2. ÍNDICE
INTRODUCCIÓN
DE
LA
INFORMACIÓN
A
LA
SEGURIDAD
DE
LA
INFORMACIÓN
LAS
NORMAS
ISO
Y
LA
NECESIDAD
DE
UNA
HERRAMIENTA
DE
APOYO
A
LA
CONSULTORÍA
GESCONSULTOR
10
RAZONES
PARA
UTILIZAR
GESCONSULTOR
SOPORTE
Y
CONTACTO
2
3. INTRODUCCIÓN
¿Qué
es
la
Información?
“La
información
es
un
ac0vo
que,
como
otros
ac0vos
importantes
del
negocio,
0ene
valor
para
una
organización
y,
por
lo
tanto
necesita
ser
protegido”
ISO
/
IEC
27001:2005
3
4. DE
LA
INFORMACIÓN
A
LA
SEGURIDAD
DE
LA
INFORMACIÓN
Marco
Regulatorio
• La
Ley
Orgánica
de
Protección
de
Datos
(LOPD)
regula
a
nivel
legal
una
parte
importante
de
los
Sistemas
de
Información
de
la
empresa,
los
datos
de
carácter
personal.
• Complementariamente,
el
Reglamento
de
Desarrollo
RD1720/2007
especifica
controles
técnicos,
Isicos
y
organizaKvos
para
garanKzar
la
Protección
de
citados
datos.
• Los
datos
de
carácter
personal
son
un
subconjunto
del
acKvo
más
importante
que
maneja
una
empresa:
INFORMACIÓN
Información Planes
estratégicos,
salario
del
personal,
operaciones
financieras…
Confidencial
Información Ofertas
comerciales,
ERP,
contabilidad,
planes
ejecuXvos…
clasificada
Información Pública Site
público
de
la
empresa,
publicidad…
Datos de carácter Empleados,
pacientes,
clientes…
personal 4
5. ISO
27001
–
Sistema
de
GesXón
de
la
Seguridad
de
la
Información
• La
información
es
un
acKvo
vital
para
la
conKnuidad
y
desarrollo
de
cualquier
organización
pero
la
implantación
de
controles
y
procedimientos
de
seguridad
se
realiza
frecuentemente
sin
un
criterio
común
establecido.
• La
Organización
Internacional
de
Estandarización
(ISO),
a
través
de
las
normas
recogidas
en
ISO/IEC
27000,
establece
un
modelo
para
la
implementación
efecKva
de
la
seguridad
de
la
información
empresarial.
ISO 27000: Términos y definiciones.
ISO 27001: Requerimientos del SGSI.
ISO 27002 (ISO 17799): Guía de buenas prácticas.
5
6. ISO
27000
y
LOPD
• Los
objeKvos
principales
de
la
serie
27000
son
la
protección
de
la
información
en
sus
diversas
dimensiones,
garanKzando
la:
• Confidencialidad:
Indica
que
la
información
debe
ser
conocida
exclusivamente
por
las
personas
autorizadas,
en
el
momento
y
forma
prevista.
• Integridad:
Indica
que
la
información
Kene
que
ser
completa,
exacta
y
válida,
siendo
su
contenido
el
previsto
de
acuerdo
con
unos
procesos
predeterminados,
autorizados
y
controlados.
• Disponibilidad:
Indica
que
la
información
debe
estar
accesible
y
uKlizable
por
los
usuarios
autorizados
en
todo
momento,
debiendo
estar
garanKzada
su
propia
persistencia
ante
cualquier
eventualidad.
• La
aplicación
de
la
LOPD
recoge
un
subconjunto
de
buenas
prácKcas
y
procedimientos
para
proteger
eficazmente
los
Datos
de
Carácter
Personal
La
norma
ISO
27001
amplia
el
alcance
de
la
LOPD
y
se
integra
perfectamente
con
Sistemas
de
GesXón
presentes
en
la
empresa
6
7. Las
normas
ISO:
Modelo
común
de
GesXón
En
todas
las
normas
ISO
y
en
concreto
entre
la
ISO
9001
e
ISO
27001,
el
concepto
del
sistema
de
gesKón
es
común
a
ambas
normas,
estableciendo
sinergias
entre
ambas
y
un
marco
de
actuación,
estructural
y
documental
común.
Este
sistema
de
gesKón
está
compuesto
por:
•
Manual
de
Calidad
y
Seguridad.
•
Procesos/Procedimientos
OperaKvos
Generales.
•
Instrucciones
de
Trabajo
Específicas.
•
Registros
de
Calidad
y
Seguridad.
7
8. Las
normas
ISO:
Modelo
PDCA
(Plan,
Do,
Check,
Act)
Definir
el
alcance
del
SG
Definir
la
políXca
del
SG
Análisis
y
gesXón
del
riesgo
Declaración
de
Aplicabilidad
(Plan)
Planificar
Establecer
el
SG
Adoptar
acciones
prevenXvas
y
correcXvas
(Act)
Actuar
(Do)
Hacer
Implantar
las
mejoras
Implantar
controles
seleccionados
Mantener
y
Implantar y Implantar
el
Sistema
de
GesXón
propuestas
Mejorar
el
SG
Operar
el
SG
Indicadores
y
métricas
Comunicar
las
mejoras
Formación
y
concienciación
Verificar
que
las
mejoras
(Check)
Verificar
cumplen
su
objeXvo
Monitorizar
y
Revisar
el
SG
Establecimiento
de
registros
Revisar
regularmente
el
SG
Auditar
internamente
el
SG
8
9. LAS
NORMAS
ISO
Y
LA
NECESIDAD
DE
UNA
HERRAMIENTA
DE
APOYO
A
LA
CONSULTORÍA
Normas
ISO:
Beneficios
para
la
empresa
• Metodología
de
gesKón
de
seguridad
clara
y
estructurada.
Aspecto
organizaXvo
• Seguridad
garanKzada
en
base
a
la
gesKón
de
procesos
en
vez
de
en
la
compra
sistemáKca
de
productos
y
tecnologías.
• Reducción
del
riesgo
de
pérdida,
robo
o
corrupción
de
información.
Aspecto
legal
• Los
riesgos
y
sus
controles
son
conKnuamente
revisados.
• Confianza
de
clientes
y
socios
estratégicos
por
la
garanWa
de
calidad
y
Aspecto
confidencialidad
comercial.
Funcional
• Las
auditorías
externas
ayudan
cíclicamente
a
idenKficar
las
debilidades
del
sistema
y
las
áreas
a
mejorar.
Aspecto
• Integración
de
los
diversos
sistemas
de
gesKón
(ISO9001,
ISO14001,
comercial
OHSAS…).
• ConKnuidad
de
las
operaciones.
Aspecto
• Conformidad
con
la
legislación
vigente.
financiero
• Imagen
de
empresa
a
nivel
internacional
y
elemento
diferenciador
de
la
competencia.
Aspecto
humano
• Reduce
costes
y
mejora
los
procesos
y
servicios.
• Proporciona
confianza
y
reglas
claras
al
personal
de
la
organización.
9
• Aumenta
la
moKvación
y
saKsfacción
del
personal.
10. Dificultades
de
Implantación
• Complejidad
técnica
y
organizaKva
de
las
normas.
• Elevado
volumen
de
documentación
y
necesidades
de
estructuras
documentales
específicas
• Se
requieren
conocimientos
avanzados
en
múlKples
materias
• No
existe
un
modelo
de
implementación
claramente
establecido
• Requisitos
específicos
según
la
norma
de
referencia
(Ej:
la
ISO
27001
exige
la
aplicación
de
una
metodología
de
Análisis
y
GesKón
de
Riesgos
que
es
compleja
y
diIcil
de
implementar)
• Mantenimiento
de
los
registros
complejo
• GesKón
de
indicadores
compleja
• Burocracia
excesiva
• Necesidad
de
automaKzar
la
GesKón
de
los
Sistemas
NECESIDAD
DE
UNA
HERRAMIENTA
QUE
GUIE
AL
CONSULTOR
Y
A
LA
EMPRESA
DURANTE
TODO
EL
PROCESO
10
11. • GESConsultor
proporciona
una
solución
integral
para
consultores
y
empresas
a
la
hora
de
implementar
y
gesKonar
un
Sistema
de
GesKón,
facilitando
las
dificultades
anteriormente
expuestas.
• GESConsultor
es
una
herramienta
para
la
implantación
y
el
seguimiento
del
Ciclo
Completo
de
Sistemas
de
GesKón
en
la
que
destacan
las
siguientes
caracterísKcas:
• Implantación
de
normas.
• GesKón
documental.
• Análisis
de
Riesgos
11
12. DESCRIPCIÓN
GENERAL
• Lugar
de
encuentro
entre
consultores,
empresa,
y
los
equipos
de
trabajo
que
se
relacionan
con
los
Sistemas
de
GesKón.
• GesKón
a
través
de
Web
para
acceso
desde
cualquier
lugar
por
cualquier
perfil.
• Portal
personalizado
según
el
perfil
de
acceso.
12
13. FUNCIONALIDADES
• Implantación
de
Normas
basadas
en
estándares
• ENS
(Esquema
Nacional
de
Seguridad)
• ISO
27001
(Sistema
de
GesKón
de
Seguridad
de
la
Información)
• ISO
9001
(Sistema
de
GesKón
de
Calidad)
• ISO
14001
(Sistema
de
GesKón
Medioambiental)
–
en
desarrollo
• UNE
166002
(Sistema
de
GesKón
de
I+D+i)
–
en
desarrollo
13
14. • Herramienta
para
Consultores
• MulK-‐cliente.
• MulK-‐norma
(ISO
9001,
ISO
27001,
etc.)
en
un
mismo
o
varios
clientes.
• Panel
de
control
personalizado
con
la
imagen
corporaKva
de
la
empresa
de
consultoría
y
sus
datos
de
contacto.
• Posibilidad
de
disponer
varios
consultores
en
la
herramienta.
• Segregación
de
perfiles
y
clientes
asignados
por
consultor.
• Limitación
de
un
perfil
de
consultor
sólo
de
consulta.
14
15. • DiagnósXco
Diferencial
• DiagnósKco
de
situación
control
a
control
contra
los
dominios
de
la
norma
bajo
análisis.
• ComparaKvas
evoluKvas
respecto
de
evaluaciones
anteriores.
• ComparaKvas
respecto
del
sector.
• Generación
de
informes
de
resultados
AutomaKzados.
15
17. • Documentación
de
los
Sistemas
de
GesXón
• Incorpora
pre-‐cargado
un
sistema
de
GesKón
Completo
para
la
norma
bajo
Análisis
(SGSI,
SGC,
etc.)
validado
por
numerosas
implantaciones
y
cerKficaciones
exitosas.
• La
documentación
se
edita
y
se
parKculariza
de
manera
integrada
herramienta
a
la
situación
de
la
enKdad
• Edición
y
almacenamiento
de
todos
los
registros,
informes,
actas,
no
conformidades,
etc.
exigidos
por
la
norma
para
implantar
y
cerKficar
un
sistema
de
gesKón.
• Se
pueden
incorporar
procedimientos
y
documentos
externos
(ofimáKcos
por
ejemplo)
e
incorporarlos
al
sistema
de
gesKón.
17
18. • Gestor
Documental
• Cualquier
Norma
basada
en
estándares
ISO
requiere
una
documentación
asociada:
políKcas,
normas
y
procedimientos
y
otros
requerimientos
documentales.
• Permite
realizar
una
gesKón
ordenada
y
coherente
de
la
documentación
asociada
al
Sistema
de
GesKón.
• DisKntos
Roles
y
permisos
para
los
flujos
de
aprobación
de
documentos.
• Control
de
versiones
.
18
19. • Gestor
RRHH
Las
acKvidades
relaKvas
a
cualquier
Norma
internacional
deben
ser
coordinadas
entre
los
representantes
de
las
diferentes
partes
de
la
organización
con
sus
correspondientes
roles
y
funciones
de
trabajo.
Para
ello
GESConsultor
permite:
•
Crear
roles/puestos
de
trabajo
•
IdenKficar
áreas/departamentos
•
IdenKficar
al
personal
implicado
•
Formar
un
Comité
de
Seguridad
19
20. • Análisis
y
GesXón
de
Riesgos
• Este
módulo
permite
llevar
a
cabo
análisis
de
riesgos
cualitaKvos
de
los
sistemas
de
información
de
las
empresas
• Basado
en
la
reconocida
Metodología
de
Análisis
y
GesKón
de
Riesgos
de
los
Sistemas
de
Información
(Magerit)
versión
2.
Esta
metodología
es
de
carácter
público
y
ha
sido
elaborada
por
el
Consejo
Superior
de
Administración
Electrónica
(CSAE),
órgano
del
Ministerio
de
Administraciones
Públicas
(MAP)
• Cumple
todos
los
requisitos
exigidos
por
la
norma
ISO
27001
20
21.
• Análisis
y
GesXón
de
Riesgos
• IdenKficación
de
AcKvos
de
Información
• Dependencias
entre
AcKvos
• Valoración
del
acKvo
para
sus
dimensiones
de
seguridad
de
la
información
(Disponibilidad,
Integridad,
Confidencialidad,
AutenKcidad
y
Trazabilidad)
21
22. • Análisis
y
GesXón
de
Riesgos
• Catálogo
de
Amenazas
• Selección
de
conjunto
de
amenazas
para
cada
acKvo
• Valoración
de
las
amenazas
22
23. • Análisis
y
GesXón
de
Riesgos
• Cálculo
del
riesgo/impacto
acumulado
• Cálculo
del
riesgo/impacto
repercuKdo
• Cálculo
del
riesgo/impacto
residual
23
24. • Análisis
y
GesXón
de
Riesgos
• Tratamiento
de
Riesgos
• Selección
de
controles
• Transferirlo
a
un
tercero
• Evitarlo
• Asumirlo
• Declaración
de
Aplicabilidad
24
25. • Análisis
y
GesXón
de
Riesgos
Planificador
de
acciones
• Planificación
de
fechas
de
actuación
• Asignación
de
responsables
• Seguimiento
del
estado
de
las
acciones
• Anexar
documentación
• Importes
previstos
25
26.
10
RAZONES
PARA
UTILIZARLO
1. Establece
un
marco
de
referencia
para
la
implantación
y
operación
de
Sistemas
de
GesKón
de
una
manera
fácil
y
ordenada.
2. Monitoriza
y
centraliza
toda
la
información
de
modo
ordenado
y
ópKmo,
facilitando
la
localización
de
informes,
registros
e
indicadores.
3. Permite
gesKonar
de
una
manera
ágil
y
sencilla
Sistemas
de
GesKón
complejos,
integrando
los
diferentes
Sistemas
de
GesKón
en
la
empresa:
SGC,
SGSI,
SGIDI…
4. Dispone
de
un
interfaz
web
visual
e
intuiKva,
que
recoge
todos
los
requisitos
de
las
normas
para
operar
Sistemas
de
GesKón.
5. Es
un
desarrollo
en
constante
evolución,
que
se
adapta
y
mejora
en
sus
sucesivas
versiones
para
ofrecer
un
servicio
más
completo
al
consultor
y
a
la
empresa
final.
26
27.
6. GESConsultor
se
integra
perfectamente
con
Gesdatos
para
permiKr
una
migración
y
adecuación
fácil
y
sencilla.
7. GESConsultor
cumple
con
el
ciclo
de
mejora
conKnua
PDCA.
8. GESConsultor
permite
mantener
en
constante
evolución
y
actualización
un
Sistema
de
GesKón.
9. GESConsultor
permite
que
cada
perfil
que
intervenga
en
un
Sistema
de
GesKón
disponga
de
un
interfaz
único
y
personalizado.
10. GESConsultor
permite
a
un
consultor
o
grupo
de
consultores
gesKonar
totalmente
su
cartera
de
clientes
en
las
que
lleva
a
cabo
su
trabajo
de
una
manera
sencilla
y
coordinada,
mediante
un
interfaz
de
gesKón.
27
28. SOPORTE
Y
CONTACTO
El
soporte
básico
y
por
tanto
gratuito
incluye:
Consultas
vía
email
a
soporte
de
GesConsultor
sin
límite
en
relación
con
aspectos
relaXvos
a
la
herramienta
Información
y
Contacto:
info@gesconsultor.com
Teléfono:
902
900
231
Adicionalmente
se
ofrece
la
posibilidad
de
cursos
formaKvos
respecto
de
la
uKlización
de
la
herramienta,
así
como
formación
específica
de
las
normas
ISO
27001
e
ISO
9001.
28