Buenas Practicas para Turismo Sostenible Una Guía para el Pequeño y Mediano Empresario
Seguridad en un pequeño o mediano negocio
23
Organizaciones invitadas: Con la colaboración de: 1ª Serie de WEBINARS EXIN en Castellano Gestión de servicio de TI - Seguridad de la información – Cloud Computing #EXINWebinarsEnCastellano Seguridad en un pequeño o mediano negocio 7/2/2013
description
La norma de seguridad no es sólo válida para grandes negocios de TI, sino para otros tipos de negocios y de menor tamaño. Se darán algunas directrices de lo que los propietarios de estos negocios deben considerar para proteger y como pueden hacerlo basándose en la norma. El objetivo es exponer la importancia de la seguridad de la información en todos los negocios.
Transcript of Seguridad en un pequeño o mediano negocio
NNNNoooo
Organizaciones invitadas: Con la colaboración de:
1ª Serie de WEBINARS EXIN en Castellano Gestión de servicio de TI - Seguridad de la información – Cloud Computing#EXINWebinarsEnCastellano
Seguridad en un pequeño o mediano negocio
7/2/2013
Con la colaboración de ...Con la colaboración de ...Con la colaboración de ...Con la colaboración de ...Alhambra Eidos:C/Albasanz 16, Madrid (España)[email protected]@formacionTIC
Guillermo HernándezGuillermo HernándezGuillermo HernándezGuillermo HernándezExperto en gestión de servicios de TI y desarrollo. Ha trabajado y conoce la gestión y organización de distintas instituciones y empresas, y tiene conocimiento de distintas herramientas de gestión como Service Desk o Remedy. Formador desde hace 3 años, su principal objetivo es el énfasis en la utilidad real de los pequeños detalles de la gestión de servicios.
insert photo
ISO 27001 ISO 27001 ISO 27001 ISO 27001 ---- ISO 27002ISO 27002ISO 27002ISO 27002
• ISO 27001:
– Independiente de tecnología– Sistema de gestión– Orientado a certificación
• ISO 27002:– Incluir métricas– Una guía– Practicas estándar– Orientado a usar las buenas prácticas de seguridad
Dilema: El certificado en el muroDilema: El certificado en el muroDilema: El certificado en el muroDilema: El certificado en el muro
• ISO 27001 requiere evaluación externa
• Mayor confianza de clientes y cumplimiento regulatorio
• Mayor esfuerzo de implementación y mantenimiento
Coordinación para la seguridadCoordinación para la seguridadCoordinación para la seguridadCoordinación para la seguridad
Aproximación al proyectoAproximación al proyectoAproximación al proyectoAproximación al proyecto
Aproximación al proyectoAproximación al proyectoAproximación al proyectoAproximación al proyecto
Definir el alcanceDefinir el alcanceDefinir el alcanceDefinir el alcance
• ¿En una organización mediana o pequeña?: TODO
• Incluir un plan de continuidad si es posible
Evaluación y tratamiento de riesgosEvaluación y tratamiento de riesgosEvaluación y tratamiento de riesgosEvaluación y tratamiento de riesgos
Evaluación y tratamiento de riesgosEvaluación y tratamiento de riesgosEvaluación y tratamiento de riesgosEvaluación y tratamiento de riesgos
• Decidir que hacer con cada riesgo
• Documentar las medidas en un Plan de Tratamiento de Riesgos
• Es aceptable no hacer nada con algunos riesgos
Políticas de seguridadPolíticas de seguridadPolíticas de seguridadPolíticas de seguridad
• Definir las políticas de forma sencilla: manual o wiki
• Definir tiempos y normas de revisión de las políticas de seguridad
Aspectos organizativosAspectos organizativosAspectos organizativosAspectos organizativos
• Si es posible reproducir el mantenimiento de la seguridad como una función interna del mismo calibre que otros departamentos
• Importante: estudiar los flujos de información y conexiones con terceros. Revisar y re implementar los controles existentes.
Problemas con la gente: evitar el rechazoProblemas con la gente: evitar el rechazoProblemas con la gente: evitar el rechazoProblemas con la gente: evitar el rechazo
• Hacer una auditoria interna y comparar con la percepción de la gente: evitar falsas impresiones de la situación actual
• Evitar la excesiva burocracia que parece “bonita”: la sencillez es más atractiva a la hora del trabajo del día a día
• Contamos con todos: todo el mundo es parte de los procesos y su éxito. La gente debe sentir su importancia
Gestión de activosGestión de activosGestión de activosGestión de activos
• Elaborar un inventario de todos nuestros activos: incluir los propietarios y detalles importantes
• Gestión de la información: tratar de mantener la sencillez, diferenciar los requisitos de seguridad básicos ( y globales) de los avanzados
Recursos HumanosRecursos HumanosRecursos HumanosRecursos Humanos
• Revisión mas importante de la identidad antes de la contratación
• Mantener los estados bien actualizados durante y despues del contrato
Áreas SegurasÁreas SegurasÁreas SegurasÁreas Seguras
• Definir correctamente las áreas seguras y sus niveles de seguridad (no solo un CPD es importante).
• Definir hasta donde podría llegar cada empleado o visitante en nuestras áreas
• Elementos visuales de seguridad: siempre funcionales
• Autorización escrita para mover equipo de TI: revisiones aleatorias
Gestión de comunicaciones y operacionesGestión de comunicaciones y operacionesGestión de comunicaciones y operacionesGestión de comunicaciones y operaciones
• Documentar bien todas las políticas de seguridad
• Revisión de suministradores: ¡seguridad de funcionamiento!
• Definir estándares de seguridad básica
• La tecnología no es suficiente: educación para la prevención
• Copias de seguridad
Gestión de comunicaciones y operacionesGestión de comunicaciones y operacionesGestión de comunicaciones y operacionesGestión de comunicaciones y operaciones
• Seguridad en las redes
• Seguridad en los datos: cifrado
• Asegurarse que la seguridad llega al negocio
• Supervisión
Control de accesosControl de accesosControl de accesosControl de accesos
• Permita al negocio definir sus necesidades de acceso
• Herramientas de control y auditoria de accesos
• Los usuarios deben conocer sus deberes
• Defensa de perímetro y defensa en profundidad
• Especial atención al acceso de elementos portátiles
Gestión de incidentes de la seguridad de informaciónGestión de incidentes de la seguridad de informaciónGestión de incidentes de la seguridad de informaciónGestión de incidentes de la seguridad de información
• Dejar claro donde hay que llamar o avisar en caso de accidente
• Investigar los incidentes y utilizarlos como oportunidades de mejora
CumplimientoCumplimientoCumplimientoCumplimiento
• Conseguir consejo legal competente: seguridad de la información o múltiples jurisdicciones
• Realizar autoevaluaciones a la vez: seguridad, regulaciones, corporación
• Realizar auditorias anuales: internas siempre, externas para prepararnos para la ISO 27001
Con la colaboración de ...Con la colaboración de ...Con la colaboración de ...Con la colaboración de ...Alhambra Eidos:C/Albasanz 16, Madrid (España)[email protected]@formacionTIC
Guillermo HernándezGuillermo HernándezGuillermo HernándezGuillermo HernándezExperto en gestión de servicios de TI y desarrollo. Ha trabajado y conoce la gestión y organización de distintas instituciones y empresas, y tiene conocimiento de distintas herramientas de gestión como Service Desk o Remedy. Formador desde hace 3 años, su principal objetivo es el énfasis en la utilidad real de los pequeños detalles de la gestión de servicios.
insert photo
Organizaciones invitadas: Con la colaboración de:
1ª Serie de WEBINARS EXIN en Castellano Gestión de servicio de TI - Seguridad de la información – Cloud Computing
#EXINWebinarsEnCastellano
Obtén este y otros Webinars en nuestro canal Youtube Coporativohttp://www.youtube.com/user/EXINexams
