1. ESCUELA SUPERIOR POLITÉCNICA DEL LITORAL
EDCOM - ESPOL
Escuela de Diseño y Comunicación
EDCOM
Luis Cepeda Fernández
Jhonny Plúas Ronquillo
Byron Zamora Zamora
2. Sistemas de Gestión de
Seguridad de la Información
ISO 27001
Gestión de la Continuidad del
Negocio
4. Cuando se habla de la continuidad del negocio hay que
establecer los requerimientos ocasionados por amenazas
ocurridas con anterioridad o detectados en el análisis
Es esencial que la empresa este preparada para reactivar sus
servicios en un mínimo tiempo y así disminuir el impacto que
causaría al negocio.
CONTINUIDAD DEL NEGOCIO
5. Hoy en día la información es un recurso muy importante como
el resto de los activos comerciales.
La seguridad de información protege una gama de amenazas
como desastres naturales, incendios descargas eléctricas e
inundaciones, ataques informáticos, virus, con el fin de
garantizar la continuidad del negocio .
SEGURIDAD
6. Se debe considerar a la información como un activo crítico de las
organizaciones y como tal se debe preservar su Integridad,
disponibilidad, confidencialidad.
VALOR DE LOS ACTIVOS
7. ¿ ES POSIBLE ELIMINAR LOS
RIESGOS ?
No es posible eliminar por completo los riesgos, sin embargo es
posible reducirlos mediante controles de protección contra amenazas y
vulnerabilidades.
8. Ataques informáticos
Pérdida de enlaces
Descargas eléctricas
Desastres naturales (incendio, terremotos,
inundaciones , etc.)
AMENAZAS
La empresa no está libre de sufrir:
9. Contar con un proceso definido para: Evaluar, Implementar, Mantener
y Administrar la Seguridad de la Información en la empresa.
Diferenciarse en el mercado.
Tener una metodología para poder administrar los riesgos.
BENEFICIOS SGSI
Dentro del conjunto de beneficios que se obtendrían al contar con un
SGSI se pueden mencionar como:
Cabe indicar que con el presente trabajo, no se busca preparar a la empresa
inmobiliaria para una eventual certificación en materia de seguridad de la
información, sino que proporciona las bases de un SGSI para que una vez
implementado, se pueda aprovechar los beneficios que éste ofrece.
10. La amplia trayectoria convierte a la
inmobiliaria en el mayor promotor de
viviendas del Ecuador desde 1973,
permitiendo la entrega puntual de decenas
de miles de viviendas, de un extenso
catálogo de productos con la máxima
flexibilidad en plazos de financiamiento.
Certificación de calidad ISO 9001:2008.
GENERALIDADES DE LA EMPRESA
INMOBILIARIA
11. Actualmente la empresa cuenta con un Data Center con
servidores de :
Dominio, DNS
Correo
Base de Datos
Internet
Dispositivos Móviles (Black Berry)
Servidor de Archivos
Enlaces de Red con Puntos remotos
Centrales Telefónicas
ACTIVOS DE LA EMPRESA
14. GESTION DE CONTINUIDAD DE
NEGOCIO
En varias empresas se aplican ciertos procesos de
contingencia ante cualquier eventualidad que pueda afectar
sus medios de almacenamiento o comunicación. En otros
casos se improvisa una solución inmediata.
Con lo anteriormente mencionado se realizará el proyecto
utilizando las metodologías :
Norma ISO 27001
ITIL (Buenas prácticas)
15. NORMAS ISO27001 forma metódica y clara
basada en objetivos claros de seguridad y una
evaluación de los riesgos a los que está
sometida la información de la organización.
ISO 27001
16. Esta Basado en el ciclo de vida PDCA (Planear-Hacer-Verificar-Actuar; o
ciclo de Deming).
CICLO DE VIDA
17. Existen otros estándares internacionalmente aceptados
relacionados con seguridad de la información como: COBIT,
NIST, MAGERIT, ITIL, entre otros, que la enfocan desde
diferentes puntos de vista como controles de seguridad,
buen gobierno, gestión de riesgo.
OTROS ESTANDARES DE SGSI
18. ITIL establece los conceptos básicos. Las tareas clave a realizar y la
documentación resultante común a todos los proyectos de análisis
y gestión de riesgos donde se aplique ITIL.
ITIL
19. Desarrollada a finales de 1980, y es la Biblioteca de Infraestructura de
Tecnologías de la Información (ITIL) se ha convertido en el estándar
mundial de factor en la Gestión de Servicios Informáticos.
¿ QUE ES ITIL ?
Prestación de Servicios
Gestión de la
Infraestructura
Soporte a los Usuarios
Perspectivas de
Negocios
Soluciones
22. Es un proceso de gestión logístico que identifica
potenciales impactos que amenazan la organización y
provee una estructura para aumentar la resistencia y la
capacidad de respuesta de manera efectiva que
salvaguardan los intereses de los miembros de la
organización, su reputación, marca y valor creando
actividades.
GESTIÓN DE LA CONTINUIDAD DEL
NEGOCIO
23. Definición Diagrama
HOT SITE:
Página web compacta
construida a partir de modelos
estandarizados.
Posee retorno instantáneo a
bajos costos Significativas de
respuesta.
ESTRATEGIA DE CONTINUIDAD
24. WARM SITE: Forma de ver las principales estrategias
Recuperación de desastres fuera de sitio
Recuperación de centro principal.
ESTRATEGIA DE CONTINUIDAD
25. MARCO METODOLÓGICO
El proceso de Administración de Continuidad de Servicios de TI cuenta
con 4 etapas que se ejecutan durante las actividades del proceso.
Estas etapas se ilustran en la siguiente figura:
Análisis de impacto
en el negocio
Análisis de
riesgos
Estrategia de
continuidad del negocio
Organización y
plan de implantación
Implantación del
plan de recuperación
Procedimientos
de desarrollo
Prueba inicial
Educación
y conciencia
Auditorias
Pruebas
Admón. de
cambios
Entrenamiento
Inicio de
Administración de
Continuidad
en el Negocio
Etapa inicial
Etapa de
requerimientos y
estrategia
Etapa de
implantación
Etapa de
Operación
27. Resumen de la Identificación de Riesgos
EVALUACION DE RIESGO
DOMINIO CANTIDAD
Gestión de continuidad del Negocio 4
Calificación de riesgo de acuerdo al nivel de
Ocurrencia
CALIFICACIÓN NIVEL DE OCURRENCIA
Alta 3
Media 2
Baja 1
28. Nivel de Severidad Etiqueta Mínimo Máximo
Severidad Baja B 1 3
Severidad Media M 3 6
Severidad Alta A 6 9
Calificación de riesgo de acuerdo al nivel de Severidad
Calificación de riesgo de acuerdo al nivel de Impacto
CALIFICACIÓN NIVEL DE IMPACTO
Alta 3
Media 2
Baja 1
Severidad = Nivel de Ocurrencia x Nivel de Impacto
29. Calificación de riesgo de acuerdo al nivel de
Criticidad
Calificación Nivel de Criticidad
POCO CRITICO 1
MEDIO CRITICO 2
CRITICO 3
MUY CRITICO 4
INDISPENSABLE 5
31. EJECUCIÓN
Ubicación de los principales Activos de la empresa:
ACTIVOS
EQUIPO UBICACIÓN
SERVIDOR CDC_DBASE Edificio principal
SERVIDOR SAMBDATA Edificio principal
SERVIDOR ABMAIL Edificio principal
SERVIDOR
APLICATION_SERVER
Edificio principal
SERVIDOR ANTIVIRUS Edificio principal
SERVIDOR CITRIX Edificio principal
SERVIDOR BALACKBERRY Edificio principal
SERVIDOR ABMAIL Edificio principal
SWHITCH Edificio principal
ROUTER Edificio principal
MODEM Edificio principal
CENTRAL TELEFONICA Edificio principal
32. PROCESO NIVEL CRITICO APLICACIÓN HARDWARE
VENTAS 5 SIGI CDC_DBASE, ALMAIL
PROYECTOS 3 SIGI CDC_DBASE, ALMAIL
FINANCIERO 4 SIGI,GP
CDC_DBASE, SAMBDATA,
ALMAIL
CONTABLE 3 GP SAMBDATA, ALMAIL
NOMINA 2 EVOLUTION SAMBDATA, ALMAIL
CREDITO Y
COBRANZA 4 SIGI CDC_DBASE, ALMAIL
COMUNICACIÓN
EMPRESARIAL 5 EXCHANGE ABMAIL
Activos y procesos:
CONTROLES DE APLICABILIDAD
33. Incluir seguridad de información en el proceso.
Continuidad comercial y evaluación de riesgos.
Desarrollo e implementación del plan de continuidad.
Marco referencial de la planeación.
Prueba y evaluación.
CONTROLES DE APLICABILIDAD
34. La perdida de información podría
soportar muchas consecuencias
negativas.
La seguridad de información es una
medida para incrementar el éxito.
Permitirá mantener un proceso de
mejora continua.
CONCLUSIONES
35. Contar con el apoyo correspondiente
de las altas autoridades.
Concienciar a los empleados sobre la
seguridad de la información.
Constante evaluación del sistema de
seguridad de información.
RECOMENDACIONES