La norma de seguridad no es sólo válida para grandes negocios de TI, sino para otros tipos de negocios y de menor tamaño. Se darán algunas directrices de lo que los propietarios de estos negocios deben considerar para proteger y como pueden hacerlo basándose en la norma. El objetivo es exponer la importancia de la seguridad de la información en todos los negocios.

1. 1ª Serie de WEBINARS EXIN en Castellano
Gestión de servicio de TI - Seguridad de la información – Cloud Computing
#EXINWebinarsEnCastellano
Seguridad en un pequeño o mediano negocio
Organizaciones invitadas: Con la colaboración de:
7/2/2013
N
N
N
N
o
o
o
o

2. Con la colaboración de ...
Alhambra Eidos:
C/Albasanz 16, Madrid (España)
+34917872300
www.formaciontic.com
formaciontic@a-e.es
@formacionTIC
Guillermo Hernández
Experto en gestión de servicios de TI y desarrollo.
Ha trabajado y conoce la gestión y organización de
distintas instituciones y empresas, y tiene
conocimiento de distintas herramientas de gestión
como Service Desk o Remedy. Formador desde
hace 3 años, su principal objetivo es el énfasis en la insert photo
utilidad real de los pequeños detalles de la gestión
de servicios.

3. ISO 27001 - ISO 27002
• ISO 27001:
– Independiente de tecnología
– Sistema de gestión
– Orientado a certificación
• ISO 27002:
– Incluir métricas
– Una guía
– Practicas estándar
– Orientado a usar las buenas prácticas de seguridad

4. Dilema: El certificado en el muro
• ISO 27001 requiere evaluación externa
• Mayor confianza de clientes y cumplimiento regulatorio
• Mayor esfuerzo de implementación y mantenimiento

5. Coordinación para la seguridad

6. Aproximación al proyecto

7. Aproximación al proyecto

8. Definir el alcance
• ¿En una organización mediana o pequeña?: TODO
• Incluir un plan de continuidad si es posible

9. Evaluación y tratamiento de riesgos

10. Evaluación y tratamiento de riesgos
• Decidir que hacer con cada riesgo
• Documentar las medidas en un Plan de Tratamiento de Riesgos
• Es aceptable no hacer nada con algunos riesgos

11. Políticas de seguridad
• Definir las políticas de forma sencilla: manual o wiki
• Definir tiempos y normas de revisión de las políticas de
seguridad

12. Aspectos organizativos
• Si es posible reproducir el mantenimiento de la seguridad como
una función interna del mismo calibre que otros departamentos
• Importante: estudiar los flujos de información y conexiones con
terceros. Revisar y re implementar los controles existentes.

13. Problemas con la gente: evitar el rechazo
• Hacer una auditoria interna y comparar con la percepción de la
gente: evitar falsas impresiones de la situación actual
• Evitar la excesiva burocracia que parece “bonita”: la sencillez es
más atractiva a la hora del trabajo del día a día
• Contamos con todos: todo el mundo es parte de los procesos y
su éxito. La gente debe sentir su importancia

14. Gestión de activos
• Elaborar un inventario de todos nuestros activos: incluir los
propietarios y detalles importantes
• Gestión de la información: tratar de mantener la sencillez,
diferenciar los requisitos de seguridad básicos ( y globales) de
los avanzados

15. Recursos Humanos
• Revisión mas importante de la identidad antes de la
contratación
• Mantener los estados bien actualizados durante y despues del
contrato

16. Áreas Seguras
• Definir correctamente las áreas seguras y sus niveles de
seguridad (no solo un CPD es importante).
• Definir hasta donde podría llegar cada empleado o visitante en
nuestras áreas
• Elementos visuales de seguridad: siempre funcionales
• Autorización escrita para mover equipo de TI: revisiones
aleatorias

17. Gestión de comunicaciones y operaciones
• Documentar bien todas las políticas de seguridad
• Revisión de suministradores: ¡seguridad de funcionamiento!
• Definir estándares de seguridad básica
• La tecnología no es suficiente: educación para la prevención
• Copias de seguridad

18. Gestión de comunicaciones y operaciones
• Seguridad en las redes
• Seguridad en los datos: cifrado
• Asegurarse que la seguridad llega al negocio
• Supervisión

19. Control de accesos
• Permita al negocio definir sus necesidades de acceso
• Herramientas de control y auditoria de accesos
• Los usuarios deben conocer sus deberes
• Defensa de perímetro y defensa en profundidad
• Especial atención al acceso de elementos portátiles

20. Gestión de incidentes de la seguridad de información
• Dejar claro donde hay que llamar o avisar en caso de accidente
• Investigar los incidentes y utilizarlos como oportunidades de
mejora

21. Cumplimiento
• Conseguir consejo legal competente: seguridad de la
información o múltiples jurisdicciones
• Realizar autoevaluaciones a la vez: seguridad, regulaciones,
corporación
• Realizar auditorias anuales: internas siempre, externas para
prepararnos para la ISO 27001

22. Con la colaboración de ...
Alhambra Eidos:
C/Albasanz 16, Madrid (España)
+34917872300
www.formaciontic.com
formaciontic@a-e.es
@formacionTIC
Guillermo Hernández
Experto en gestión de servicios de TI y desarrollo.
Ha trabajado y conoce la gestión y organización de
distintas instituciones y empresas, y tiene
conocimiento de distintas herramientas de gestión
como Service Desk o Remedy. Formador desde
hace 3 años, su principal objetivo es el énfasis en la insert photo
utilidad real de los pequeños detalles de la gestión
de servicios.

23. 1ª Serie de WEBINARS EXIN en Castellano
Gestión de servicio de TI - Seguridad de la información – Cloud Computing
#EXINWebinarsEnCastellano
Obtén este y otros Webinars en nuestro canal Youtube Coporativo
http://www.youtube.com/user/EXINexams
Organizaciones invitadas: Con la colaboración de: