Evento ISO 38500

El próximo 26 de noviembre, en el Palacio Regional, te esperamos para hablar de ISO 38500:2008.

jueves, 29 de octubre de 2009

Evento sobre ISO 38500

Javier Cao Avellaneda on 5:15 | 0 comentarios
El próximo día 26 de noviembre, a las 19:00 en el Palacio Regional se celebrará un nuevo evento de la Asociación Murcya que tratará sobre ISO/IEC 38500:2008. La charla será impartida por Javier Megias Terol, Director de la Delegación de Levante de GMV, especializado en Sistemas de Gestión de Seguridad de la Información (SGSI/ISMS), Gestión por procesos de entornos TI mediante las prácticas recomendadas por ITIL, y difusión y formación en Seguridad. (CISSP, CISA, MCSE, ITIL Foundations).

ISO 38500:2008 fija los estándares de una buena gestión de los procesos y decisiones empresariales relacionados con los servicios de información y comunicación que, utilizados de manera cotidiana por una organización, suelen estar gestionados tanto por especialistas en TI internos o ubicados en otras unidades de negocio de la organización, como por proveedores de servicios externos.

En esencia, todo ello se resume en tres propósitos:
  • Asegurar el que, si la norma es seguida de manera adecuada, las partes implicadas (directivos, consultores, ingenieros, proveedores de hardware, auditores, etc.), puedan confiar en el gobierno corporativo de TI.

  • Informar y orientar a los directores que controlan el uso de las TI en su organización.

  • Proporcionar una base para la evaluación objetiva por parte de la alta dirección de la gestión de las TI.

sábado, 17 de octubre de 2009

Jornadas SYTE 10.09

Javier Cao Avellaneda on 4:21 | 0 comentarios
Formar en el “lex artis” del Derecho y de las mejores prácticas las Tecnologías de Información aplicadas al desarrollo de la Administración Electrónica, a los colectivos implicados en su impulso en el contexto de la Sociedad de la Información de la Región de Murcia: responsables políticos de la Administración Regional y Local, Funcionarios de la Administración Regional y Local implicados en el desarrollo jurídico y práctico de la e-Administración, responsables de sistemas de los sistemas de información que sustentan ésta nueva Administración, de modo que todos adquieran una acreditada competencia y cualificación para desarrollar una Administración Electrónica conforme a los mejores canones, con reconocida confianza y comprometida con la excelencia al servicio de la Sociedad de la Información de la Región de Murcia.

  • Lugar: Salón de Actos Palacio Regional, Avda. Teniente Flomesta s/n, 30001 MURCIA

  • Horario: 9 a 14 y 17 a 19h, día 7 de 9 a 14:30, día 8

  • Ponentes:
    D. Ignacio Alamillo, CISA, CISM.
    Dr. Manuel Fdez. Salmerón.
    D. Santiago Segarra Tormo.
    Dr. Julián Valero Torrijos.
    D. Alejandro Salom Campos, CISA.
    D. Manuel Escudero Sánchez Dir. Gral.Informática y Com.

sábado, 10 de octubre de 2009

Borrador del Esquema Nacional de Seguridad

Javier Cao Avellaneda on 4:27 | 0 comentarios
Hace un par de meses escribía un largo post sobre la ausencia de estrategia en materia de seguridad que podéis leer en el post titulado "La ciberseguridad española, sin orden ni concierto".

En aquel momento Joseba Enjuto vía comentarios ya avanzaba algo sobre la redacción del Esquema Nacional de Seguridad y en mis investigaciones posteriores pude hacerme con un borrador que andaba circulando.

Esta semana Joseba Enjuto de nuevo nos anuncia la publicación del borrador de Real Decreto donde se define, ni más ni menos que el Esquema Nacional de Seguridad.

¿Qué es el Esquema Nacional de Seguridad?
  • Desarrolla el artículo 42 de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos donde se habla de la seguridad en la utilización de medios electrónicos en esto de la Administración Electrónica.

  • Será una reglamentación de obligado cumplimiento dentro de las Administraciones Públicas para garantizar la seguridad informática de los tramites online, y por ende, la seguridad jurídica. Dado que la validez jurídica y robustez de los procesos administrativos recae en la informática, ahora es necesario garantizar que no habrá problemas jurídicos cuando todo se base en la tecnología




El cumplimiento de este reglamento evitará situaciones como las alguna vez denunciadas en este mismo blog.

¿Para qué servirá el Esquema Nacional de Seguridad?
  • La finalidad del Esquema Nacional de Seguridad es crear las condiciones necesarias para la confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.

  • El Esquema Nacional de Seguridad introduce los elementos comunes que han de guiar la actuación de las Administraciones Públicas en materia de seguridad de las tecnologías de la información y aporta un lenguaje común para facilitar la interacción de las Administraciones Públicas, así como la comunicación de los requisitos de seguridad de la información de las mismas a la industria.


¿Qué tiene de nuevo?
  • Por lo que he podido leer, este Real Decreto son unos muy buenos cimientos para establecer una gestión de la seguridad dentro del ámbito de las AA.PP. Se basa en unos principios esenciales como son:

    1)Seguridad entendida como un proceso integral constituido por elementos técnicos, humanos, materiales y organizativos.

    2)Análisis y gestión de riesgos: El análisis y gestión de riesgos será parte esencial del proceso de diseño de la seguridad que deberá mantenerse permanentemente actualizado. La gestión garantizará el mantenimiento de un entorno controlado, minimizando los riesgos hasta niveles aceptables.

    3)Prevención, reacción y recuperación: La seguridad del sistema debe contemplar los aspectos de prevención, detección y corrección, para conseguir que las amenazas sobre el mismo no se materialicen o no afecten gravemente a la información que maneja, o los servicios que se prestan.

    4)Reevaluación periódica: Auditoría cada dos años del funcionamiento de las medidas de seguridad para adecuar su eficacia a la constante evolución de los riesgos y sistemas de protección, llegando incluso a un replanteamiento de la seguridad, si fuese necesario.


¿Qué estructura tiene?
  • El desarrollo trata de establecer por Real Decreto una serie de requisitos mínimos que las Administraciones Públicas han de garantizar en todo lo relacionado con la e-Administración. Para ello, se han basado en las normas existentes y establecen vía reglamento unos criterios únicos y mínimos con idéntica filosofía a lo que hace el R.D. 1720/2007 en relación al cumplimiento de las medidas de seguridad vinculadas a los datos de carácter personal.

  • El documento establece unos principios básicos de gestión y luego desarrolla un catálogo de medidas de seguridad que serán exigidas de forma proporcional a los distintos organismos atendiendo a un criterio de clasificación bajo, medio o alto según la valoración de la información.

  • Las medidas se organizan en base a áreas que tienen a su vez apartados y dentro se concretan las medidas. Al igual que en la norma ISO 27002, podemos hablar de bloque, objetivo de control y controles solo que este Real Decreto establece mínimos necesarios y auditables.


¿Cómo se definen las medidas de seguridad?
  • El Real Decreto establece un principio de proporcionalidad donde a mayores requisitos de garantizar seguridad mayores requisitos exigidos como medidas de seguridad.
    Para ello, las medidas se organizan en base a los siguientes aspectos:

    3 MARCO ORGANIZATIVO
    3.1 POLÍTICA DE SEGURIDAD
    3.2 NORMATIVA DE SEGURIDAD
    3.3 PROCEDIMIENTOS DE SEGURIDAD
    3.4 PROCESO DE AUTORIZACIÓN
    3.5 AUDITORÍAS DE SEGURIDAD

    4 MARCO OPERACIONAL
    4.1 PLANIFICACIÓN
    4.2 CONTROL DE ACCESO.
    4.3 EXPLOTACIÓN
    4.4 SERVICIOS EXTERNOS
    4.5 CONTINUIDAD DEL SERVICIO
    4.6 MONITORIZACIÓN DEL SISTEMA

    5 MEDIDAS DE PROTECCIÓN
    5.1 PROTECCIÓN DE LAS INSTALACIONES E INFRAESTRUCTURAS
    5.2 GESTIÓN DEL PERSONAL
    5.3 PROTECCIÓN DE LOS EQUIPOS
    5.4 PROTECCIÓN DE LAS COMUNICACIONES
    5.5 PROTECCIÓN DE LOS SOPORTES DE INFORMACIÓN
    5.6 PROTECCIÓN DE LAS APLICACIONES INFORMÁTICAS
    5.7 PROTECCIÓN DE LA INFORMACIÓN
    5.8 PROTECCIÓN DE LOS SERVICIOS


    • Cada organismo deberá elaborar una declaración de aplicabilidad y detallar la situación en la que se encuentra cada medida atendiendo a sus niveles de seguridad definidos.


¿Donde puedo obtenerlo?

viernes, 17 de julio de 2009

Beneficio del cumplimiento de los marcos de gestión TI

Javier Cao Avellaneda on 4:24 | 0 comentarios
Aparece en DiarioTI una noticia que me ha llamado especialmente la atención. Se empiezan a hacer ya notables los resultados de aplicar unas adecuadas políticas de gestión TI dentro de las organizaciones, traduciendose estos beneficios en unos menores riesgos.

Tal como indica Diario TI:
El IT Policy Compliance Group, anunció la disponibilidad de su informe anual de investigación 2008 titulado “Cumplimiento, control de riesgos y gobernabilidad de TI – para el mejoramiento de los resultados empresariales y mitigación de los riesgos financieros".


El objetivo del cumplimiento, control de riesgos y gobernabilidad de (GRC por sus siglas en inglés) de TI es lograr un balance adecuado entre las recompensas y los riesgos empresariales. La madurez de las prácticas y funcionalidades GRC de TI tienen un impacto directo en la fortuna de las organizaciones.

La investigación sobre los parámetros de desempeño realizada por IT Policy Compliance Group revela que se mejoran los resultados empresariales y reducen los riesgos financieros, las pérdidas y los gastos si se aumentan o mejoran las competencias, prácticas y funcionalidades que rigen el uso y disposición de los recursos de TI. El informe, que incorpora respuestas de más de 2.600 organizaciones de todo el mundo, mide el impacto que han tenido las mejoras a la protección de datos, el cumplimiento de la reglamentación y la resiliencia de los niveles de servicio de TI en resultados empresariales como la satisfacción del cliente, retención de clientes, ingresos, gastos y ganancias.
Los resultados del reporte demuestran que las empresas con mejores resultados en GRC de TI disfrutan de un mejor desempeño en cuanto a la satisfacción y retención del cliente, y crecientes ingresos y ganancias que las demás organizaciones. Con base en la evidencia, de menor a mayor madurez, la administración senior, los gerentes y directores de TI, asesores jurídicos y el comité de auditoria son las funciones organizacionales principales que marcan la mayor diferencia en el mejoramiento de la madurez de GRC de TI.


He dedidido adentrarme en algunos de los resultados publicados por el IT Policy Compliance Group en relación a los marcos de gestión más elegidos y me he llevado la grata sorpresa de ver que son las buenas prácticas para la gestión de la seguridad de la información conocidas por ISO 27002 (en las gráficas todavía ISO 17799) las más adoptadas en general por las organizaciones como puede verse en la siguiente gráfica.


También merece la pena comentar cómo aquellas organizaciones que logran implantar un marco de gestión, observan los beneficios claros que esto produce y deciden ampliar hacia otros marcos de gestión complementarios, como puede ser ITIL o ISO 20000, las guías Cobit u otros marcos destacados como muestra esta otra gráfica.

El detalle de la noticia puede consultarse en IT Policy Compliance Frameworks

jueves, 2 de abril de 2009

Seguridad de la información. Cómo diseñar y rentabilizar su inversión

Javier Cao Avellaneda on 12:00 | 0 comentarios
  • Dirigido a:
    Directivos de departamentos de TI de empresas de la región de Murcia, Jefes de servicios de TI de administración pública y en general decisores en el ámbito de Tecnologías de la Información, en empresa privada y pública.



  • Agenda:

jueves, 26 de febrero de 2009

ISO 20.000: Entregando valor al negocio

Javier Cao Avellaneda on 12:00 | 0 comentarios
La norma ISO 20.000 es el primer estándar mundial concebido específicamente para la gestión de los servicios de TI. Describe un conjunto integrado de procesos de gestión orientados a la entrega efectiva y eficiente de los servicios de TI al negocio y a sus clientes. En épocas donde la competencia es alta y la demanda escasa un aspecto fundamental para el éxito que el cliente perciba el valor que se le entrega en forma de bienes y servicios de calidad.”


  • Ponente: Carlos López Cañas.

  • Curriculum: Licenciado en Informática por la Universidad Politécnica de Valencia empezó realizando labores de consultoría, dirección de proyectos y dirección de empresas de tecnologías de la información, enfocando su perfil en los últimos años hacia el Gobierno de TI con certificaciones como CISA, ITIL e ISO 20000. Además participó en proyectos de implantación de mejores prácticas recogidas en marcos como COBIT e ITIL.

    Es miembro de la Junta directiva de ISACA-CV, forma parte de itSMF y en la actualidad compagina el trabajo de asesor en implantación de mejores prácticas de gestión de TI en diferentes proyectos con la formación en ITIL y en ‘Seguridad de Sistemas de Información’ en la universidad CEU San Pablo de Valencia

 
El blog de Murcya. Design by Wpthemedesigner. Converted To Blogger Template By Anshul Tested by Blogger Templates.