Servicios IT

#

¿Qué lecciones pueden aprenderse de las experiencias previas de Outsourcing para actividades similares de outsourcing de Seguridad?

#


SGI-SGSI-PRE-055

MARCO CONCEPTUAL:GESTIÓN DE LA SEGURIDAD

Es el proceso para alcanzar y mantener niveles apropiados de confidencialidad, integridad y disponibilidad. (ITR 13335-1)

Ï

La gestión de la seguridad se formaliza mediante la definición de Sistemas de Gestión de la Seguridad de la Información (ISO 27001).

Ï

SGSI comprende la política, la estructura organizativa, los procedimientos, los procesos y los recursos necesarios para implantar la gestión de la seguridad de la información. El sistema proporciona mecanismos para la salvaguarda de los activos de la información y los sistemas que los procesan, en concordancia con las políticas de seguridad y planes estratégicos de la organización.

Ï

El SGSI es la herramienta de que dispone la dirección de las organizaciones para llevar a cabo las políticas y objetivos de seguridad.

Ï


SGI-SGSI-PRE-055

MARCO CONCEPTUALGESTIÓN DE LA SEGURIDAD

• Definición de la POLÍTICA de seguridad• Establecer ALCANCE del SGSI• ANÁLISIS de RIESGOS• SELECCIÓN de CONTROLES

• Implantación del plan de GESTIÓN DE RIESGOS• Implantación SGSI• Implantación de CONTROLES

• REVISIÓN interna del SGSI• Realización AUDITORÍAS internas del SGSI

• Adoptar Acciones CORRECTIVAS• Adoptar acciones PREVENTIVAS

PLAN

DOCHECK

ACT

SGSI

El mantenimiento de un SGSI exige una revisión periódica. La norma ISO 27001:2005 adopta el modelo PDCA (Plan Do Check Act).

`


SGI-SGSI-PRE-055

Implantación, desarrollo e integración

Consultoría Análisis y Diseño

Implantación Desarrollo

Auditoría

Planificación Estratégica de la Seguridad

Política de Seguridad

Análisis de Riesgos Activos Vulnerabilidades Amenazas

Definición de Alcance

Plan de Seguridad

MARCO CONCEPTUALOUTSOURCING DE SEGURIDAD

Explotación

Operación Seguimiento y Mejora Contínua

Monitorización Administración

Continuidad

Crisis y Contingencias Gestión de Incidencias

S&M Resolución de Incidencias




MODELOS DE PRESTACIÓN




SGI-SGSI-PRE-055

ESCENARIOS

Objetivo

Mod

elo

Recursos Resultado

Relacional

Transaccional

In-house

Buy-in

PreferredSupplier

Contract-out

PreferredContractor

Insourcing

Outsourcing

Proy

ecto

s

Serv

icio

s


SGI-SGSI-PRE-055

CRITERIOS DE ANÁLISIS

Proyecto vs. Servicio?

Análisis de Negocioè

Análisis Económico€

Análisis TecnológicoÀ


SGI-SGSI-PRE-055

Eliminate orMigrate

InsourceOutsourceBest source

Outsource

SERVICIOS

PROYECTO

ANÁLISIS DE NEGOCIO

Con

trib

ució

nde

act

ivid

adIT

a

AC

TIVI

DA

DES

de

NEG

OC

IO

Crítica

Útil

Contribución de Actividad IT a

POSICIONAMIENTO de la Compañía en su MERCADO

Commodity Diferenciadora


SGI-SGSI-PRE-055

Eliminate orMigrate

InsourceOutsourceBest source

Outsource

SERVICIOS

PROYECTO

ANÁLISIS ECONÓMICO

PER

SON

ALID

AD

de

los

GES

TOR

ES

Líderes

Seguidores

Capacidad de que la compañía encuentre

ECONOMÍAS de ESCALA

Volumen Reducido Diferenciadora


SGI-SGSI-PRE-055

OutsourceContract-out

OutSourcePref. Contrac

InsourceBest source

InsourceBuy-in

PROYECTOS

ANÁLISIS TECNOLÓGICO

CO

MPL

EJID

AD d

eIN

TEG

RA

CIÓ

N d

e la

TEC

NO

LOG

ÍAAlta

Baja

MADUREZ de la TECNOLOGÍA

Baja Alta

SERVICIOS


SGI-SGSI-PRE-055

Servicio Positioning Operations Result Economiesof Scale

ManagerialPractice Result Maturity Integration Result Decission

Políticas de Seguridad Differentiator Critical Insource Subcritical Mass Lagging Outsource Low High Preferred Suppplier InsourcePreferred Supplier

Definición de Alcance Differentiator Critical Insource Subcritical Mass Lagging Outsource Low High Preferred Suppplier InsourcePreferred Supplier

Análisis de Riesgos/Identificación de Activos Commodity Useful Outsource Subcritical Mass Lagging Outsource Low High Preferred Suppplier Outsource

Preferred ContractorAnálisis de Riesgos/

Identificación de Vulnerabilidades Commodity Critical OutsourceBest Source Subcritical Mass Lagging Outsource Low High Preferred Suppplier Outsource


Identificación de Amenazas Commodity Critical OutsourceBest Source Subcritical Mass Lagging Outsource Low High Preferred Suppplier Outsource

Preferred Contractor

Plan de Seguridad Commodity Critical OutsourceBest Source Subcritical Mass Lagging Outsource Low High Preferred Suppplier Outsource


Consultoría Commodity Critical OutsourceBest Source Subcritical Mass Leading Outsource

Best Source Low High Preferred Suppplier OutsourcePreferred Contractor

Análisis y Diseño Commodity Critical OutsourceBest Source Subcritical Mass Leading Outsource


Desarrollo Commodity Useful Outsource Subcritical Mass Leading OutsourceBest Source Low High Preferred Suppplier Outsource


Implantación Commodity Critical OutsourceBest Source Subcritical Mass Leading Outsource


Operación Commodity Critical OutsourceBest Source Critical Mass Leading Insource High High Preferred Contractor Outsource


Administración Commodity Critical OutsourceBest Source Critical Mass Leading Insource High High Preferred Contractor Outsource


Monitorización Commodity Useful Outsource Subcritical Mass Leading OutsourceBest Source High High Preferred Contractor Outsource


S&M Commodity Critical OutsourceBest Source Critical Mass Leading Insource High High Preferred Contractor Outsource


Gestión de Incidencias Commodity Critical OutsourceBest Source Critical Mass Leading Insource High High Preferred Contractor Outsource


Resolución de Incidencias Commodity Critical OutsourceBest Source Critical Mass Leading Insource High High Preferred Contractor Outsource


Auditoría Auditoría Commodity Critical OutsourceBest Source Subcritical Mass Leading Outsource

Best Source High High Preferred Contractor OutsourcePreferred Contractor

Technical

Implantación

Explotación

Continuidad

Planificación

Business Economic

MODELOS DE PRESTACIÓN (I)


SGI-SGSI-PRE-055



































Technical

Implantación

Explotación

Continuidad

Planificación

Business Economic

MODELOS DE PRESTACIÓN (II)


SGI-SGSI-PRE-055



































Technical

Implantación

Explotación

Continuidad

Planificación

Business Economic

MODELOS DE PRESTACIÓN (III)


SGI-SGSI-PRE-055



































Technical

Implantación

Explotación

Continuidad

Planificación

Business Economic

MODELOS DE PRESTACIÓN (IV)


SGI-SGSI-PRE-055



































Technical

Implantación

Explotación

Continuidad

Planificación

Business Economic

MODELOS DE PRESTACIÓN (V)


SGI-SGSI-PRE-055



































Technical

Implantación

Explotación

Continuidad

Planificación

Business Economic

MODELOS DE PRESTACIÓN (VI)


SGI-SGSI-PRE-055



































Technical

Implantación

Explotación

Continuidad

Planificación

Business Economic

MODELOS DE PRESTACIÓN (VII)


SGI-SGSI-PRE-055




Auditoría


Análisis de Riesgos

Activos Vulnerabilidades Amenazas

Plan de Seguridad

Explotación



Continuidad



SERVICIOS MÁS ADECUADOSPARA CADA MODELO



Proyecto

Servicio


SGI-SGSI-PRE-055




Auditoría




Plan de Seguridad

Explotación



Continuidad



SERVICIOS MÁS ADECUADOSPARA CADA PRESTADOR



Insourcing

Outsourcing




GESTIÓN DEL OUTSOURCING DE SEGURIDAD




SGI-SGSI-PRE-055

MODELO GENERAL DE GESTIÓN

Planificar

Implantar

Verificar

ActuarMantenimiento

ActuarIdeas/Mejoras

ActuarCarencias/Incidentes

Cic

lo d

e M

ejor

a

Cic

lo d

e M

ante

nim

ient

oCic

lo d

e R

esol

ució

n

OK

NOK


SGI-SGSI-PRE-055




Plan de Seguridad

SOPORTE DE OUTSOURCING DESEGURIDAD EN SLA

Auditoría

Explotación



Continuidad







Implantación DesarrolloSLA Básico

SLAs Definible


SGI-SGSI-PRE-055

REQUISITOS DE UN PROVEEDOR DE SERVICIOS GESTIONADOS

SGSI Implantado y Certificado

Proveedor tiene ACCESO, y debe proteger, la INFORMACIÓN de su CLIENTE

Certificación = mínimos de CONOCIMIENTOS

Certificación = Manejo como cliente del SLA Personal Proveedor Formado&

En tecnologías IMPLANTADAS

En tecnologías ALTERNATIVAS

En tecnologías COMPLEMENTARIASPortfolio Completo de Serviciosi

Aligerar GESTIÓN por el Cliente

SLA completos/combinados (aún complejos)

Inclusión de Servicios Especializados




UN POSIBLE PORTFOLIO DE SERVICIOS




SGI-SGSI-PRE-055

PLAN DO

CHECKACT

SGS Vulnerability

SGS Risk Analysis

SGS Admin

SGS S&M

SGS Monitor

SGS Control Delivery

SGS SGSI SGS Forensics

SGS Legal SGS Test

SGS Dashboard

EJEMPLO: PORTFOLIO DE SERVICIOS GESTIONADOS

SGS IRT

SGS CSO Office

SGS Asset




CONCLUSIONESCÁTEDRA CRSI – IE



SGI-SGSI-PRE-055

CONCLUSIONES

Gestión de la Seguridad de la Información, REALIZABLE mediante su externalización en un tercero

#

Existen criterios objetivos de IDENTIFICACIÓN de servicios EXTERNALIZABLES

#

PROVEEDOR debe OFRECER un portfolio de servicios COMPLETO, con servicios MESURABLES y mesurados

j

PROVEEDOR debe APOYAR e incluir en su portfolio la MEJORA de los servicios recibidos por el CLIENTE

j




Gracias

Mariano J. Benito Gómez

Director de Seguridad / CISO

[email protected]

www.gmv-sgi.es, www.gmv.com


Documents

CÁTEDRA CRSI - crsi.ie.educrsi.ie.edu/files/documentacion/SGI-SGSI-PRE-055-CRSI-externalizac... · cÁtedra crsi – ie: quÉ, cuando, cÓmo y de qu