Cómo realizar una gestión eficaz en el

ámbito sanitario: ISO 27001/ISO 27799 e ISO

20000

“eSANIDAD 2012”

GRUPO AUDISEC: QUIÉNES SOMOS

AUDISEC Seguridad de la Información, una empresa dedicada a aportar seguridad a sus clientes en el

tratamiento de su activo más importante, sus datos, su información.

Experiencia en Consultoría, Implantación y auditoría de:

• Sistemas de Gestión de Seguridad de la Información (SGSI) Norma ISO 27001

(LA MITAD DE LA EMPRESAS CERTIFICADAS EN ESPAÑA)

•Sistemas de Gestión de Servicios TI Norma ISO 20000

(MÁS DE LA MITAD DE LA EMPRESAS CERTIFICADAS EN ESPAÑA)

•Planes de continuidad de Negocio BS 25999

•Sistemas de gestión para Protección de Infraestructuras Críticas

•Calidad de Software, CMMI, SPICE

•Sistemas de protección de datos de carácter personal (LOPD)

•Esquema Nacional de Seguridad (ENS)

Desarrollo de proyectos de I + D + i

Desarrollo de productos para esos servicios:

PANORAMA

Mayor dependencia de los sistemas = mayor vulnerabilidad

Seguridad

Calidad del servicio

Continuidad del servicio

Creciente importancia del tiempo en las respuestas

Concienciación ante incremento de catástrofes/acontecimientos

Concienciación ante incremento de ataques (Hackers,

Ciberterrorismo, espionaje, etc.)

Concienciación de efectos de los anteriores en las empresas

(Cuantiosos daños económicos, cuantiosos daños a la imagen

corporativa, perdida de clientes, responsabilidades civiles o

penales, etc.)

PANORAMA

Normativas nacionales e internacionales:

-LOPD

-ENS(esquema nacional de seguridad)

-LEY DE PROTECCIÓN DE INFRAESTRUCTURAS CRÍTICAS(LPIC)

Empresas exigen garantías a sus proveedores. También

administración pública. Cumplimiento en cascada (SLA´s)

Propia CONCIENCIACIÓN de las empresas/entidades

Desafío

¿Cuáles son los retos a superar?

GARANTIZAR LOS SERVICIOS Asegurar la confidencialidad e integridad de la información

Asegurar la disponibilidad del servicio

Cumplimiento exhaustivo de la LEGISLACIÓN/NORMATIVAS

Ofrecer niveles de gestión más altos = Calidad

Asegurar la transferencia del servicio de forma transparente

al cliente

Aportar una resolución de incidentes rápida, eficaz y

eficiente

Aportar continuidad a los servicios

Solución: Estándares Internacionales

Pensemos en un servicio que prestemos

Solución: Estándares Internacionales

Pensemos en un servicio que prestemos

Solución: Estándares Internacionales

GENERAR CONFIANZA = REDUCIR RIESGOS

¿Qué debemos exigir? ¿Qué debemos ofrecer?

Solución: Estándares Internacionales

¿Qué deberíamos hacer primero?

GARANTIZAR SEGURIDAD DEL SERVICIO y los ACTIVOS de los que

depende

ISO

27001

Solución: Estándares Internacionales I

SO

27001

Una vez asegurada la seguridad del servicio y sus activos….

Debemos establecer una correcta GESTIÓN DEL SERVICIO,

haciéndolo más EFICAZ y EFICIENTE.

ISO 20000

Solución: Estándares Internacionales I

SO

27001

ISO 20000

Ya tenemos el servicio asegurado y gestionado. ¿Qué nos falta?

Aportar CONTINUIDAD AL SERVICIO

Iso 22301/ Bs 25999

SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN – SGSI

(ISO27001)

Único estándar INTERNACIONAL relativo a SEGURIDAD DE LA INFORMACIÓN.

Objetivo: incrementar la seguridad INTERNA Y EXTERNAMENTE de los servicios de una compañía,

con medidas tanto TÉCNICAS como ORGANIZATIVAS.

Controles

•Control de acceso a los sistemas y aplicaciones

•Control de la red

• Seguridad Física

•Gestión de Incidencias

•Planes de continuidad

• Seguridad en los RRHH

•Cumplimiento legal

•Políticas de seguridad

•Gestión de activos

Análisis de Riesgos

• Inventario y valoración de activos.

•Análisis de riesgos TI activo por activo.

•Plan de tratamiento de riesgos para reducir o eliminar los riesgos que afectan a los activos.

SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL

ÁMBITO SANITARIO – (ISO27799)

Norma específica para la gestión de la seguridad de la información en el ámbito sanitario, es la

ISO 27799.

Orientación a las organizaciones sanitarias y a empresas relacionadas con el sector sobre la mejor

forma de gestionar la seguridad de la información con la implantación de los controles indicados

en la norma ISO 27002.

Principales amenazas consideradas dentro del ámbito sanitario:

Suplantación de identidad.

Gestión de proveedores de servicio.

Gestión de privilegios en las aplicaciones.

Incidencias de disponibilidad.

Robos o daños premeditados.

Errores humanos.

SISTEMAS DE GESTIÓN DE RIESGOS: ISO 31000

Análisis y Gestión de los riesgos que afectan a las organizaciones de todo tipo: Legales,

Operacionales, Mediambientales, Financieros, TI, etc.

Objetivo: Conocerlos, valorarlos y tratarlos. Existe un estándar internacional: ISO31000

ESQUEMA NACIONAL DE SEGURIDAD - ENS

Persigue el mismo objetivo que ISO 27001, pero ha sido creado única y exclusivamente para

ADMINISTRACIONES PÚBLICAS ESPAÑOLAS.

Objetivo: aumentar la confianza de los ciudadanos en la E-ADMINISTRACIÓN a través de la

articulación de medidas de seguridad, que como en el caso de ISO 27001, van desde las más

técnicas hasta las organizativas.

Ciudadanos

ENS-SEGURIDAD

e-Administración

SISTEMA DE GESTIÓN DE SERVICIOS- SGS

(ITIL - ISO 20000) :

Muy relacionada con ITIL, ISO 20000 también pretende que los servicios sean gestionados de

manera óptima para conseguir que estos sean más EFICACES Y EFICIENTES, partiendo de la base

de que los servicios son cada vez más tecnológicos y que es ahí donde hay que mejorar las tareas

de gestión.

PLANES DE CONTINUIDAD DE NEGOCIO:

BS25999 – ISO22301

Objetivo principal: asegurar que las organizaciones van a ser capaces de recuperarse en el menor

tiempo posible de un desastre, reanudando las actividades en un espacio de tiempo tan corto que

el impacto sobre el negocio sea mínimo.

Objetivo 2: asegurar la supervivencia de las organizaciones.

Continuidad Negocio

Continuidad tecnológica, alta

disponibilidad, sistemas redundados,

planificación de acciones en caso de

desastre.

Continuidad de RRHH y sedes, planificación de

nuevos puestos y lugares de trabajo,

comunicación interna y externa.

Gestión y pruebas de los planes

PROTECCIÓN DE INFRAESTRUCTURAS CRÍTICAS :

(UNIÓN EUROPEA)

Aúna los conceptos de ISO 27001, BS25999-ISO22301, ISO20000 y algunas particularidades para

este tipo de escenarios.

Objetivo: garantizar la seguridad y continuidad de las operaciones de aquellos operadores

(públicos o privados) considerados como críticos y que en caso de no operar podrían causar un

grave perjuicio económico, social, energético, sanitario, logístico, etc.

Infraestructuras críticas

Continuidad de Negocio

Análisis de Riesgos

Seguridad Física

SOLUCIONES DE ÉXITO EN LA IMPLANTACIÓN: GLOBAL SUITE

GlobalSUITE® Única herramienta que existe actualmente en el mercado mundial

que gestiona ÍNTEGRAMENTE la implantación y mantenimiento de cualquier tipo de

sistema de gestión

GlobalSUITE® permite gestionar de manera integrada o bien de manera separada

cualquier tipo de sistema de gestión:

ISO 27001, ISO 20000, ISO 31000, ISO22301/BS 25999, ENS, PIC, ISO 9001, ISO 14001,

OSHAS 18001, LOPD

GlobalSUITE ® : Solución integrada de Gestión

GlobalSUITE ® : Solución integrada de Gestión

GlobalSUITE®Es una aplicación que engloba múltiples soluciones para gestionar y mantener los Sistemas de Gestión en las organizaciones de manera integrada.

GlobalSGSI® Sistemas de gestión de seguridad de la información-SGSI (ISO/IEC 27001)

GlobalCONTINUITY® Planes de continuidad de negocio (BS25999/ISO 22301 )

Global20000® Sistema de gestión de Servicios de TI-SGSTI (ISO/IEC 20000)

GlobalSGPIC® Sistemas de Protección de Infraestructuras Críticas

GlobalRISK® Análisis y gestión de riesgos avanzados (ISO31000)

GlobalENS® Esquema Nacional de Seguridad. (ENS)

GlobalBSC® Cuadro de Mandos Integral (CMI-BSC)

GlobalCOMPLIANCE® Cumplimiento normativo

GlobalLOPD® Sistemas de protección de datos personales

GlobalSG® Sistemas de gestión de calidad-SGC (ISO 9001)

GlobalSG® Sistemas de gestión del medio ambiente-SGA (ISO 14001)

GlobalSG® Sistemas de gestión de Seguridad y Salud Laboral-SGSSL (OSHAS 18001)

Etc.

GlobalSUITE ® : Solución integrada de Gestión

HERRAMIENTAS INTEGRADAS:

Herramienta para la gestión y

mantenimiento de sistemas de calidad y

medioambiente (ISO 9001 e ISO 14001).

Herramienta para gestionar sistemas de

gestión de Seguridad de la Información

(ISO 27001)

Para empresas TI Global 20000 permite

la gestión de sistemas de gestión de sus

servicios TI ( ISO 20000)

Esta herramienta permite gestionar la

continuidad de negocio bajo la norma

ISO22301 / BS25999.

GlobalSUITE ® : Solución integrada de Gestión

HERRAMIENTAS INTEGRADAS:

ANÁLISIS Y GESTIÓN DE RIESGOS INTEGRAL aprovechando

el motor de AGR avanzado de GlobalSGSI, nos permite

analizar y gestionar riesgos, de cualquier tipo (Financieros,

legales, operacionales, etc.) con cualquier metodología

de análisis, y pudiendo personalizar los catálogos de

amenazas, vulnerabilidades, controles, etc.

GlobalSUITE ® : Solución integrada de Gestión

CUMPLIMIENTO LEGAL Y NORMATIVO

Gracias a los módulos GAP ANALYSIS y AUDITORÍA se

pueden cargar esquemas de leyes, normas o estándares

y realizar un análisis diferencial contra el esquema

deseado para que luego GlobalCOMPLIANCE genere

automáticamente el plan de adecuación..

BALANCED SCORECARD (BSC) Herramienta

para la implantación y mantenimiento diario de un

Cuadro de Mandos Integral (CMI) que además

ayuda al mantenimiento de cualquier sistema de

gestión (9001, 14001, 27001, etc.).

HERRAMIENTAS INTEGRADAS:

Dentro de la plataforma también se integran otras herramientas que permiten cumplir con la legislación

española y además SON OBLIGATORIOS en Europa y varios países LATAM(integrándose con el resto de

sistemas o de manera aislada)

GlobalSUITE ® : Solución integrada de Gestión

Herramienta para que empresas privadas y

administraciones públicas puedan

adecuarse a la Ley de Protección de Datos

Herramienta para la adecuación del

Esquema Nacional de Seguridad, obligatorio

para Administraciones Públicas

Herramienta para la Implantación de

Sistemas para la Gestión de la Protección de

Infraestructuras Críticas

GlobalSGSI .:. Análisis

Uno de los puntos más fuertes de GlobalSGSI lo encontramos en la pestaña de Análisis dónde la

empresa podrá calcular la importancia de sus activos mediante la realización de un inventario, y

posteriormente analizar todas las posibles amenazas a las que esté expuesto el activo gracias al

amplio catálogo de amenazas disponible en GlobalSGSI.

GlobalSGSI .:. Análisis .:. Gestión de Riesgos

En la pestaña de análisis también podrá

encontrar la posibilidad de realizar un

plan de tratamiento de riesgos a partir

de los riesgos obtenidos en la

realización del análisis. Esto consistirá

en la planificación de una serie de

acciones asociados a la implantación de

controles con el objetivo de disminuir

los riesgos.

Para ello, GlobalSGSI proporciona un

amplio catálogo de controles para cada

una de las amenazas a las que puedan

estar expuestos los activos de la

organización.

GlobalSGSI .:. Análisis .:. Históricos

Realice históricos de sus análisis de riesgos y los planes de tratamiento de riesgos de cada año gracias a la

opción de GlobalSGSI que permite crear un imagen del estado actual y que sirva de histórico para ver la

evolución de los riesgos a lo largo del tiempo.

GlobalContinuity .:. Inicio .:. Definición de Actividades

GlobalCONTINUITY permite definir el árbol de servicios y procesos que serán objeto de los planes

de continuidad de negocio y definir sus grados de dependencia. Con ello pasaremos a definir el

alcance del proyecto.

GlobalContinuity .:. Análisis.:. BIAs

GlobalCONTINUITY permite realizar múltiples BIAs (configurables) sobre un mismo servicio y/o

proceso y poder consolidarlos en base a diferentes criterios para poder obtener un único BIA por

proceso. Además calcula de manera automática el máximo tiempo admisible de interrupción

(MTPD) y asiste a la hora de calcular el RTO y el RPO.

GlobalRISK .:. Mapas de Riesgos

GlobalRISK permite visualizar en formato “mapa de calor” o mapa de riesgos los riesgos obtenidos,

además de más visualizaciones adicionales.

GlobalBSC

GlobalBSC provee evaluación automática de los objetivos en base a los parámetros y condiciones

que hayamos marcado.

CONCLUSIONES

CONCLUSIONES

ESTÁNDARES

HERRAMIENTAS

AudiSec, Seguridad de la Información S.L.: EQUIPO

Gracias!

Q&A MANUEL VASALLO REBOREDA

Director de Desarrollo de Negocio de Audisec

mvasallo@audisec.es

Más información

Madrid |Barcelona | Ciudad Real |Bogotá | México DF

info@audisec.es www.audisec.es 902 056 203