Upload
hoangthuy
View
213
Download
0
Embed Size (px)
Citation preview
PLANES DE SEGURIDAD PARA LA EMPRESA
1º JORNADA DE DIVULGACIÓNCÁTEDRA DE RIESGOS EN SISTEMAS DE
INFORMACIÓN2ª EDICIÓN
24 abril 2008
Creación e Implantación de un Plan de Seguridad y el Valor Agregado para el Negocio
2
INDICE
1. Planes de Seguridada) Definiciónb) Objetivo de un plan de seguridadc) Elementos de un plan de seguridadd) Fasese) Destinatariosf) Ventajas y beneficios
2. Contexto3. Oferta de planes de seguridad4. Niveles de penetración
a) Españab) Europac) América Latina
5. Iniciativas
3
UNE 71501:Tecnología de la información. Guía para la gestión de la seguridad TI. Parte 2: Gestión y planificación de seguridad TI
Magerit V.2 2005
El plan de seguridad TI es un documento en el que se definen las acciones coordinadas que hay que llevar a cabo para implantar la política de seguridad de un sistema de TI. Este plan debe contener las acciones que deben realizarse a corto, medio y largo plazo; los costes asociados en términos de inversiones, costes operativos, carga de trabajo, etc., y un calendario de implantación.
Definición
Conjunto de programas de seguridad que permiten materializar lasdecisiones de gestión de riesgos.
4
Objetivo de un plan de seguridad
Examinar los niveles de seguridad existentes y el objetivo a alcanzar
Determinar las prioridades y evaluar los recursos necesarios
Planificar la toma de medidas para mejorar los niveles de
seguridad detectados y controlar la eficacia de las mismas
5
Elementos de un plan de seguridad 1/2
Un diseño y arquitectura global de seguridad
Una breve descripción del sistema de TI para asegurar la
consistencia con los objetivos de seguridad de la organización
Una identificación de las salvaguardas en respuesta a los riegos
evaluados
Una valoración del nivel actual de confianza en las salvaguardas
Una visión general de la valoración de los riesgos residuales en el
contexto del sistema
UNE 71501
6
Elementos de un plan de seguridad 2/2
La identificación y definición de acciones con su prioridad respectiva
con objeto de implantar salvaguardas
Un plan de trabajo detallado para la implantación de salvaguardas,
incluyendo prioridades, presupuesto y calendarios
Actividades de control del proyecto incluyendo, compromiso de los
recursos y definición de los procedimientos para su seguimiento.
La concienciación en la seguridad y los requisitos de formación
Los requisitos para el desarrollo de los procedimientos
UNE 71501
7
Fases de un plan de seguridad
Análisis de la
situación
Objetivos
Estrategias
Planes
Acciones
Control
¿Qué está sucediendo? (Datos)
¿Qué debe suceder? (Resultados)
¿Qué hay que hacer para que
suceda? (Enfoque)
¿De qué forma debe suceder?
(Actividades)
Hacer que suceda (Dirección)
Cómo garantizar que suceda
(Medidas)
8
Destinatarios
Dirigido a empresas que tengan información sensible y sistemas de información basados en redes de equipos informáticos, cuya disponibilidad sea crítica para el desarrollo del negocio.
Empresas que han realizado una gestión de riesgos y quieren poner en marcha la las medidas de seguridad necesarias para contrarrestar los riesgos detectados.
Empresas que quieran hacer efectivas sus políticas de seguridad con planes concretos.
9
Ventajas y Beneficios
Optimizar de recursos TI
Aprovechar de oportunidades
Evitar y reducir riesgos
Mejora de imagen (generar confianza)
Aplicar una mentalidad anticipatoria
Cumplimiento legislativo
Mejora de la competitividad
10
Contexto
Buen Gobierno TIC: los Planes de Seguridad se convierten en herramientas para ejecutar estrategias que generen confianza en accionistas, empleados, actores económicos y en la sociedad en general
Gestión de la Seguridad e ISO 27000: La gestión de la seguridad no se concibe sin el establecimiento y mantenimiento de Planes de Seguridad adaptados al estilo, tamaño y estructura de la organización. Son los elementos claves que conducen la estrategia de seguridad y las políticas de seguridad.
Gestión de Riesgos: es el elemento imprescindible y básico que debe formar parte de cualquier estrategia de seguridad.
11
Oferta de Planes de seguridad
Empresas dedicadas a la
consultoría y asesoría
empresarial dentro del ámbito de
la seguridad de los sistemas de
información en áreas como
planes de seguridad, planes de
contingencia, planes de
continuidad de negocio, gestión
de riesgos, LOPD, etc.
CONSUTORAS DE NEGOCIO CONSUTORAS TECNICO-OPERATIVAS
Empresas que cuentan con
servicios de asesoramiento
dedicados específicamente a
temas tecnológicos de
seguridad, en áreas como
implantación de infraestructuras,
auditorías técnicas, test de
vulnerabilidades, etc.
12
Oferta de Planes de seguridad
Catálogo de Proveedores y Soluciones
Catalogación de todos los actores del mercado, datos de proveedor.
Catalogación de los productos que ofrecen, datos de producto.
Catalogación de los servicios que ofrecen, datos de servicio.
13
Oferta de Planes de seguridad
¿Dónde encontrarlo?
Accediendo a: http://demostrador.inteco.es
Entrando a continuación en la sección del catálogo.
¿Cómo formar parte del Catálogo?
Contactando en: [email protected]
Solicitando la adhesión al Catálogo, si es proveedor de seguridad TIC.
14
Niveles de penetración - España
Fuente: Estudio sobre incidencias y necesidades de seguridad en las pequeñas y medianas empresas españolas, 2007, Observatorio de la seguridad de la información de INTECO
Uno de los aspectos clave que diferencian la situación de la seguridad entre la pequeña y la
gran empresa es el cumplimiento normativo. En este gráfico se compara el grado de
cumplimiento de ambos tipos de empresa mediante la realización de las auditorías de seguridad
requeridas por la legislación
15
Niveles de penetración - España
Fuente: Estudio sobre incidencias y necesidades de seguridad en las pequeñas y medianas empresas españolas, 2007, Observatorio de la seguridad de la información de INTECO
En la gran empresa se han definido políticas de protección de la información en más del 80 % de los casos. En cambio en la PYME el máximo superior se corresponde con la política sobre cómo proteger las comunicaciones donde apenas se sitúa ligeramente por encima del 40%
16
Niveles de penetración - España
Fuente: Estudio sobre incidencias y necesidades de seguridad en las pequeñas y medianas empresas españolas, 2007, Observatorio de la seguridad de la información de INTECO
Los programas de seguridad IT, gestión de riesgo y continuidad de negocio y certificación y acreditación se ven como servicios de mayor utilidad para la gran empresa y para la AAPP. No obstante, una adaptación de estos servicios a la PYME en función de sus necesidades específicas, también es una necesaria su implantación
17
Niveles de penetración - España
Fuente: Estudio sobre incidencias y necesidades de seguridad en las pequeñas y medianas empresas españolas, 2007, Observatorio de la seguridad de la información de INTECO
La demanda de auditoría y diagnóstico de seguridad (revisiones periódicas de la seguridad de los ordenadores de la empresa), se considera muy necesario 88,7% junto con el asesoramiento legal para el cumplimiento de la LOPD y los servicios de prevención, mantenimiento y resolución de incidentes de seguridad.
18
Niveles de penetración - Europa
Las pymes españolas son las más preocupadas por la seguridad (61%) sólo superadas por las finlandesas (68%).
Reino Unido (56%) y Alemania (50%) siguen a España, mientras que en el extremo opuesto se colocan las pymes de Austria con un 25%.
En general las pymes europeas mantienen una actitud positiva frente a la seguridad informática (un 93% de las europeas y un 95% de las españolas).
Entre las pymes con problemas a la hora de implantar un sistema de seguridad, el 53% lo achaca a la complejidad que puede suponer la implantación, el 27% alega no estar informado, y el 7% responde que la implantación consume muchos recursos o que es muy cara.
En los dos últimos años se observa un ligero incremento del gasto (un 80% de las pymes europeas realizaron algún tipo de gasto en esta área).
Alrededor del 50% gastaron menos de 500 € anuales. En el tramo superior, más de 500 € anuales, la media se sitúa en un 22%.
Penetración entre las pymes europeas
Fuente: Primer Informe Europeo de Seguridad Informática en Pymes, realizado por FUNDETEC en colaboración con PANDA, año 2007.
19
Niveles de penetración – América Latina
El 80% de la PYME en la región señaló que la falta de presupuesto y los retos de recursos de sus empresas, además de la falta de una mayor formación a sus empleados, son los principales obstáculos para la implementación de soluciones integrales de seguridad
Los empleados del segmento PYME son conscientes de la necesidad de asegurar la información: Brasil (100%), Méjico (82%), Colombia (76%), Argentina (71%), Chile (62%).
Se revela así mismo, falta de conocimiento sobre la amplia gama de amenazas actuales a las que están expuestas las PYMES y las tecnologías disponibles
En promedio, las PYMES de la región invierten 1.070 $ en soluciones de seguridad.
La inversión en soluciones de almacenamiento representa un promedio de 1.020 $ en la región
En Argentina (35%), Colombia (43%) y México (26%) representan los porcentajes más altos de pérdida de información por errores humanos
Penetración entre las pymes de América Latina
Fuente: Encuesta de seguridad para PYMES en América Latina, realizada por Symantec, año 2007
20
Iniciativas
Jornadas de sensibilización a la PYME
Identificación de amenazas
Elaboración de contenidos
Impulso cultura de seguridad
Impulso del uso de tecnologías de
seguridad
Impulso implantación de SGSI en las
Pymes
FOTO (jornadas??)FOTO (jornadas??)