PLANES DE SEGURIDAD PARA LA EMPRESA

1º JORNADA DE DIVULGACIÓNCÁTEDRA DE RIESGOS EN SISTEMAS DE

INFORMACIÓN2ª EDICIÓN

24 abril 2008

Creación e Implantación de un Plan de Seguridad y el Valor Agregado para el Negocio

2

INDICE

1. Planes de Seguridada) Definiciónb) Objetivo de un plan de seguridadc) Elementos de un plan de seguridadd) Fasese) Destinatariosf) Ventajas y beneficios

2. Contexto3. Oferta de planes de seguridad4. Niveles de penetración

a) Españab) Europac) América Latina

5. Iniciativas

3

UNE 71501:Tecnología de la información. Guía para la gestión de la seguridad TI. Parte 2: Gestión y planificación de seguridad TI

Magerit V.2 2005

El plan de seguridad TI es un documento en el que se definen las acciones coordinadas que hay que llevar a cabo para implantar la política de seguridad de un sistema de TI. Este plan debe contener las acciones que deben realizarse a corto, medio y largo plazo; los costes asociados en términos de inversiones, costes operativos, carga de trabajo, etc., y un calendario de implantación.

Definición

Conjunto de programas de seguridad que permiten materializar lasdecisiones de gestión de riesgos.

4

Objetivo de un plan de seguridad

Examinar los niveles de seguridad existentes y el objetivo a alcanzar

Determinar las prioridades y evaluar los recursos necesarios

Planificar la toma de medidas para mejorar los niveles de

seguridad detectados y controlar la eficacia de las mismas

5

Elementos de un plan de seguridad 1/2

Un diseño y arquitectura global de seguridad

Una breve descripción del sistema de TI para asegurar la

consistencia con los objetivos de seguridad de la organización

Una identificación de las salvaguardas en respuesta a los riegos

evaluados

Una valoración del nivel actual de confianza en las salvaguardas

Una visión general de la valoración de los riesgos residuales en el

contexto del sistema

UNE 71501

6

Elementos de un plan de seguridad 2/2

La identificación y definición de acciones con su prioridad respectiva

con objeto de implantar salvaguardas

Un plan de trabajo detallado para la implantación de salvaguardas,

incluyendo prioridades, presupuesto y calendarios

Actividades de control del proyecto incluyendo, compromiso de los

recursos y definición de los procedimientos para su seguimiento.

La concienciación en la seguridad y los requisitos de formación

Los requisitos para el desarrollo de los procedimientos

UNE 71501

7

Fases de un plan de seguridad

Análisis de la

situación

Objetivos

Estrategias

Planes

Acciones

Control

¿Qué está sucediendo? (Datos)

¿Qué debe suceder? (Resultados)

¿Qué hay que hacer para que

suceda? (Enfoque)

¿De qué forma debe suceder?

(Actividades)

Hacer que suceda (Dirección)

Cómo garantizar que suceda

(Medidas)

8

Destinatarios

Dirigido a empresas que tengan información sensible y sistemas de información basados en redes de equipos informáticos, cuya disponibilidad sea crítica para el desarrollo del negocio.

Empresas que han realizado una gestión de riesgos y quieren poner en marcha la las medidas de seguridad necesarias para contrarrestar los riesgos detectados.

Empresas que quieran hacer efectivas sus políticas de seguridad con planes concretos.

9

Ventajas y Beneficios

Optimizar de recursos TI

Aprovechar de oportunidades

Evitar y reducir riesgos

Mejora de imagen (generar confianza)

Aplicar una mentalidad anticipatoria

Cumplimiento legislativo

Mejora de la competitividad

10

Contexto

Buen Gobierno TIC: los Planes de Seguridad se convierten en herramientas para ejecutar estrategias que generen confianza en accionistas, empleados, actores económicos y en la sociedad en general

Gestión de la Seguridad e ISO 27000: La gestión de la seguridad no se concibe sin el establecimiento y mantenimiento de Planes de Seguridad adaptados al estilo, tamaño y estructura de la organización. Son los elementos claves que conducen la estrategia de seguridad y las políticas de seguridad.

Gestión de Riesgos: es el elemento imprescindible y básico que debe formar parte de cualquier estrategia de seguridad.

11

Oferta de Planes de seguridad

Empresas dedicadas a la

consultoría y asesoría

empresarial dentro del ámbito de

la seguridad de los sistemas de

información en áreas como

planes de seguridad, planes de

contingencia, planes de

continuidad de negocio, gestión

de riesgos, LOPD, etc.

CONSUTORAS DE NEGOCIO CONSUTORAS TECNICO-OPERATIVAS

Empresas que cuentan con

servicios de asesoramiento

dedicados específicamente a

temas tecnológicos de

seguridad, en áreas como

implantación de infraestructuras,

auditorías técnicas, test de

vulnerabilidades, etc.

12

Oferta de Planes de seguridad

Catálogo de Proveedores y Soluciones

Catalogación de todos los actores del mercado, datos de proveedor.

Catalogación de los productos que ofrecen, datos de producto.

Catalogación de los servicios que ofrecen, datos de servicio.

13

Oferta de Planes de seguridad

¿Dónde encontrarlo?

Accediendo a: http://demostrador.inteco.es

Entrando a continuación en la sección del catálogo.

¿Cómo formar parte del Catálogo?

Contactando en: catalogo.demostrador@inteco.es

Solicitando la adhesión al Catálogo, si es proveedor de seguridad TIC.

14

Niveles de penetración - España

Fuente: Estudio sobre incidencias y necesidades de seguridad en las pequeñas y medianas empresas españolas, 2007, Observatorio de la seguridad de la información de INTECO

Uno de los aspectos clave que diferencian la situación de la seguridad entre la pequeña y la

gran empresa es el cumplimiento normativo. En este gráfico se compara el grado de

cumplimiento de ambos tipos de empresa mediante la realización de las auditorías de seguridad

requeridas por la legislación

15

Niveles de penetración - España

Fuente: Estudio sobre incidencias y necesidades de seguridad en las pequeñas y medianas empresas españolas, 2007, Observatorio de la seguridad de la información de INTECO

En la gran empresa se han definido políticas de protección de la información en más del 80 % de los casos. En cambio en la PYME el máximo superior se corresponde con la política sobre cómo proteger las comunicaciones donde apenas se sitúa ligeramente por encima del 40%

16

Niveles de penetración - España

Fuente: Estudio sobre incidencias y necesidades de seguridad en las pequeñas y medianas empresas españolas, 2007, Observatorio de la seguridad de la información de INTECO

Los programas de seguridad IT, gestión de riesgo y continuidad de negocio y certificación y acreditación se ven como servicios de mayor utilidad para la gran empresa y para la AAPP. No obstante, una adaptación de estos servicios a la PYME en función de sus necesidades específicas, también es una necesaria su implantación

17

Niveles de penetración - España

Fuente: Estudio sobre incidencias y necesidades de seguridad en las pequeñas y medianas empresas españolas, 2007, Observatorio de la seguridad de la información de INTECO

La demanda de auditoría y diagnóstico de seguridad (revisiones periódicas de la seguridad de los ordenadores de la empresa), se considera muy necesario 88,7% junto con el asesoramiento legal para el cumplimiento de la LOPD y los servicios de prevención, mantenimiento y resolución de incidentes de seguridad.

18

Niveles de penetración - Europa

Las pymes españolas son las más preocupadas por la seguridad (61%) sólo superadas por las finlandesas (68%).

Reino Unido (56%) y Alemania (50%) siguen a España, mientras que en el extremo opuesto se colocan las pymes de Austria con un 25%.

En general las pymes europeas mantienen una actitud positiva frente a la seguridad informática (un 93% de las europeas y un 95% de las españolas).

Entre las pymes con problemas a la hora de implantar un sistema de seguridad, el 53% lo achaca a la complejidad que puede suponer la implantación, el 27% alega no estar informado, y el 7% responde que la implantación consume muchos recursos o que es muy cara.

En los dos últimos años se observa un ligero incremento del gasto (un 80% de las pymes europeas realizaron algún tipo de gasto en esta área).

Alrededor del 50% gastaron menos de 500 € anuales. En el tramo superior, más de 500 € anuales, la media se sitúa en un 22%.

Penetración entre las pymes europeas

Fuente: Primer Informe Europeo de Seguridad Informática en Pymes, realizado por FUNDETEC en colaboración con PANDA, año 2007.

19

Niveles de penetración – América Latina

El 80% de la PYME en la región señaló que la falta de presupuesto y los retos de recursos de sus empresas, además de la falta de una mayor formación a sus empleados, son los principales obstáculos para la implementación de soluciones integrales de seguridad

Los empleados del segmento PYME son conscientes de la necesidad de asegurar la información: Brasil (100%), Méjico (82%), Colombia (76%), Argentina (71%), Chile (62%).

Se revela así mismo, falta de conocimiento sobre la amplia gama de amenazas actuales a las que están expuestas las PYMES y las tecnologías disponibles

En promedio, las PYMES de la región invierten 1.070 $ en soluciones de seguridad.

La inversión en soluciones de almacenamiento representa un promedio de 1.020 $ en la región

En Argentina (35%), Colombia (43%) y México (26%) representan los porcentajes más altos de pérdida de información por errores humanos

Penetración entre las pymes de América Latina

Fuente: Encuesta de seguridad para PYMES en América Latina, realizada por Symantec, año 2007

20

Iniciativas

Jornadas de sensibilización a la PYME

Identificación de amenazas

Elaboración de contenidos

Impulso cultura de seguridad

Impulso del uso de tecnologías de

seguridad

Impulso implantación de SGSI en las

Pymes

FOTO (jornadas??)FOTO (jornadas??)

21

Iniciativas

Fomento de la implantación de SGSI en PYMES

www.inteco.es