2. ¿Para qué un Sistema de Gestión?
Así?
Pensemos en cómo pedimos un servicio
3. ¿Para qué un Sistema de Gestión?
O así?
… de la importancia de los procedimientos
4. ¿Para qué un Sistema de Gestión?
Necesitamos
organizar y
gestionar los
recursos para…
5. ¿Para qué un Sistema de Gestión?
… poder hacer
grandes cosas
… y que no se
caiga
6. Qué nos ha aportado a nosotros
CLIENTE
ARIADNEX
SERVICIO
ESTANDARIZADO
SLA
7. ¿Para qué un Sistema de Gestión?
lEficiencia en la Gestión de TI
lFlexibilidad y Adaptabilidad
lTime to Market
lCalidad de los servicios de TI
lCumplimiento de compromisos. Ser
predecible
lEficiencia en la ejecución, eficiencia en
costes
lAlineación de TI con el negocio
lComunicación y planificación
16. ISO 20000
Gestión de Servicios de TI
●
Procesos de Provisión del Servicio
●
Gestión de Nivel de Servicio
●
Generación de Informes del Servicio
●
Gestión de la Continuidad y Disponibilidad del Servicio
●
Elaboración de Presupuesto y Contabilidad de los Servicios
●
Gestión de la Capacidad
●
Gestión de la Seguridad de la Información
●
Procesos de Relación
●
Gestión de las Relaciones con el Negocio
●
Gestión de Suministradores
●
Procesos de Resolución
●
Gestión de Incidencias y peticiones de servicio
●
Gestión de Problemas
●
Procesos de Control
●
Gestión de la Configuración
●
Gestión de Cambios
●
Gestión de la entrega y despliegue
17. ISO 20000
Gestión de Servicios de TI
El problema
radica en
hacer que
la empresa
funcione
como una
orquesta
18. ISO 27001
Gestión de Seguridad de la Información
●
Políticas de Seguridad
●
Aspectos organización de la Seguridad de la Información
●
Seguridad ligada a los recursos humanos
●
Gestión de Activos
●
Control de Accesos
●
Cifrado
●
Seguridad Física y Ambiental
●
Seguridad Operativa
●
Seguridad en las telecomunicaciones
●
Adquisición, desarrollo y mantenimiento de los Sistemas de Información
●
Relaciones con Proveedores
●
Gestión de Incidentes en la Seguridad de la Información
●
Aspectos de Seguridad de la Información en la Gestión de la Continuidad del Negocio
●
Cumplimiento
19. ISO 27001
Gestión de Seguridad de la Información
Todo lo marca la palabra maldita “Política”, lo que nosotros como
empresa nos proponemos
20. ISO 27001
Gestión de Seguridad de la Información
La seguridad es un proceso INTEGRAL
Firewall $$$$$
El punto más débil marca mi nivel de seguridad: Serán los usuarios?
Los equipos? Los procedimientos?
27. Ejemplo: PCI-DSS
●
Política de Seguridad de la Información
●
Metodología de desarrollo software
●
Gestión de Cambios
●
Política de Control de Acceso
●
Política de Seguridad física y ambiental
●
Política de destrucción certificada de medios
●
Procedimiento de sincronización de hora de sistemas
●
Políticas de Auditorías de Seguridad de Red
●
Gestión de Proveedores
●
Gestión de Incidentes
●
Seguridad de los Recursos Humanos
●
Gestión de Claves Criptográficas
28. Ejemplo: Esquema Nacional de Seguridad
●
Protección de la Información
●
Marco Organizativo
●
Gestión del Personal
●
Planificación Operacional
●
Explotación Operacional
●
Protección de los equipos
●
Protección de las Instalaciones e Infraestructura
●
Monitorización de los Sistemas
●
Servicios Externos
●
Protección de las Comunicaciones
●
Protección de los Soportes de Información
●
Protección de las Aplicaciones Informáticas
●
Protección de los Servicios
●
Continuidad del Servicio
32. ¿Cómo protegernos?
● Gestión de seguridad en redes
● Antivirus, IDS/IPS, Port Security, DHCP
Snooping
● Controles de Accesos
● Contraseñas robustas, periodicidad de las
contraseñas, Autenticación de Segundo Factor
(2FA)
● Controles criptográficos
● SSL, TLS, VPN
● Capacitación y educación en seguridad
● Formación, Mensajes de Advertencias