1 / 12

Evaluación y gestión de los riesgos de los sistemas de información en el Ministerio de Economía y Hacienda

Evaluación y gestión de los riesgos de los sistemas de información en el Ministerio de Economía y Hacienda. Agenda. Condiciones preliminares Pasos a dar: Definición clara y concisa del alcance Decisión de abordarlo con personal interno/externo Recogida de información

phylicia
Download Presentation

Evaluación y gestión de los riesgos de los sistemas de información en el Ministerio de Economía y Hacienda

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Evaluación y gestión de los riesgos de los sistemas de información en el Ministerio de Economía y Hacienda

  2. Agenda Condiciones preliminares Pasos a dar: • Definición clara y concisa del alcance • Decisión de abordarlo con personal interno/externo • Recogida de información • Caracterización de activos y dependencias • Análisis de amenazas y valoración de riesgos • Toma de decisiones: salvaguardas • Plan Director de Seguridad • Reiniciar el ciclo Reflexiones desde nuestra experiencia

  3. Condiciones preliminares • Para abordar un proyecto de Análisis y Gestión de Riesgos es necesario: • Apoyo de la Alta Dirección • Dedicación de los recursos económicos y humanos necesarios • Definición de la metodología y herramientas: • MAGERIT y PILAR

  4. Definición clara y concisa del alcance • Imprescindible la definición del proyecto desde su inicio • ¿Qué partes del organigrama abordará? Ámbito • ¿Qué servicios / actividades incluir? Alcance

  5. Decisión de abordarlo con personal interno/externo • En función del alcance: • Interno. Limitado a una parte del organigrama o a un sólo servicio/actividad (ej. Correo-e) • Externo. Más extenso, con supervisión. • En ambos casos: necesidad de dedicar recursos suficientes (para hacer o para supervisar)

  6. Recogida de información • Análisis diferencial respecto a norma ISO 17799:2005 • Entrevistas • Formularios • Análisis de vulnerabilidades: • Técnicas (hacking ético: test intrusión, etc.) • No técnicas (seguridad física, aspectos legales y organizativos, análisis de procesos, revisión de los controles implantados, etc.)

  7. Caracterización de activos y dependencias • Inventariar y clasificar activos (desde el punto de vista del análisis de riesgos) • Plasmar de manera estructurada y homogénea la información recogida en el paso anterior • Nivel de detalle adecuado • No escaso: reflejo suficiente de la realidad • No excesivo: debemos poder gestionarlo y mantenerlo • Paso fundamental, el resto depende de este modelo

  8. Análisis de las amenazas y valoración del riesgo • Analizar las amenazas: • Qué riesgos existen • Clasificación por su criticidad • Herramienta PILAR: útil (imprescindible si hay muchos activos) • Sólo es una herramienta (potente, pero sólo una herramienta) • La inteligencia y el sentido común los debe poner el usuario para detectar los falsos positivos y negativos que pueda sugerir la herramienta.

  9. Toma de decisiones: salvaguardas • Documento de Aplicabilidad (SOA, Statement of Applicability) • Recoge las conclusiones de los pasos anteriores • Identifica los riesgos y puede incluir recomendaciones de decisión Toma de decisiones: Tarea de la Alta Dirección. Asumir Mitigar Transferir

  10. Plan Director de Seguridad • Proyectos de implantación de salvaguardas para mitigar los riesgos • Planificación temporal • Planificación de recursos necesarios (económicos y humanos, internos y externos) • Programa de Gestión del Cambio • Cambio en la Cultura de Seguridad de la Organización

  11. Reiniciar el ciclo • Mejora continua (Ciclo PDCA) • Foto única. Análisis de Riesgos no mantenido sirve de poco. • Fotos periódicas. Actualmente es factible hacer revisiones periódicas. • ... • Vídeo. En el futuro …, herramientas que permitan mantener actualizado el inventario de activos, amenazas, riesgos y salvaguardas, de forma que generen informes de situación y de mejora automatizados. • La Seguridad absoluta no existe

  12. Reflexiones desde nuestra experiencia • Lleva tiempo la creación de una estructura de seguridad (Comité de Seguridad y Oficina de Seguridad), especialmente en el sector público, a pesar de contar con un fuerte apoyo de la Dirección • Creemos en estas iniciativas y en los beneficios de llevarlas a cabo • Plazo de ejecución del proyecto completo de 2 años, y luego ciclo continuo con personal interno • Conciencia del personal interno: la seguridad no puede ser algo extraño al trabajo diario, debe formar parte de él

More Related