You are on page 1of 33

Mejora de la Seguridad de la

Información para las Pymes Españolas

Noviembre 2010

1

Objetivos

 Los objetivos de esta jornada de presentación a las Empresas
participantes en PYMESecurity son:

Presentar la organización del Programa

Definir la metodología de trabajo

Establecer las actividades que deberán realizar las PYMES
participantes

Exponer el esquema de financiación

2

Índice

•Objetivos
•Modelo operativo
•Organización
•Fases del proyecto
•Calendario
•Estructura económica

3

que facilita a la empresa participante todos los servicios necesarios para implantar un Sistema de Gestión de Seguridad de la Información (en adelante. dirigidos a la consecución del principal. de acuerdo con la norma UNE ISO/IEC 27001:2007. aprovechando la experiencia atesorada en la primera y segunda edición de PYMESECURITY.  Los objetivos secundarios. concienciar y comunicar a las PYMES acerca de las ventajas y beneficios derivados de la mejora de la gestión de la seguridad • Formar al personal de las empresas participantes en los procesos y herramientas establecidos durante la implantación de los controles derivados de la norma de referencia. como medio para consolidar y avanzar en la Sociedad de la Información. y su posterior certificación. SGSI).Objetivos del proyecto  La finalidad de PYMESecurity es promover entre las Pymes españolas un sistema TIC seguro. para crear una nueva competencia interna 4 .  Este programa se diseña como un programa agrupado e integral. planteados para este proyecto son: • Sensibilizar.

etc. propiedad intelectual. 5 . LSSI.Beneficios para la empresa Mejora la seguridad de los sistemas de información empresariales (Confidencialidad. entre ellos. La implantación y certificación de un SGSI basado en la norma UNE EN/ISO 27001:2007 aporta ventajas de reconocimiento de sus clientes y partners. Preparación ante incidentes de gravedad que puedan parar el negocio. cumplir con la legislación aplicable: LOPD. La norma de buenas prácticas UNE EN/ISO 27002:2009 explica los controles aplicables al SGSI. Integridad y Disponibilidad de la Información).

se fundamenta en las premisas siguientes:  Estandarización y simplificación de procesos y productos a generar  Metodología unificada de implantación de un SGSI  Tipificación de empresas y controles a implantar  Dirección y coordinación centralizada  Herramientas comunes de gestión del proyecto  Seguimiento y control de plazos.Modelo operativo El modelo operativo del Programa. para lograr el éxito de la consecución de los objetivos de PYMESECURITY. logros y presupuesto  Soporte continuo a las consultoras de implantación  Alineación con requisitos de certificación de la entidad certificadora 6 .

Modelo operativo Dirección Oficina Técnica Consultoras PYMES Formación específica Implantación SGSI Certificadora Herramienta Supervisión y seguimiento Formación agrupada Coordinación certificaciones Documentación administrativa Justificación económica Control y reporting Consultoría de implantación Seguimiento y resolución de incidencias Control de satisfacción Coordinación con asociaciones participantes Coordinación Incidencias Incidencias Auditoría Auditorias Coordinación con consultores Asistencia a la certificación 7 Certificación .

apoyando a las consultoras colaboradoras en el proyecto en la planificación y control de sus tareas.Organización  La organización de PYMESURITY seguirá un modelo de gestión cuya dirección y coordinación esta encomendada a ETICOM. que dispondrá de una Oficina de Proyecto que se encargará de la gestión de todos los aspectos técnicos del proyecto  La Oficina de Proyecto desempeñará las funciones siguientes:  Dirección Técnica del proyecto. asegurando la estandarización y homogeneidad de todos los procesos y productos de la implantación del SGSI en cada una de las PYMES participantes  Centro de Atención a Usuarios. así como a las PYMES participantes en la resolución de cualquier incidencia 8 .

Oficina Técnica  Dirección Técnica        Estandarización de procesos y productos de implantación del SGSI Administración de la herramienta de planificación y gestión del proyecto Establecimiento Plan actuación y líneas de trabajo a desarrollar Coordinación con la empresa Consultora y la Entidad de Certificación Aseguramiento de la calidad de los productos y del servicio a participantes Formación agrupada Auditorías  Centro de Atención a Usuarios     Apoyo a los equipos de consultores del proyecto ante eventualidades Seguimiento de incidencias Atención a la Web del proyecto Línea 900 9 .

10 . registro de incidencias y apoyo en la implantación en cada una de las empresas participantes. consultora y PYMES participantes. Satisfacción del cliente • Se utilizara como herramienta para determinar el nivel de satisfacción y el nivel de servicio que se este brindando a las PYMES de manera periódica. La herramienta estará disponible vía Web para la Oficina Técnica del proyecto.Oficina Técnica Las siguientes herramientas son las utilizadas en el proyecto: Herramienta AGGIL • Se utilizará la herramienta AGGIL para la gestión del proyecto.

Fases Lanzamiento del programa Evaluación inicial Implantación SGSI Validación SGSI Certificación  Formación inicial agrupada a PYMES participantes  Criterios y estándares para formación de PYMES  Puesta en operación herramientas de gestión de proyecto y de incidencias 11 .

Fases  Apoyo del software AGGIL Análisis de vulnerabilidades técnicas Análisis de Riesgos Software de gestión Plan de tratamiento de Riesgos Implantación SGSI y controles Cumplimiento de la LOPD 12 Auditoria y Certificación .

 Se constituirá el Comité de Seguridad de la Información.  Establecimiento y aprobación del Plan de Seguridad de la Información.  Aprobación de la Política de Seguridad.Fases Lanzamiento del programa Implantación SGSI Evaluación inicial Validación SGSI Certificación  La consultora evaluará el estado actual de la seguridad de la información de las empresas.  Formación inicial agrupada  Realización del Análisis de Riesgos.  Aprobación del Plan de Formación del Personal. 13 .

Evaluación inicial y plan de seguridad En esta fase se realizarán las siguientes actividades: – – Establecimiento del alcance del sistema. Análisis diferencial del estado actual de la empresa respecto a las norma de referencia. 14 .

En él se detallarán todas las actividades que conllevarán a la implantación y certificación del sistema. generando un documento en el que se desarrollen. al menos.  Se establecerá un Plan Director de Seguridad para la PYME que parte de la situación inicial identificada en el análisis diferencial y desarrolla las actividades a realizar conforme a la implantación del SGSI. 15 .  Se establecerá y aprobará la política de seguridad que regirá toda la normativa de seguridad de la PYME. Deberá contener una orientación general sobre las directrices y principios de actuación en relación con la seguridad de la información. Debe ser aprobado formalmente por la dirección. los siguientes puntos:  Integrantes y periodicidad de reunión del comité  Funciones del comité  Funciones y perfil de los roles de la empresa que tengan algún tipo de responsabilidad con la seguridad. Al menos se deben definir para el Responsable del SGSI y para el auditor interno. responsabilidades y tiempos para cada fase del proyecto.Evaluación inicial y plan de seguridad  Se formalizará el comité de seguridad de la PYME. indicando los recursos. Se generará un documento que defina los objetivos y requisitos de seguridad de la empresa.

16 . Debe incluir los criterios de valoración que se han utilizado a lo largo de todo el análisis. vulnerabilidades e impactos que afectan a los activos identificados. en materia de seguridad. Incluyendo las obligaciones y funciones del personal con respecto a la política de seguridad establecida.Evaluación inicial y plan de seguridad   Se establecerá un plan de formación. con las siguientes actividades:  Formación específica para los empleados identificados de la empresa que vayan a estar implicados en la gestión del SGSI.  Cálculo de los valores de riesgo de la entidad.  Formación técnica para los responsables de la implantación y mantenimiento de controles.  Identificación y valoración de todos los activos relevantes que participen en el alcance definido.  Establecimiento del nivel de riesgo asumible.  Identificación de amenazas. así como los criterios para la aceptación del riesgo.  Sesiones de concienciación necesarias para difundir el SGSI a todos los empleados. Se realizará un completo análisis de riesgos que incluya:  Documento con la metodología del análisis. Debe calcularse el riesgo intrínseco (sin controles aplicados) y el riesgo efectivo (considerando los controles que tenga implantados la empresa en el momento del análisis).

 Trazabilidad de los controles con la documentación donde se desarrollen las actividades relacionadas con el control.Evaluación inicial y plan de seguridad   Para gestionar los riesgos no asumibles obtenidos se realizará una selección de controles de la norma ISO/IEC 27002 y se establecerá un plan de tratamiento con el objetivo de mitigar los riesgos. la siguiente información:  Justificación de la aplicabilidad o no aplicabilidad del control. 17 . Este plan debe contener los siguientes puntos:  Actividades a realizar  Recursos necesarios  Responsabilidades  Prioridades Se elaborará la declaración de aplicabilidad que contenga para cada control de la norma 27002.  Grado de implementación de los controles.

Informe del análisis de riesgos 9. Metodología del análisis de riesgos 8. Documento y actas del comité de seguridad 4. Declaración de aplicabilidad 18 . Plan de formación 7. 2. Informe del análisis diferencial 3. Plan de tratamiento de riesgos 10. Documento del Alcance del sistema. Política de seguridad de la información 6.Evaluación inicial y plan de seguridad Productos Los productos a generar en esta fase serán los siguientes: 1. Plan Director de Seguridad 5.

19 .Evaluación inicial y plan de seguridad La herramienta AGGIL como software de apoyo para el análisis de riesgos.

Formación del personal. 2.Fases Lanzamiento del programa 1. 20 Certificación . Evaluación inicial Implantación SGSI Validación SGSI Implantación de los controles seleccionados. 4. 3. Resolución de incidencias. Despliegue del SGSI.

 Impartición de formación a los empleados de las PYMES.Implantación SGSI Actividades Durante esta fase las actividades a realizar son:  Implantación de los controles seleccionados de acuerdo con el plan para el tratamiento de riesgos establecido. tanto de concienciación como específica a los gestores del SGSI o a los encargados del funcionamiento de los controles a implantar. 21 .  Establecer un cuadro de mando de métricas e indicadores que sirvan para evaluar la eficacia de los controles implantados.

Procedimientos. instrucciones técnicas o manuales generados como consecuencia de la implantación de los controles planificados. 2. Cuadro de mando de métricas e indicadores 22 .Implantación SGSI Productos Los productos a generar en esta fase serán los siguientes: 1. Formación específica de los empleados y concienciación 3.

Implantación SGSI La herramienta AGIL como software de apoyo para la implantación de controles. 23 .

Seguimiento de la Implantación del SGSI: • Validación de la estructura de Seguridad • Validación de Políticas y Directivas de Seguridad • Auditoría Interna 2. Gestión de incidencias 3. Revisión por Dirección del SGSI 24 Certificación .Fases Lanzamiento del programa Evaluación inicial Implantación SGSI Validación SGSI 1.

que revise la situación de la empresa con respecto a las normas de referencia.Validación del SGSI Actividades Durante esta fase las actividades a realizar son:  Validación y aprobación de la estructura de seguridad creada y las normas y procedimientos establecidos para los controles seleccionados.  Realización de la una auditoría interna.  Se documentará el procedimiento en el que se describa la metodología y los criterios a seguir en la realización de la auditoría.  Se generará un informe que debe contener los siguientes puntos:  Actividades de revisión realizadas para los puntos de la norma UNE ISO/IEC 27001.  Desviaciones encontradas.  La auditoría debe realizarse por un auditor independiente. que no haya participado en la creación e implantación del SGSI. 25 .  Pruebas de cumplimiento realizadas para cada control revisado de la norma ISO/IEC 27002.

 El registro de acciones correctoras debe contener los siguientes campos:  Descripción de la no conformidad con fecha de detección  Causa de la no conformidad  Descripción de la acción correctiva  Responsable de la implantación  Evidencias o registros de la implantación  Revisión/valoración de la acción implantada  Responsable y fecha de la verificación  Revisión del SGSI por Dirección.  Se documentará el procedimiento que desarrolle la revisión del sistema por parte de Dirección. etc.  Se generará un procedimiento que desarrolle la gestión de las no conformidades del sistema. Es necesario generar evidencias de la realización de esta revisión. por ejemplo: informes. 26 .Validación del SGSI Actividades  Gestión de las acciones correctivas y de mejora. actas. así como de las acciones correctivas y preventivas que se realicen.

 Procedimiento de gestión y registro de las no conformidades y acciones correctivas y preventivas.  Procedimiento y registro de la realización de la revisión por dirección.Validación del SGSI Productos Los productos a generar en esta fase serán los siguientes:  Procedimiento e informe de la auditoría interna realizada por un auditor independiente en la implantación del SGSI de la empresa. 27 .

Emisión de Certificados 28 . Plan de Acciones Correctivas 4. Seguimiento Auditorias Externas • Fase 1 • Fase 2 3.Fases Lanzamiento del programa Evaluación inicial Implantación SGSI Validación SGSI Certificación 1. Coordinación de Auditorías de Certificación (Externas) 2.

29 .Certificación  La certificación consta de las siguientes fases:  Fase I: Análisis de la documentación y visita previa  Fase II: Auditoría  Durante estas fases las consultoras darán apoyo presencial a la PYME. Así mismo. se les asesorará para que realicen el plan de acciones correctivas resultante de la fase II.

Seguimiento Validación SGSI FASE V.Calendario CALENDARIO TAREAS 2010 2011 S O N D E F M A M J J A S O N D FASE I. Lanzamiento FASE II. Certificación 30 . Evaluación Inicial FASE III. Implantación SGSI FASE IV.

 Empresa: • Dedicación mínima de 1 persona al 15% durante la duración del proyecto.Esfuerzo  Consultor: • Soporte en la empresa y en remoto hasta la auditoría de certificación. • Compromiso de la dirección • Conocimiento por parte de todo el equipo de la parte del SGSI que le afecta 31 . • Colaboración vía software AGGIL.

000.00 EL RESTO DE PAGOS SE FACTURARÁN A NOMBRE DE CONETIC.500. AL ORGANISMO SOLICITANTE 32 . EXCLUSIVAMENTE.580 € .00 1º PAGO PARCIAL 1ª Quincena Enero 2011 2ª Quincena Enero 2011 2.Presupuesto del proyecto= 14. QUE COMO ENTIDAD SOLICITANTE SUFRAGARÁ EL RESTO DE PAGOS CON LA SUBVENCIÓN DEL PROYECTO. QUE ESTE AÑO SE CONCEDE.500 € FECHA EMISIÓN FACTURA FECHA PAGO FACTURA FACTURAS CUANTÍA 4.500.00 2º PAGO PARCIAL 1ª Quincena Marzo 2011 2ª Quincena Marzo 2011 2.Cofinanciación de la PYME: 4.Estructura económica PYMESECURITY .

33 .