Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Uso de O-ISM3 en Cajamadrid (Ahora Bankia)

6,891 views

Published on

Uso de O-ISM3 en Cajamadrid (Ahora Bankia)

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Uso de O-ISM3 en Cajamadrid (Ahora Bankia)

  1. 1. Conviviendo con certificaciones, normativas yestándaresT24: Impacto de la falta de seguridad en el negocioGordo Naveso, AntonioCoordinador del equipo de Administración yrespuesta a incidentesCajaMadrid
  2. 2. Índice 1. El Dibujo 2. El Puzzle 3. La Solución 2
  3. 3. 1 – El Dibujo Seguridad es una parte integral de la Gestión de TI Objetivos Obligaciones Éxito Lo que queremos hacer Lo que tenemos que hacer Calidad Tan bien como queremos Tan bien como tenemos hacerlo que hacerlo Seguridad Con la fiabilidad con que Con la fiabilidad con la queremos hacerlo que tenemos que hacerlo La Gestión de TI se encarga principalmente de los cuadrantes en azul La Gestión de Seguridad TI se encarga principalmente de los cuadrantes en rojo Las organizaciones no suelen demandar esfuerzos de cumplimiento más allá de lo imprescindible 3
  4. 4. 2 – El Puzzle ¡Tantas piezas por encajar! Objetivos Obligaciones Éxito ISM3 PCI DSS LOPD CMMI ITIL Calidad Seguridad ISM3 ISO 27001 4
  5. 5. 2 – El Puzzle Mejora Continua de Ciclo Corto • La mejora continua no tiene sentido en ciclos largos, de varios meses. • Las metodologías facilitan la mejora de las actividades repetitivas, pero usar una metodología no garantiza los resultados. • Nada sustituye la experiencia, conocimiento y compromiso de un Equipo, especialmente para actividades que no son repetitivas. • Hay actividades de gestión que pueden llevar a una mejora, pero no a una mejora de ciclo corto: • Análisis de Riesgos • Auditorias • Certificaciones • Planes Estratégicos o Tácticos. 5
  6. 6. 2 – El Puzzle Procesos de Gestión de Seguridad (fuente: ISM3) 1. Gestión del Nivel de Servicio (METRICAS, METRICAS y METRICAS) ISM3 2. Gestión del Conocimiento ISM3 3. Gestión de Proveedores y de Externalización ITIL 4. Gestión de Seguridad del Personal 5. Gestión del Inventario ITIL 6. Gestión de Actualizaciones, Endurecimiento y Ciclo de Vida de los Sistemas. ITIL 7. Gestión de la Seguridad del Desarrollo CMMI 8. Gestión de la Segmentación y Control de Comunicaciones ITIL 9. Gestión Antimalware 10. Gestión de Identidades ISM3 11. Gestión de Copia de Seguridad y Archivado OAIS 12. Gestión de la Continuidad de Negocio BS25999 13. Gestión de Pruebas de Hacking Ético OSSTMM 14. Gestión de la lucha contra el Fraude 15. Gestión de Alertas, Eventos e Incidentes ITIL 6
  7. 7. 2 – El Puzzle Procesos de Gestión de Seguridad (ISM3) Gestión del Conocimiento Gestión del Nivel de Servicio ITIL Gestión de Proveedores y de Externalización ITIL Gestión de Seguridad del Personal LOPD Gestión del Inventario ITIL Gestión de Actualizaciones, Endurecimiento ITIL, LOPD, PCI DSS y Ciclo de Vida de los Sistemas. Gestión de la Seguridad del Desarrollo CMMI, LOPD; PCI DSS Gestión de Identidades LOPD Gestión de Copia de Seguridad y Archivado OAIS Gestión Antimalware PCI DSS Gestión de la Continuidad de Negocio BS25999Gestión de la Segmentación y Control de Comunicaciones PCI DSS Gestión de Pruebas de Hacking Ético OSSTMM Gestión de la lucha contra el Fraude PCI DSS Gestión de Alertas, Eventos e Incidentes 7
  8. 8. 2 – El Puzzle La mejora de ciclo corto precisa • Reconocer que sólo puede aplicarse a actividades repetitivas. • Comprender cuales son los objetivos de la actividad, y que valor aporta la actividad al cumplimiento de los objetivos. • Reflejar la actividad en entregables, que es lo que miden las métricas. • Uso de gestión del conocimiento que permita difundir el conocimiento, facilitar el trabajo en equipo, y acelerar la aplicación de las mejoras. • Uso de métricas que permitan ver el efecto de las mejoras en un plazo razonable. • Uso de informes que reflejen las métricas de forma que puedan interpretarse y comunicarse correctamente su significado, tendencia e implicaciones, entre ellas diagnosticar el resultado de las decisiones de gestión. 8
  9. 9. 2 – La solución Mensajes finales • La gestión de la seguridad de la información es parte de la Gestión IT. •La mejora de ciclo corto no resulta de los planes a largo plazo, ni de la auditoria, la certificación ni el análisis de riesgos. • La mejora de ciclo corto requiere de un esfuerzo inicial significativo. • El uso de estándares no es una panacea, sirven para lo que sirven: Gestión de actividades repetitivas. 9
  10. 10. Fin de la presentación Muchas gracias 10

×