Desde la seguridad de la informacin hasta los

Desde la seguridad de la información hasta los Sistemas de Riesgo, Continuidad y Cumplimiento - Integración SGSI - Governance & Compliance

Agenda del Evento 1. Audisec 2. Seguridad de la información 3. ISO 27001, Continuidad Cumplimiento. 4. Conclusiones Riesgo, y

Audisec: Quienes somos AUDISEC Seguridad de la Información, como fabricante de Global. SUITE, ha participado en multitud de proyectos: • Sistemas de Gestión de Seguridad de la Información (SGSI) ISO 27001 (APROX. LA MITAD DE LA EMPRESAS CERTIFICADAS EN ESPAÑA) • Sistemas de Gestión de Servicios TI Norma ISO 20000 (APROX. LA MITAD DE LA EMPRESAS CERTIFICADAS EN ESPAÑA) • Planes de continuidad de Negocio ISO 22301 • Sistemas de gestión para Protección de Infraestructuras Críticas • Calidad de Software, CMMI, SPICE • Sistemas de protección de datos de carácter personal (LOPD) • Esquema Nacional de Seguridad (ENS) v Desarrollo de proyectos de I + D + i v Desarrollo de productos para esos servicios: Global. SUITE

Audisec: Dónde estamos AUDISEC Seguridad de la Información, fabricante de Global. SUITE, tiene enfoque internacional y actualmente se encuentra operando en los principales países de Latinoamérica, Norteamérica y Europa.

Global. SUITE: Solución integrada Global. SUITE® Única herramienta que existe actualmente en el mercado mundial que gestiona ÍNTEGRAMENTE la implantación, mantenimiento, automatización y monitorización de cualquier tipo de sistema de gestión Global. SUITE® permite gestionar de manera integrada o bien de manera separada cualquier tipo de sistema de gestión

Global. Suite: Solución integrada de Gestión HERRAMIENTAS INTEGRADAS: Herramienta para la gestión y mantenimiento de sistemas de calidad y medioambiente (ISO 9001 e ISO 14001) Herramienta para gestionar sistemas de gestión de Seguridad de la Información (ISO 27001) Para empresas TI Global 20000 permite la gestión de sistemas de gestión de sus servicios TI ( ISO 20000) Esta herramienta permite gestionar la continuidad de negocio bajo la norma ISO 22301 / BS 25999

Global. Suite: Solución integrada de Gestión HERRAMIENTAS INTEGRADAS: ANÁLISIS Y GESTIÓN DE RIESGOS INTEGRAL aprovechando el motor de AGR avanzado de Global. SGSI, nos permite analizar y gestionar riesgos, de cualquier tipo (Financieros, legales, operacionales, etc. ) con cualquier metodología de análisis, y pudiendo personalizar los catálogos de amenazas, vulnerabilidades, controles, etc CUMPLIMIENTO LEGAL Y NORMATIVO Gracias a los módulos GAP ANALYSIS y AUDITORÍA se pueden cargar esquemas de leyes, normas o estándares y realizar un análisis diferencial contra el esquema deseado para que luego Global. COMPLIANCE genere automáticamente el plan de adecuación BALANCED SCORECARD (BSC) Herramienta para la implantación y mantenimiento diario de un Cuadro de Mandos Integral (CMI) que además ayuda al mantenimiento de cualquier sistema de gestión (9001, 14001, 27001, etc. )

Global. Suite: Solución integrada de Gestión HERRAMIENTAS INTEGRADAS: Dentro de la plataforma también se integran otras herramientas que permiten cumplir con la legislación española y además SON OBLIGATORIOS en Europa y varios países LATAM(integrándose con el resto de sistemas o de manera aislada) Herramienta para que empresas privadas y administraciones públicas puedan adecuarse a la Ley de Protección de Datos Herramienta para la adecuación del Esquema Nacional de Seguridad, obligatorio para Administraciones Públicas Herramienta para la Implantación de Sistemas para la Gestión de la Protección de Infraestructuras Críticas

Seguridad de la Información LA SEGURIDAD DE LA INFORMACIÓN SGSI, ISO 27001 Visión General

ISO 27001, Introducción ISO 27001, el estándar internacional para la implantación de sistemas de gestión de seguridad de la información. SGSI

ISO 27001, Introducción Contexto legal y normativo 27001 20000 22301 SGSI ENS PIC PCI 25777 27031

ISO 27001, Introducción SGSI Cuestiones Organizativas Cuestiones Técnicas Sistema de Gestión

ISO 27001, Introducción ISO 27001 • Todo tipo de organizaciones, siendo de especial interés para aquellas en las que su información sea un activo vital para su negocio, con lo que tendrán que protegerlo. • Todo tipo de sectores de actividad. • En cualquier país. • No sólo seguridad informática -> seguridad de la información.

ISO 27001, Introducción Factores clave para implantar un sistema de gestión basado en ISO 27001 ü Hay que buscar alcances que sean ambiciosos pero que no deriven en un proyecto inmanejable. ü Hay que marcarse un plazo realista. ü Hay que buscar herramientas que automaticen el proceso, tanto de implantación como de mantenimiento posterior. ü La dirección debe estar comprometida con el proyecto, sobre todo a la hora de asignar recursos.

ISO 27001, Introducción Semejanzas entre ISO 27001, ISO 20000, ISO 22301, ISO 9001, ISO 14001, etc. üImplantan un sistema de gestión, con lo que ello implica: ü Control documental ü Control de registros. ü Alcance. ü Objetivos. ü Auditoría interna. ü Revisión por dirección ü Mejora continua ü Etc…

ISO 27001, Beneficios ANTE EL MERCADO Afianza la posición de su organización Nuevos clientes Factor competitivo Imagen de marca Favorece el desarrollo Puntúa en pliegos de las AAPP. ANTE LOS CLIENTES Mayor confianza del cliente Aumenta satisfacción Mejor imagen y comunicación Confidencialidad, Integridad y Disponibilidad de la información Gestión de la continuidad de negocio GESTIÓN ORGANIZACIÓN Seguridad Servicios TI orientados hacia el negocio. Eficiencia y productividad Conocimiento y depuración procesos internos Mejor gestión de recursos y costes Mejora continua Continuidad Negocio

ISO 27001 y Riesgo, Continuidad y Cumplimiento ISO 27001, Seguridad, Continuidad, Riesgo y Cumplimiento

ISO 27001 y Riesgo, Continuidad y Cumplimiento Medidas de seguridad a implantar en ISO 27001

ISO 27001 y Riesgo, Continuidad y Cumplimiento ¿Por qué empezar a implantar ISO 27001? No tiene sólo aspectos de seguridad: v Hay que hacer análisis de riesgos. v Hay que establecer planes de continuidad de negocio. v Hay una parte de cumplimiento legal. CONCLUSIÓN: es el mejor punto de partida.

ISO 27001 y Riesgo, Continuidad y Cumplimiento Camino a seguir TODAS LAS NORMAS ISO 27001 • Seguridad • Cumplimiento ISO 31000 ISO 22301 • Gestión del Riesgo • Continuidad

ISO 27001 y Riesgo, Continuidad y Cumplimiento ISO 22301, el estándar internacional para la implantación de sistemas de gestión de continuidad de negocio. SGCN

ISO 27001 y Riesgo, Continuidad y Cumplimiento ISO 31000, el estándar internacional para gestión del riesgo GR

ISO 27001 y Riesgo, Continuidad y Cumplimiento INTEGRACIÓN DE LOS SISTEMAS Desde Seguridad hacia Riesgo, Continuidad y Cumplimiento

ISO 27001 y Riesgo, Continuidad y Cumplimiento Implantar un sistema de gestión integrado basado en las normas ISO 27001, ISO 31000 e ISO 22301. ü Las tres normas tienen muchos requisitos en común. ü Hay que buscar alcances coincidentes. ü Hay que buscar herramientas que automaticen el proceso, tanto de implantación como de mantenimiento posterior. Proponemos el uso de Global. SUITE con los módulos Global. CONTINUITY. ü El sistema debe estar integrado. Global. SGSI, Global. RISK y

ISO 27001 y Riesgo, Continuidad y Cumplimiento Semejanzas entre ISO 27001, ISO 31000 e ISO 22301. üImplantan un sistema de gestión, con lo que ello implica: ü Control documental ü Control de registros. ü Alcance. ü Objetivos. ü Auditoría interna. ü Revisión por dirección ü Mejora continua ü Etc…

ISO 27001 y Riesgo, Continuidad y Cumplimiento Semejanzas entre ISO 27001 e ISO 22301. üHay varios procesos que son similares: ü Análisis y gestión del riesgo. ü Continuidad y disponibilidad. üGestión de incidentes. üGestión de proveedores. üEl sistema de gestión completo, ciclo PHVA. üEtc… CON ISO 31000 SE PUEDE HACER AMBOS ANÁLISIS DE RIESGOS

ISO 27001 y Riesgo, Continuidad y Cumplimiento ISO 27001 ISO 22301 ISO 31000

ISO 27001 y Riesgo, Continuidad y Cumplimiento Ir creciendo de forma gradual en los distintos sistemas tiene múltiples beneficios: Beneficios: • Ahorro de tiempo en la implantación y el mantenimiento del sistema de gestión. • Ahorro de costos. • Sistema de gestión mucho más adaptado a la organización, integrando la visión de seguridad y de continuidad. • Manejo más sencillo del sistema.

ISO 27001 y Riesgo, Continuidad y Cumplimiento • Planificación del proyecto. • Grupo de Trabajo. • Alcance. • Políticas. • Planes. • Análisis de Riesgos. • BIA • Gestión No Conformidades, acciones preventivas y correctivas. • Implantación de Mejoras. • Implementación de procesos. • Implementación de controles. • Planes de continuidad y pruebas. • Capacitación y sensibilización. PLAN DO ACT CHECK • Revisión del SG. • Cuadro de mando. • Auditoría interna. • Validación del SG. • Mediciones. • Revisión por Dirección.

Conclusiones CONCLUSIONES

Conclusiones ü Múltiples beneficios al integrar sistemas: • Ahorro de tiempo y costos • Visión de seguridad , riesgos y de continuidad integrada. • Manejo más sencillo del sistema. ü Es recomendable comenzar por ISO 27001 ya que incluye requisitos de riesgos, continuidad y cumplimiento. ü Con ISO 31000 podemos hacer análisis de riesgos para el resto de normas ü Hay que automatizar los sistemas con herramientas.

Conclusiones Global. SUITE permite desarrollar los proyectos con este enfoque

Gracias por su atención! Q&A

MADRID CIUDAD REAL BOGOTÁ www. globalsuite. es MÉXICO DF