1 Lecciones aprendidas en la implantación del SGSI – Sistema de Gestión de la Seguridad de la...
-
Upload
basilia-terrones -
Category
Documents
-
view
8 -
download
3
Transcript of 1 Lecciones aprendidas en la implantación del SGSI – Sistema de Gestión de la Seguridad de la...
1
Lecciones aprendidas en la implantación del SGSI – Sistema de Gestión de la Seguridad de la Información
Palacio Europa 7 de Mayo de 2009
EJIE
EJIE es la empresa pública que ofrece servicios informáticos al Gobierno Vasco y a todas sus instituciones y organizaciones, facilitando, mediante la tecnología informática, la innovación del propio Gobierno y de los servicios que éste ofrece a los ciudadanos.
3
Misión
Contribuir mediante la prestación de servicios informáticos, a conseguir una Administración Pública Vasca, moderna y eficiente.
Objetivos Prestar servicios de manera eficiente y con calidad, cumpliendo plazos de respuesta y un nivel
"cero" de reclamaciones e incidencias. Prestar servicios competitivos en relación al sector, adecuando los servicios internos al ámbito
de actuación y asignando los recursos óptimos. Integrarse activamente con sus clientes en un entorno de transparencia, comunicación y con
objetivos comunes. Obtener una imagen corporativa de servicio eficiente, de calidad y de empresa en punta
tecnológica en el sector.
Organización
Zuzendaritza NagusiaDirección General
Kalitatea eta SegurtasunaCalidad y Seguridad
Proiektuak eta Laguntza TecnikoaProyectos y Asistencia Técnica
Sitemak eta TelekomunikazioakSistemas y Telecomunicaciones
EkoizpenaProducción
Administrazioa eta LangileakAdministración y Personal
MarketinMarketing
Áreas de actuación y servicios
Gestión de Infraestructuras: Sistemas de Información y Redes de Comunicación Albergue y Operación de Sistemas de Información Telecomunicaciones y Seguridad Instalación de Equipamiento Hardware y Software Mantenimiento Hardware y Software
Consultoría y Proyectos Consultoría y Desarrollo de Proyectos Software Implantación de Software y Aplicaciones Gestión de Proyectos Comunes
Soporte a Usuarios Centro de Atención a Usuarios (CAU) Seguridad y Acceso Usuario (SASU) Soporte Software Formación a Usuarios
Asistencia Técnica Desarrollo de Aplicaciones Mantenimiento Correctivo y Adaptativo
6
Algunos servicios de EJIE
Telecentros KZGunea: Formación al ciudadano y empresas en las TIC Tarjeta Sanitaria de usos ciudadanos (ONA) Sistema de gestión de expedientes PLATEA: Plataforma tecnológica base para servicios de administración
electrónica– Presencia en Internet– Teletramitación
Archivo digital para la gestión documental del Gobierno Vasco NORA: Gestión de localizaciones Sistema de pago seguro por internet para el ciudadano Sistema de gestión de Bibliotecas de Euskadi
7
La gestión de los riesgos – El corazón del SGSI
Un correcto enfoque respecto a la gestión de los riesgos no
asegura por sí mismoun buen resultado del SGSI, pero
evita malgastar unos recursos valiosísimos
No es la primera vez que EJIE se embarca en un proceso de
implantación de un SGSI, pero es la primera vez que lo ha certificado
según la ISO 27001
8
La gestión de los riesgos – Planificar
El alcance establece cuántos activos van a ser considerados en el SGSI, por lo que se puede establecer una relación al trabajo que viene después. ¿Buscamos el SGSI del GV o el SGSI de EJIE?
No es necesario inventar la rueda: La metodología MAGERIT desarrollada y actualizada permanentemente por el MAP es más que adecuada, y además es gratuita y fácilmente accesible
La gestión de los riesgos – Identificar y analizar
9
Frecuencia estimada
10
La gestión de los riesgos – Identificar y analizar
Según el nº de activos considerados será imposible o factible valorar el riesgo. Es necesario mantener las valoraciones de unas 25 amenazas por activo y de unos 25 controles por amenaza (100 activos implica mantener 62.500 valores)
Tampoco hay que tener miedo a tratar los activos agrupados, ya que el método nos obligará a disgregarlos cuando abordemos el nivel de riesgo correspondiente
De nuevo, no es necesario inventar la rueda: La metodología MAGERIT establece las relaciones por defecto entre activos, vulnerabilidades, amenazas y riesgos, y esta relación se mantiene permanentemente actualizada
11
La gestión de los riesgos – Dirección
No es bueno tratar todos los riesgos a la primera, es necesario dedicar los recursos disponibles a mitigar los mayores riesgos
Paulatinamente se reducirá el riesgo residual a medida que lanza anualmente cada Plan de Tratamiento de Riesgos
13%19%
59% 61%35%
39%
34% 35%
32%
25%
2% 2%
8%
14% 11%
3% 3%
12%
4% 3%2% 0%
75%
0%2% 2% 0%
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
Potencial 2006 2007 Jun 2008 Dic 2008
Despreciable Muy bajo Bajo Medio Alto Muy alto
12
La gestión de los riesgos – Tratamiento del riesgo sin mitigación
Conviene trabajar con los proveedores para asumir conjuntamente el riesgo o transferirlo convenientemente (política de seguridad para proveedores, SLAs, seguros …)
En aquellos riesgos que sea más caro mitigarlo que asumirlo (no olvidar el “coste de imagen”), podemos no hacer nada
Si tenemos la suerte de encontrar actividades que generan riesgo y no valor, aplicar la 1ª Ley del agujero
1ª Ley del agujero: Si quieres salir de un agujero, antes deja de cavar
13
La gestión de los riesgos – Mitigar
El SOA (Statement of aplicability o Declaración de aplicabilidad) establece qué controles son aplicables de los 133 de la norma
Antes de buscar excusas sobre porqué no es aplicable un control, conviene aplicar el control en función del riesgo obtenido (considerar mitigar, transferir, aceptar y evitar)
Implantar seguridad no es barato (normalmente no suele ser la opción más barata)
14
Conclusiones sobre la gestión de riesgos
Dedicar el tiempo suficiente a establecer un alcance del SGSI controlable
No inventar la rueda, antes consultar MAGERIT No ser detallistas en la identificación inicial de activos (100
está bien) e incrementar la granularidad a medida que sea necesario
Los riesgos deben ser tratados en sucesivos planes anuales en los cuales se irá mejorando el nivel de riesgo asumido
El tratamiento de los riesgos deberá ser adecuado al nivel de riesgo evaluado considerando siempre la posibilidad de transferir, aceptar y evitar el riesgo
Mitigar el riesgo suele ser una buena opción, pero también la más cara. Priorizar siempre en función del análisis del riesgo
15
Gracias por su atención
EJIE, S.A.
Avda. del Mediterráneo, 14
01010 Vitoria-Gasteiz
Teléfono: 945 017 300
Fax: 945 017 301
www.ejie.net