ESCUELA SUPERIOR POLITÉCNICA DEL LITORALEDCOM - ESPOL

Escuela de Diseño y ComunicaciónEscuela de Diseño y Comunicación

EDCOM EDCOM

Luis Cepeda FernándezJhonny Plúas RonquilloByron Zamora Zamora

Sistemas de Gestión de Seguridad de la Información

ISO 27001 ISO 27001 Gestión de la Continuidad Gestión de la Continuidad

del Negociodel Negocio

INTRODUCCIÓN

Cuando se habla de la continuidad del negocio hay que establecer los requerimientos ocasionados por amenazas ocurridas con anterioridad o detectados en el análisis

Es esencial que la empresa este preparada para reactivar sus servicios en un mínimo tiempo y así disminuir el impacto que causaría al negocio.

CONTINUIDAD DEL NEGOCIO

Hoy en día la información es un recurso muy importante como el resto de los activos comerciales.

La seguridad de información protege una gama de amenazas como desastres naturales, incendios descargas eléctricas e inundaciones, ataques informáticos, virus, con el fin de garantizar la continuidad del negocio .

SEGURIDAD

Se debe considerar a la información como un activo crítico de las organizaciones y como tal se debe preservar su Integridad, disponibilidad, confidencialidad.

VALOR DE LOS ACTIVOS

¿ ES POSIBLE ELIMINAR LOS RIESGOS ?

No es posible eliminar por completo los riesgos, sin embargo es posible reducirlos mediante controles de protección contra amenazas y vulnerabilidades.

Ataques informáticos Pérdida de enlaces Descargas eléctricas Desastres naturales (incendio, terremotos,

inundaciones , etc.)

AMENAZAS

La empresa no está libre de sufrir:

Contar con un proceso definido para: Evaluar, Implementar, Mantener y Administrar la Seguridad de la Información en la empresa.

Diferenciarse en el mercado.

Tener una metodología para poder administrar los riesgos.

BENEFICIOS SGSI

Dentro del conjunto de beneficios que se obtendrían al contar con un SGSI se pueden mencionar como:

Cabe indicar que con el presente trabajo, no se busca preparar a la empresa Cabe indicar que con el presente trabajo, no se busca preparar a la empresa inmobiliaria para una eventual certificación en materia de seguridad de la inmobiliaria para una eventual certificación en materia de seguridad de la información, sino que proporciona las bases de un SGSI para que una vez información, sino que proporciona las bases de un SGSI para que una vez implementado, se pueda aprovechar los beneficios que éste ofrece.implementado, se pueda aprovechar los beneficios que éste ofrece.

La amplia trayectoria convierte a la

inmobiliaria en el mayor promotor de

viviendas del Ecuador desde 1973,

permitiendo la entrega puntual de decenas de

miles de viviendas, de un extenso catálogo

de productos con la máxima flexibilidad en

plazos de financiamiento.

Certificación de calidad ISO 9001:2008.

GENERALIDADES DE LA EMPRESA INMOBILIARIA

Actualmente la empresa cuenta con un Data Center con servidores de :

Dominio, DNS Correo Base de Datos Internet Dispositivos Móviles (Black Berry) Servidor de Archivos Enlaces de Red con Puntos remotos Centrales Telefónicas

ACTIVOS DE LA EMPRESA

ENLACES DE DATOS PRINCIPALES

MARCO TEÓRICO

GESTION DE CONTINUIDAD DE NEGOCIO

En varias empresas se aplican ciertos procesos de contingencia ante cualquier eventualidad que pueda afectar sus medios de almacenamiento o comunicación. En otros casos se improvisa una solución inmediata.  Con lo anteriormente mencionado se realizará el proyecto utilizando las metodologías :

Norma ISO 27001 ITIL (Buenas prácticas)

NORMAS ISO27001 forma metódica y clara basada en objetivos claros de seguridad y una evaluación de los riesgos a los que está sometida la información de la organización.

ISO 27001

Esta Basado en el ciclo de vida PDCA (Planear-Hacer-Verificar-Actuar; o ciclo de Deming).

CICLO DE VIDA

Existen otros estándares internacionalmente aceptados relacionados con seguridad de la información como: COBIT, NIST, MAGERIT, ITIL, entre otros, que la enfocan desde diferentes puntos de vista como controles de seguridad, buen gobierno, gestión de riesgo.

OTROS ESTANDARES DE SGSI

ITIL establece los conceptos básicos. Las tareas clave a realizar y la documentación resultante común a todos los proyectos de análisis y gestión de riesgos donde se aplique ITIL.

ITIL

Desarrollada a finales de 1980, y es la Biblioteca de Infraestructura de Tecnologías de la Información (ITIL) se ha convertido en el estándar mundial de factor en la Gestión de Servicios Informáticos.

¿ QUE ES ITIL ?

Prestación de Servicios

Gestión de la Infraestructura

Soporte a los Usuarios

Perspectivas de Negocios

Soluciones

TECNOLOGÍA ITIL

ANÁLISIS DE RIESGOSANÁLISIS DE RIESGOS

Es un proceso de gestión logístico que identifica potenciales impactos que amenazan la organización y provee una estructura para aumentar la resistencia y la capacidad de respuesta de manera efectiva que salvaguardan los intereses de los miembros de la organización, su reputación, marca y valor creando actividades.

GESTIÓN DE LA CONTINUIDAD GESTIÓN DE LA CONTINUIDAD DEL NEGOCIODEL NEGOCIO

Definición Diagrama

HOT SITE:

Página web compacta construida a partir de modelos estandarizados.

Posee retorno instantáneo a bajos costos Significativas de respuesta.

ESTRATEGIA DE CONTINUIDADESTRATEGIA DE CONTINUIDAD

WARM SITE: Forma de ver las principales estrategias

Recuperación de desastres fuera de sitio

Recuperación de centro principal. 

ESTRATEGIA DE CONTINUIDADESTRATEGIA DE CONTINUIDAD

MARCO METODOLÓGICO

El proceso de Administración de Continuidad de Servicios de TI cuenta con 4 etapas que se ejecutan durante las actividades del proceso. Estas etapas se ilustran en la siguiente figura:

Análisis de impactoen el negocio

Análisis deriesgos

Estrategia decontinuidad del negocio

Organización yplan de implantación

Implantación delplan de recuperación

Procedimientosde desarrollo

Prueba inicial

Educacióny conciencia

Auditorias

Pruebas

Admón. decambios

Entrenamiento

Inicio deAdministración de

Continuidad en el Negocio

Etapa inicialEtapa de

requerimientos yestrategia

Etapa de implantación

Etapa de

Operación

EVALUACIÓN DE RIESGO

PARA LA INMOBILIARIA

Resumen de la Identificación de Riesgos

EVALUACION DE RIESGOEVALUACION DE RIESGO

DOMINIO CANTIDAD Gestión de continuidad del Negocio 4

Calificación de riesgo de acuerdo al nivel de Ocurrencia

CALIFICACIÓN NIVEL DE OCURRENCIA Alta 3

Media 2 Baja 1

Nivel de Severidad Etiqueta Mínimo Máximo Severidad Baja B 1 3 Severidad Media M 3 6 Severidad Alta A 6 9

Calificación de riesgo de acuerdo al nivel de Severidad

Calificación de riesgo de acuerdo al nivel de Impacto

CALIFICACIÓN NIVEL DE IMPACTO Alta 3

Media 2 Baja 1

Severidad = Nivel de Ocurrencia x Nivel de Impacto

Calificación de riesgo de acuerdo al nivel de Criticidad

Calificación Nivel de Criticidad POCO CRITICO 1 MEDIO CRITICO 2 CRITICO 3 MUY CRITICO 4 INDISPENSABLE 5

EJECUCIÓN

EJECUCIÓN EJECUCIÓN Ubicación de los principales Activos de la empresa:

ACTIVOS EQUIPO UBICACIÓN

SERVIDOR CDC_DBASE Edificio principal SERVIDOR SAMBDATA Edificio principal SERVIDOR ABMAIL Edificio principal SERVIDOR APLICATION_SERVER

Edificio principal

SERVIDOR ANTIVIRUS Edificio principal SERVIDOR CITRIX Edificio principal SERVIDOR BALACKBERRY Edificio principal SERVIDOR ABMAIL Edificio principal SWHITCH Edificio principal ROUTER Edificio principal MODEM Edificio principal CENTRAL TELEFONICA Edificio principal

PROCESO NIVEL CRITICO APLICACIÓN HARDWARE

VENTAS 5 SIGI CDC_DBASE, ALMAIL

PROYECTOS 3 SIGI CDC_DBASE, ALMAIL

FINANCIERO 4 SIGI,GPCDC_DBASE, SAMBDATA,

ALMAIL

CONTABLE 3 GP SAMBDATA, ALMAIL

NOMINA 2 EVOLUTION SAMBDATA, ALMAIL

CREDITO Y COBRANZA 4 SIGI CDC_DBASE, ALMAIL

COMUNICACIÓN EMPRESARIAL 5 EXCHANGE ABMAIL

Activos y procesos:CONTROLES DE APLICABILIDAD

Incluir seguridad de información en el proceso.

Continuidad comercial y evaluación de riesgos.

Desarrollo e implementación del plan de continuidad.

Marco referencial de la planeación.

Prueba y evaluación.

CONTROLES DE APLICABILIDAD

La perdida de información podría soportar muchas consecuencias negativas.

La seguridad de información es una medida para incrementar el éxito.

Permitirá mantener un proceso de mejora continua.

CONCLUSIONES

Contar con el apoyo correspondiente de las altas autoridades.

Concienciar a los empleados sobre la seguridad de la información.

Constante evaluación del sistema de seguridad de información.

RECOMENDACIONES

GRACIAS POR SU ATENCIÓN