escuela superior politÉcnica del litoral edcom - espol
DESCRIPTION
ESCUELA SUPERIOR POLITÉCNICA DEL LITORAL EDCOM - ESPOL. Luis Cepeda Fernández Jhonny Plúas Ronquillo Byron Zamora Zamora. Escuela de Diseño y Comunicación EDCOM. Sistemas de Gestión de Seguridad de la Información. ISO 27001 Gestión de la Continuidad del Negocio. INTRODUCCIÓN. - PowerPoint PPT PresentationTRANSCRIPT
ESCUELA SUPERIOR POLITÉCNICA DEL LITORALEDCOM - ESPOL
Escuela de Diseño y ComunicaciónEscuela de Diseño y Comunicación
EDCOM EDCOM
Luis Cepeda FernándezJhonny Plúas RonquilloByron Zamora Zamora
Sistemas de Gestión de Seguridad de la Información
ISO 27001 ISO 27001 Gestión de la Continuidad Gestión de la Continuidad
del Negociodel Negocio
INTRODUCCIÓN
Cuando se habla de la continuidad del negocio hay que establecer los requerimientos ocasionados por amenazas ocurridas con anterioridad o detectados en el análisis
Es esencial que la empresa este preparada para reactivar sus servicios en un mínimo tiempo y así disminuir el impacto que causaría al negocio.
CONTINUIDAD DEL NEGOCIO
Hoy en día la información es un recurso muy importante como el resto de los activos comerciales.
La seguridad de información protege una gama de amenazas como desastres naturales, incendios descargas eléctricas e inundaciones, ataques informáticos, virus, con el fin de garantizar la continuidad del negocio .
SEGURIDAD
Se debe considerar a la información como un activo crítico de las organizaciones y como tal se debe preservar su Integridad, disponibilidad, confidencialidad.
VALOR DE LOS ACTIVOS
¿ ES POSIBLE ELIMINAR LOS RIESGOS ?
No es posible eliminar por completo los riesgos, sin embargo es posible reducirlos mediante controles de protección contra amenazas y vulnerabilidades.
Ataques informáticos Pérdida de enlaces Descargas eléctricas Desastres naturales (incendio, terremotos,
inundaciones , etc.)
AMENAZAS
La empresa no está libre de sufrir:
Contar con un proceso definido para: Evaluar, Implementar, Mantener y Administrar la Seguridad de la Información en la empresa.
Diferenciarse en el mercado.
Tener una metodología para poder administrar los riesgos.
BENEFICIOS SGSI
Dentro del conjunto de beneficios que se obtendrían al contar con un SGSI se pueden mencionar como:
Cabe indicar que con el presente trabajo, no se busca preparar a la empresa Cabe indicar que con el presente trabajo, no se busca preparar a la empresa inmobiliaria para una eventual certificación en materia de seguridad de la inmobiliaria para una eventual certificación en materia de seguridad de la información, sino que proporciona las bases de un SGSI para que una vez información, sino que proporciona las bases de un SGSI para que una vez implementado, se pueda aprovechar los beneficios que éste ofrece.implementado, se pueda aprovechar los beneficios que éste ofrece.
La amplia trayectoria convierte a la
inmobiliaria en el mayor promotor de
viviendas del Ecuador desde 1973,
permitiendo la entrega puntual de decenas de
miles de viviendas, de un extenso catálogo
de productos con la máxima flexibilidad en
plazos de financiamiento.
Certificación de calidad ISO 9001:2008.
GENERALIDADES DE LA EMPRESA INMOBILIARIA
Actualmente la empresa cuenta con un Data Center con servidores de :
Dominio, DNS Correo Base de Datos Internet Dispositivos Móviles (Black Berry) Servidor de Archivos Enlaces de Red con Puntos remotos Centrales Telefónicas
ACTIVOS DE LA EMPRESA
ENLACES DE DATOS PRINCIPALES
MARCO TEÓRICO
GESTION DE CONTINUIDAD DE NEGOCIO
En varias empresas se aplican ciertos procesos de contingencia ante cualquier eventualidad que pueda afectar sus medios de almacenamiento o comunicación. En otros casos se improvisa una solución inmediata. Con lo anteriormente mencionado se realizará el proyecto utilizando las metodologías :
Norma ISO 27001 ITIL (Buenas prácticas)
NORMAS ISO27001 forma metódica y clara basada en objetivos claros de seguridad y una evaluación de los riesgos a los que está sometida la información de la organización.
ISO 27001
Esta Basado en el ciclo de vida PDCA (Planear-Hacer-Verificar-Actuar; o ciclo de Deming).
CICLO DE VIDA
Existen otros estándares internacionalmente aceptados relacionados con seguridad de la información como: COBIT, NIST, MAGERIT, ITIL, entre otros, que la enfocan desde diferentes puntos de vista como controles de seguridad, buen gobierno, gestión de riesgo.
OTROS ESTANDARES DE SGSI
ITIL establece los conceptos básicos. Las tareas clave a realizar y la documentación resultante común a todos los proyectos de análisis y gestión de riesgos donde se aplique ITIL.
ITIL
Desarrollada a finales de 1980, y es la Biblioteca de Infraestructura de Tecnologías de la Información (ITIL) se ha convertido en el estándar mundial de factor en la Gestión de Servicios Informáticos.
¿ QUE ES ITIL ?
Prestación de Servicios
Gestión de la Infraestructura
Soporte a los Usuarios
Perspectivas de Negocios
Soluciones
TECNOLOGÍA ITIL
ANÁLISIS DE RIESGOSANÁLISIS DE RIESGOS
Es un proceso de gestión logístico que identifica potenciales impactos que amenazan la organización y provee una estructura para aumentar la resistencia y la capacidad de respuesta de manera efectiva que salvaguardan los intereses de los miembros de la organización, su reputación, marca y valor creando actividades.
GESTIÓN DE LA CONTINUIDAD GESTIÓN DE LA CONTINUIDAD DEL NEGOCIODEL NEGOCIO
Definición Diagrama
HOT SITE:
Página web compacta construida a partir de modelos estandarizados.
Posee retorno instantáneo a bajos costos Significativas de respuesta.
ESTRATEGIA DE CONTINUIDADESTRATEGIA DE CONTINUIDAD
WARM SITE: Forma de ver las principales estrategias
Recuperación de desastres fuera de sitio
Recuperación de centro principal.
ESTRATEGIA DE CONTINUIDADESTRATEGIA DE CONTINUIDAD
MARCO METODOLÓGICO
El proceso de Administración de Continuidad de Servicios de TI cuenta con 4 etapas que se ejecutan durante las actividades del proceso. Estas etapas se ilustran en la siguiente figura:
Análisis de impactoen el negocio
Análisis deriesgos
Estrategia decontinuidad del negocio
Organización yplan de implantación
Implantación delplan de recuperación
Procedimientosde desarrollo
Prueba inicial
Educacióny conciencia
Auditorias
Pruebas
Admón. decambios
Entrenamiento
Inicio deAdministración de
Continuidad en el Negocio
Etapa inicialEtapa de
requerimientos yestrategia
Etapa de implantación
Etapa de
Operación
EVALUACIÓN DE RIESGO
PARA LA INMOBILIARIA
Resumen de la Identificación de Riesgos
EVALUACION DE RIESGOEVALUACION DE RIESGO
DOMINIO CANTIDAD Gestión de continuidad del Negocio 4
Calificación de riesgo de acuerdo al nivel de Ocurrencia
CALIFICACIÓN NIVEL DE OCURRENCIA Alta 3
Media 2 Baja 1
Nivel de Severidad Etiqueta Mínimo Máximo Severidad Baja B 1 3 Severidad Media M 3 6 Severidad Alta A 6 9
Calificación de riesgo de acuerdo al nivel de Severidad
Calificación de riesgo de acuerdo al nivel de Impacto
CALIFICACIÓN NIVEL DE IMPACTO Alta 3
Media 2 Baja 1
Severidad = Nivel de Ocurrencia x Nivel de Impacto
Calificación de riesgo de acuerdo al nivel de Criticidad
Calificación Nivel de Criticidad POCO CRITICO 1 MEDIO CRITICO 2 CRITICO 3 MUY CRITICO 4 INDISPENSABLE 5
EJECUCIÓN
EJECUCIÓN EJECUCIÓN Ubicación de los principales Activos de la empresa:
ACTIVOS EQUIPO UBICACIÓN
SERVIDOR CDC_DBASE Edificio principal SERVIDOR SAMBDATA Edificio principal SERVIDOR ABMAIL Edificio principal SERVIDOR APLICATION_SERVER
Edificio principal
SERVIDOR ANTIVIRUS Edificio principal SERVIDOR CITRIX Edificio principal SERVIDOR BALACKBERRY Edificio principal SERVIDOR ABMAIL Edificio principal SWHITCH Edificio principal ROUTER Edificio principal MODEM Edificio principal CENTRAL TELEFONICA Edificio principal
PROCESO NIVEL CRITICO APLICACIÓN HARDWARE
VENTAS 5 SIGI CDC_DBASE, ALMAIL
PROYECTOS 3 SIGI CDC_DBASE, ALMAIL
FINANCIERO 4 SIGI,GPCDC_DBASE, SAMBDATA,
ALMAIL
CONTABLE 3 GP SAMBDATA, ALMAIL
NOMINA 2 EVOLUTION SAMBDATA, ALMAIL
CREDITO Y COBRANZA 4 SIGI CDC_DBASE, ALMAIL
COMUNICACIÓN EMPRESARIAL 5 EXCHANGE ABMAIL
Activos y procesos:CONTROLES DE APLICABILIDAD
Incluir seguridad de información en el proceso.
Continuidad comercial y evaluación de riesgos.
Desarrollo e implementación del plan de continuidad.
Marco referencial de la planeación.
Prueba y evaluación.
CONTROLES DE APLICABILIDAD
La perdida de información podría soportar muchas consecuencias negativas.
La seguridad de información es una medida para incrementar el éxito.
Permitirá mantener un proceso de mejora continua.
CONCLUSIONES
Contar con el apoyo correspondiente de las altas autoridades.
Concienciar a los empleados sobre la seguridad de la información.
Constante evaluación del sistema de seguridad de información.
RECOMENDACIONES
GRACIAS POR SU ATENCIÓN