• No se han encontrado resultados

Herramienta para la gestión de Riesgos Deliberados Físicos e Informáticos.

N/A
N/A
Info
Descargar
Protected

Academic year: 2021

Share "Herramienta para la gestión de Riesgos Deliberados Físicos e Informáticos."

Copied!
30
0
0

Cargando.... (Ver texto completo ahora)

Descargar ahora ( 30 página )

Texto completo

(1)

www.cuevavaliente.com

Herramienta para la gestión de Riesgos Deliberados

Físicos e Informáticos

(2)

Índice

1. ¿Por qué?

2. ¿Para qué?

3. Evolución

4. Metodología

5. Funcionamiento

5.1 ¿Qué hace?

5.2 ¿Cómo lo hace?

(3)

La Seguridad ante riesgos de origen deliberado (Security) tiene un origen común: la voluntad de hacer daño a la empresa por agentes externos y/o internos.

El modo de hacerlo puede ser físico (Robos, atracos, sabotajes, etc.), lógico (Intrusiones informáticas, denegación de servicio, troyanos, etc.) o una combinación de ambos, pero el origen y el fin es el mismo.

3

(4)

Desde las instituciones, esta necesidad de hacer frente a las amenazas físicas y lógicas, ha sido abordada con la publicación de la Ley para la Protección de las Infraestructuras Críticas y la creación del Centro Nacional de Protección Infraestructuras Críticas.

Ley y organismo ven a la seguridad como un todo y no como la suma de dos ámbitos distintos, dando un impulso a la necesidad de tener planes de Seguridad Integral.

(5)

En este contexto, la elaboración de un análisis de riesgos es vital para hacer frente a las exigencias de la ley y de la sociedad.

GR2Sec ha sido desarrollado por profesionales en al ámbito de la Seguridad Integral para ayudar a las empresas a elaborar su análisis de riesgos de Seguridad ante riesgos deliberados (Security) que den respuesta a las amenazas y necesidades de la sociedad actual.

Adaptado a las necesidades de Análisis de Riesgos de los Planes de Protección Específicos (PPE) a realizar por los Operadores Críticos según la Legislación PIC.

5

(6)

GR2Sec se centra en los riesgos deliberados, permitiendo a sus usuarios:

• Conocer sus riesgos

• Conocer el estado de sus medidas y controles de Seguridad • Hacer benchmarking entre sus instalaciones y en el tiempo • Planificar inversiones de Seguridad

• Gestionar con criterios armonizados la Seguridad Integral de acuerdo a las normas , ISO 31000 e ISO 27001.

• Realizar los Análisis de Riesgos de los Planes de Protección Específicos (PPE) según la Legislación PIC.

(7)

Principales ventajas de GR2Sec:

• Relación AR con Propuestas de Controles y Medidas Seguridad • Enfoque integral, físico y lógico

• Apegado a estándares internacionales • ISO 31000

• ISO 27001 • Magerit II

• AS/NZS 4640

• Permite ciclos PDCA’s de mejora continua en la gestión de riesgos • Proporcionalidad de los controles de Seguridad propuestos

• Enfocado a estrategias de protección: • Permite actualizar catálogos

• Permite adaptarse a los best practices del cliente • Adaptable a usos y requerimientos de cada cliente

7

(8)

2007 2010 2015

GRSec 31000 ARG07

(9)

9

3.- Evolución GR2Sec

ARG07 GRSec 31000 Conferencia Carnahan 2007 Ottawa, Canada 2010 2011 2014 SGSC 2007 2008 2009 2012 2013 Conferencia Enise 2011 León, España Conferencia Carnahan 2011 Mataró, España

(10)

• Acorde a la Guía de Buenas Prácticas para los Planes de Protección Específicos de la Legislación PIC.

• Integración de las metodologías más utilizadas.

4.- Metodología

• Esquema general.

• Propuesta de controles de ISO 27002.

• Identificación de activos.

• Lista de amenazas.

MAGERIT ISO 31000

• Esquema general.

• Análisis de Riesgos según AS/NZS 4360.

• Lista de amenazas y de Medidas de Seguridad según GRSec31000.

(11)

Gestión de la Seguridad Cumplimiento LPIC

Seguridad Física ISO 31000 Seguridad Lógica ISO 27001

11 • ISO 31000 • ISO 27001 • ISO 27002 • MAGERIT II • AS/NZS 4360

Normativas Internacionales base: Decisión y

Compromiso

Diseño del Marco de Actuación del SGSF Implementación del SGSF Seguimiento y Revisión del SGSF Mejora continua del SGSF Plan del SGSI Mantenimiento y mejora del SGSI

Implementación del SGSI Seguridad de la Información gestionada Requerimientos de la Seguridad de la Información Planificación Implementación Medición Actuación MODELO SGSC

SGSC: Sistema de Gestión Corporativa de Seguridad

Requerimientos Políticas SGSI: Sistema de Gestión de Seguridad de la Información SGSF: Sistema de Gestión de Seguridad Física Medición del SGSI

4.- Metodología

(12)

Planificación

Implementación

Medición

Actuación

MODELO SGSC

SGSC: Sistema de Gestión Corporativa de Seguridad

Requerimientos Políticas

Gestión de la Seguridad Cumplimiento LPIC

(13)

Contexto Identificación Activos Identificación Amenazas Identificación Tiempos Identificación de Riesgos Análisis de Riesgos Probabilidad Inherente Impacto Nivel Riesgo Inherente Evaluación de Riesgos Situaciones de Riesgo Asignación Dimensiones Tratamiento de Riesgos PLAN DO Propuesta de Controles

Evaluación Controles Existentes

Nivel de Riesgo Residual

13

4.- Metodología

Agrupación de Riesgos Gestión de Riesgos

(14)

6.1.- ¿Qué hace?

1. Identificación de Amenazas y Activos.

2. Identificación de los Riesgos

3. Evalúa los Riesgos: Probabilidad e Impactos.

4. Propone medidas (controles) de Seguridad .

5. Presenta los Riesgos residuales.

(15)

1.- Identificación de Amenazas y Activos

15

(16)

1.- Identificación de Amenazas y Activos

(17)

2.- Identificación de los Riesgos

17

(18)

3.- Evalúa los Riesgos: Probabilidad e Impactos

(19)

3.- Evalúa los Riesgos: Probabilidad e Impactos

19

(20)

4.- Propone medidas (controles) de Seguridad

(21)

5.- Presenta los Riesgos residuales

21

(22)

6.2.-¿Cómo lo hace?

5.- Funcionamiento GR2Sec

1. Utiliza diferentes niveles de acceso.

2. Edición de análisis de riesgos

Nuevos

Revisión de existentes

Simulación de cambios

3. Personalización de lista de amenazas.

4. Cambios del nivel de amenaza.

(23)

1.- Utiliza diferentes niveles de acceso

23

(24)

3.- Personalización de amenazas

(25)

4.- Cambios del nivel de amenaza

25

5.2.- Funcionamiento GR2Sec

• Permite estudiar diferentes situaciones de entorno

• Facilita la definición de controles y medidas de Seguridad permanentes (nivel 1) y temporales (otros niveles)

(26)

• Licencia de la aplicación

• Personalización

• Implantación en la infraestructura del cliente

• Licencia de uso

• Personalización

• Parametrización de la aplicación

• Formación

• Asistencia técnica telefónica

EN CLOUD

EN CLIENTE

(27)

27

6.- Suministro e Implantación

Existirán tres escalas de derechos de uso de licencia:

• Sencilla: 1 proyecto en una única ubicación y hasta 100 activos.

• Múltiple: Hasta 25 ubicaciones o un número menor hasta 2.000 activos.

• Ilimitada: Sin límite de ubicaciones ni de activos.

Licencia

Incluido en el precio de las licencias se suministran las siguientes posibilidades de personalización:

• Inclusión del logo del cliente.

• Hasta un máximo de 2 colores.

• Tipo de letra a elegir de entre un repertorio.

• Definición de diferentes Franjas horarias.

(28)

6.- Suministro e Implantación

• En los casos de implantación en la infraestructura del cliente se incluye su instalación en un PC o un servidor.

• Las instalaciones que impliquen un trabajo adicional (por ejemplo adaptarse a login común) serán facturadas a parte.

Implantación en la infraestructura del cliente

• La aplicación se entrega “vacía”, de forma que los datos del cliente no estarán introducidos.

• En caso de que el cliente desee que se introduzcan de forma externa se facturará

(29)

29

6.- Suministro e Implantación

• La formación de los usuarios se basará en el manual específico de la aplicación, y se impartirá sin coste adicional para el cliente.

En los casos de implantación en la infraestructura del cliente, el mantenimiento Incluirá:

• Notificación regularmente de todas las actualizaciones de seguridad necesarias.

• Suministro al menos 1 nueva versión de software cada año.

En los casos de servicio desde la nube y en los de instalación en infraestructura del cliente:

• Se atenderán consultas en horario 8x5 para corrección de bugs y adaptaciones en la personalización.

Formación

(30)

Referencias

Descargar ahora ( PDF - 30 página - 1.58 MB )

Documento similar

Identificación de riesgos laborales en atención primaria a través de las comunicaciones de los trabajadores

Objetivos: Conocer la distribución de factores de riesgo laboral comunicados por los trabajadores de un distrito sanitario de atención primaria así como describir la asociación

02. SEGURIDAD FÍSICA MY MANUEL NOVOA B.

Acción de Pre-Estudio Conducción del Estudio Reporte de Resultados Acción de Seguimiento Identificación de Riesgos :. Determinar el foco de los esfuerzos

Crisis de reputación: Análisis de la situación de Ryanair

En la figura 3, se presentan tres etapas de la gestión de riesgos. En la primera etapa, denominada ‘Identificación’, las empresas, de acuerdo a su naturaleza, deben valorar los

Redes de datos

• El análisis de riesgos es el proceso que permite la identificación de las amenazas que acechan a los distintos componentes pertenecientes o relacionados con el sistema de

UNA APROXIMACION FEMINISTA A LA SALUD MENTAL DE MUJERES VINCULADAS A EMPLEOS

Esto dificulta aspectos como la evaluación de riesgos, la formación en derechos frente a la salud laboral, la identificación de enfermedades, la trazabilidad y seguimiento que

[ALE 1991] Ale, B.J.M., Risk analysis and risk policy in the Netherlands and the EEC, J

[SEGURITECNIA 1996] Dirección General de Protección Civil, Métodos para la identificación de los riesgos químicos (I), SEGURITECNIA, 1996, Madrid,

Conceptos básicos del proyecto 1

Realizar el análisis cualitativo de riesgos evalúa la prioridad de los riesgos identificados a través de la probabilidad relativa de ocurrencia, del impacto correspondiente sobre

UNIVERSIDAD POLITÉCNICA DE CARTAGENA

En esta propuesta, la gestión de los riesgos del proyecto incluye los procesos necesarios para llevar a cabo la planificación de riesgos, así como la identificación,