SGSI Para Pymes (1)

8/18/2019 SGSI Para Pymes (1)

1/33

Mejora de la Seguridad de laInformación para las Pymes Españolas

Noviembre 2010 1


2/33

Objetivos

Los objetivos de esta jornada de presentación a las Empresasparticipantes en PYMESecurity son:

• Presentar la organización del Programa

• Definir la metodología de trabajo

• Establecer las actividades que deberán realizar las PYMES

participantes• Exponer el esquema de financiación

2


3/33

Índice

•Objetivos

•Modelo operativo•Organización•Fases del proyecto•Calendario•Estructura económica

3


4/33

Objetivos del proyecto

La finalidad de PYMESecurity es promover entre las Pymes españolas un sistemaTIC seguro, como medio para consolidar y avanzar en la Sociedad de laInformación, aprovechando la experiencia atesorada en la primera y segundaedición de PYMESECURITY.

Este programa se diseña como un programa agrupado e integral, que facilita a laempresa participante todos los servicios necesarios para implantar un Sistema deGestión de Seguridad de la Información (en adelante, SGSI), de acuerdo con lanorma UNE ISO/IEC 27001:2007, y su posterior certificación.

Los objetivos secundarios, dirigidos a la consecución del principal, planteadospara este proyecto son:

• Sensibilizar, concienciar y comunicar a las PYMES acerca de las ventajas ybeneficios derivados de la mejora de la gestión de la seguridad

• Formar al personal de las empresas participantes en los procesos yherramientas establecidos durante la implantación de los controles derivadosde la norma de referencia, para crear una nueva competencia interna

4


5/33

Beneficios para la empresa

Mejora la seguridad de los sistemas de informaciónempresariales (Confidencialidad, Integridad y

Disponibilidad de la Información).

La implantación y certificación de un SGSI basado en

la norma UNE EN/ISO 27001:2007 aporta ventajas dereconocimiento de sus clientes y partners.

La norma de buenas prácticas UNE EN/ISO 27002:2009explica los controles aplicables al SGSI, entre ellos,

cumplir con la legislación aplicable: LOPD, LSSI,

propiedad intelectual, etc.

Preparación ante incidentes de gravedad que puedanparar el negocio.

5


6/33

Modelo operativo

El modelo operativo del Programa, para lograr el éxito de la consecución de losobjetivos de PYMESECURITY, se fundamenta en las premisas siguientes:

Estandarización y simplificación de procesos y productos a generar

Metodología unificada de implantación de un SGSI

Tipificación de empresas y controles a implantar

Dirección y coordinación centralizada

Herramientas comunes de gestión del proyecto

Seguimiento y control de plazos, logros y presupuesto

Soporte continuo a las consultoras de implantación

Alineación con requisitos de certificación de la entidad certificadora

6


7/33

Modelo operativo

Dirección

Supervisión y

seguimiento

Documentaciónadministrativa

Justificacióneconómica

Coordinacióncon

asociacionesparticipantes

OficinaTécnica

Herramienta

Formación agrupada

Coordinacióncertificaciones

Control y reporting

Seguimiento yresolución deincidencias

Control desatisfacción

Auditorias

Coordinación conconsultores

Consultoras

Formaciónespecífica

Consultoría deimplantación

Incidencias

Asistencia a lacertificación

PYMES

Implantación SGSI

Incidencias

Certificación

Certificadora

Coordinación

Auditoría

7


8/33

Organización

La organización de PYMESURITY seguirá un modelo de gestión cuya dirección ycoordinación esta encomendada a ETICOM, que dispondrá de una Oficina deProyecto que se encargará de la gestión de todos los aspectos técnicos delproyecto

La Oficina de Proyecto desempeñará las funciones siguientes:

Dirección Técnica del proyecto, asegurando la estandarización yhomogeneidad de todos los procesos y productos de la implantación del SGSIen cada una de las PYMES participantes

Centro de Atención a Usuarios, apoyando a las consultoras colaboradoras enel proyecto en la planificación y control de sus tareas, así como a las PYMESparticipantes en la resolución de cualquier incidencia

8


9/33

Oficina Técnica

Dirección Técnica

Estandarización de procesos y productos de implantación del SGSI

Administración de la herramienta de planificación y gestión del proyecto

Establecimiento Plan actuación y líneas de trabajo a desarrollar

Coordinación con la empresa Consultora y la Entidad de Certificación

Aseguramiento de la calidad de los productos y del servicio a participantes

Formación agrupada

Auditorías

Centro de Atención a Usuarios

Apoyo a los equipos de consultores del proyecto ante eventualidades

Seguimiento de incidencias

Atención a la Web del proyecto

Línea 900

9


10/33

Oficina Técnica

Las siguientes herramientas son las utilizadas en el proyecto:

• Se utilizará la herramienta AGGIL para lagestión del proyecto, registro de incidencias y

apoyo en la implantación en cada una de lasempresas participantes. La herramienta estarádisponible vía Web para la Oficina Técnica delproyecto, consultora y PYMES participantes.

HerramientaAGGIL

• Se utilizara como herramienta para determinarel nivel de satisfacción y el nivel de servicioque se este brindando a las PYMES de maneraperiódica.

Satisfaccióndel cliente

10


11/33

Fases

Lanzamientodel programa

Evaluacióninicial

ImplantaciónSGSI

ValidaciónSGSI

Certificación

Formación inicial agrupada a PYMES participantes

Criterios y estándares para formación de PYMES

Puesta en operación herramientas de gestión de proyecto y deincidencias

11


12/33

12

Fases

Análisis de

vulnerabilidades

técnicas

Análisis de

Riesgos

Plan de

tratamiento

de Riesgos

Implantación

SGSI y

controles

Cumplimiento de

la LOPD

Auditoria

y Certificación

Software de

gestión

Apoyo del software AGGIL


13/33

Fases


Evaluación inicial ImplantaciónSGSIValidación

SGSICertificación

La consultora evaluará el estado actual de la seguridad de lainformación de las empresas.

Se constituirá el Comité de Seguridad de la Información. Formación inicial agrupada

Realización del Análisis de Riesgos. Establecimiento y aprobación del Plan de Seguridad de laInformación.

Aprobación del Plan de Formación del Personal. Aprobación de la Política de Seguridad.

13


14/33

Evaluación inicial y plan de seguridad

En esta fase se realizarán las siguientes actividades:

– Establecimiento del alcance del sistema.

– Análisis diferencial del estado actual de la empresa respecto a las norma de referencia.

14


15/33


Se formalizará el comité de seguridad de la PYME, generando un documento en el que sedesarrollen, al menos, los siguientes puntos:

Integrantes y periodicidad de reunión del comité

Funciones del comité

Funciones y perfil de los roles de la empresa que tengan algún tipo de responsabilidad con laseguridad. Al menos se deben definir para el Responsable del SGSI y para el auditor interno.

Se establecerá un Plan Director de Seguridad para la PYME que parte de la situación inicial identificadaen el análisis diferencial y desarrolla las actividades a realizar conforme a la implantación del SGSI.

En él se detallarán todas las actividades que conllevarán a la implantación ycertificación del sistema, indicando los recursos, responsabilidades y tiempos para cada fasedel proyecto.

Se establecerá y aprobará la política de seguridad que regirá toda la normativa de seguridadde la PYME.

Se generará un documento que defina los objetivos y requisitos de seguridad de la empresa. Deberácontener una orientación general sobre las directrices y principios de actuación en relación con la seguridadde la información. Debe ser aprobado formalmente por la dirección.

15


16/33

Se establecerá un plan de formación, en materia de seguridad, con las siguientesactividades:

Formación específica para los empleados identificados de la empresa que vayan a estar implicados enla gestión del SGSI.

Sesiones de concienciación necesarias para difundir el SGSI a todos los empleados. Incluyendo lasobligaciones y funciones del personal con respecto a la política de seguridad establecida.

Formación técnica para los responsables de la implantación y mantenimiento de controles.

Se realizará un completo análisis de riesgos que incluya:

Documento con la metodología del análisis. Debe incluir los criterios de valoración que se han utilizadoa lo largo de todo el análisis, así como los criterios para la aceptación del riesgo.

Identificación y valoración de todos los activos relevantes que participen en el alcance definido.

Identificación de amenazas, vulnerabilidades e impactos que afectan a los activos identificados.

Cálculo de los valores de riesgo de la entidad. Debe calcularse el riesgo intrínseco (sin controlesaplicados) y el riesgo efectivo (considerando los controles que tenga implantados la empresa en elmomento del análisis).

Establecimiento del nivel de riesgo asumible.

16



17/33

Para gestionar los riesgos no asumibles obtenidos se realizará una selección decontroles de la norma ISO/IEC 27002 y se establecerá un plan de tratamientocon el objetivo de mitigar los riesgos. Este plan debe contener los siguientespuntos:

Actividades a realizar

Recursos necesarios

Responsabilidades

Prioridades

Se elaborará la declaración de aplicabilidad que contenga para cada control de

la norma 27002, la siguiente información: Justificación de la aplicabilidad o no aplicabilidad del control.

Grado de implementación de los controles.

Trazabilidad de los controles con la documentación donde se desarrollen las actividadesrelacionadas con el control.

17



18/33

Productos

Los productos a generar en esta fase serán los siguientes:

1. Documento del Alcance del sistema.

2. Informe del análisis diferencial

3. Documento y actas del comité de seguridad

4. Plan Director de Seguridad

5. Política de seguridad de la información

6. Plan de formación

7. Metodología del análisis de riesgos

8. Informe del análisis de riesgos

9. Plan de tratamiento de riesgos

10. Declaración de aplicabilidad

18



19/33

La herramienta AGGIL como software de apoyo para el análisis de riesgos.

19



20/33

Fases

20


Evaluacióninicial

Implantación SGSI ValidaciónSGSI

Certificación

1. Implantación de los controles seleccionados.2. Despliegue del SGSI.3. Formación del personal.

4. Resolución de incidencias.


21/33

Implantación SGSI

Actividades

Durante esta fase las actividades a realizar son:

Implantación de los controles seleccionados de acuerdo con el plan para eltratamiento de riesgos establecido.

Impartición de formación a los empleados de las PYMES, tanto deconcienciación como específica a los gestores del SGSI o a los encargados delfuncionamiento de los controles a implantar.

Establecer un cuadro de mando de métricas e indicadores que sirvan paraevaluar la eficacia de los controles implantados.

21


22/33

Implantación SGSI

Productos


1. Procedimientos, instrucciones técnicas o manualesgenerados como consecuencia de la implantación delos controles planificados.

2. Formación específica de los empleados yconcienciación

3. Cuadro de mando de métricas e indicadores

22


23/33


24/33

Fases

24


Evaluacióninicial

ImplantaciónSGSI

ValidaciónSGSI Certificación

1. Seguimiento de la Implantación del SGSI:

• Validación de la estructura de Seguridad

• Validación de Políticas y Directivas de Seguridad

• Auditoría Interna

2. Gestión de incidencias

3. Revisión por Dirección del SGSI


25/33

Validación del SGSI

Actividades

Durante esta fase las actividades a realizar son:

Validación y aprobación de la estructura de seguridad creada y las normas yprocedimientos establecidos para los controles seleccionados.

Realización de la una auditoría interna, que revise la situación de la empresacon respecto a las normas de referencia.

La auditoría debe realizarse por un auditor independiente, que no hayaparticipado en la creación e implantación del SGSI.

Se documentará el procedimiento en el que se describa la metodología y loscriterios a seguir en la realización de la auditoría.

Se generará un informe que debe contener los siguientes puntos:

Actividades de revisión realizadas para los puntos de la norma UNE ISO/IEC 27001.

Pruebas de cumplimiento realizadas para cada control revisado de la normaISO/IEC 27002.

Desviaciones encontradas.

25


26/33


Actividades

Gestión de las acciones correctivas y de mejora.

Se generará un procedimiento que desarrolle la gestión de las no conformidades delsistema, así como de las acciones correctivas y preventivas que se realicen.

El registro de acciones correctoras debe contener los siguientes campos:

Descripción de la no conformidad con fecha de detección

Causa de la no conformidad

Descripción de la acción correctiva

Responsable de la implantación

Evidencias o registros de la implantación

Revisión/valoración de la acción implantada

Responsable y fecha de la verificación

Revisión del SGSI por Dirección.

Se documentará el procedimiento que desarrolle la revisión del sistema por parte deDirección. Es necesario generar evidencias de la realización de esta revisión, porejemplo: informes, actas, etc.

26


27/33


Productos


Procedimiento e informe de la auditoría internarealizada por un auditor independiente en laimplantación del SGSI de la empresa.

Procedimiento de gestión y registro de las noconformidades y acciones correctivas y preventivas.

Procedimiento y registro de la realización de larevisión por dirección.

27


28/33

Fases

28


Evaluacióninicial

ImplantaciónSGSI

ValidaciónSGSI

Certificación

1. Coordinación de Auditorías de Certificación (Externas)

2. Seguimiento Auditorias Externas

• Fase 1

• Fase 2

3. Plan de Acciones Correctivas4. Emisión de Certificados


29/33


30/33

Calendario

30

TAREAS

CALENDARIO

2010 2011

S O N D E F M A M J J A S O N D

FASE I. Lanzamiento

FASE II. Evaluación Inicial

FASE III. Implantación

SGSI

FASE IV. Seguimiento

Validación SGSI

FASE V. Certificación


31/33

Esfuerzo

Consultor:

• Soporte en la empresa y en remoto hasta la auditoría de certificación.

• Colaboración vía software AGGIL.

Empresa:

• Dedicación mínima de 1 persona al 15% durante la duración del proyecto.

• Compromiso de la dirección

• Conocimiento por parte de todo el equipo de la parte del SGSI que le afecta

31


32/33

Estructura económica

32

FECHA EMISIÓN FACTURA FECHA PAGO FACTURA CUANTÍA

FACTURAS 4.500,00

1º PAGO PARCIAL 1ª Quincena Enero 2011 2ª Quincena Enero 2011 2.500,00

2º PAGO PARCIAL 1ª Quincena Marzo 2011 2ª Quincena Marzo 2011 2.000,00

EL RESTO DE PAGOS SE FACTURARÁN A NOMBRE DE CONETIC, QUE COMO ENTIDADSOLICITANTE SUFRAGARÁ EL RESTO DE PAGOS CON LA SUBVENCIÓN DEL PROYECTO,

QUE ESTE AÑO SE CONCEDE, EXCLUSIVAMENTE, AL ORGANISMO SOLICITANTE

PYMESECURITY

- Presupuesto del proyecto= 14.580 €

- Cofinanciación de la PYME: 4.500 €


33/33

33

SGSI Para Pymes (1)

Documents