Sistema de Gestión de la Seguridad de la información (SGSI).

La información es un activo crítico para cualquier organización independientemente de su tamaño y actividad. Su adecuada gestión permite establecer las líneas para su continuidad. Asegurar un sistema de gestión de esta información y de los sistema que utilizados para su procesamiento debe ser un objetivo prioritario.

Para ello es necesario implantar un sistema que establezca una metodología de forma documentada y establezca unos objetivos claros de seguridad y evaluando los riesgos a los que está sometida la información de la organización.

En qué consiste

En función de las características de la organización se debe definir un alcance y unos límites del SGSI. Se debe definir un mapa de procesos, definir organigramas organizativos.
Se deben determinar los requisitos legales y contractuales relacionados con la seguridad de la información.
Se debe definir una política
Se debe determinar de una metodología para la evaluación de los riesgos de acuerdo al SGSI definido y las necesidades de la organización, definiendo los criterios de para evaluar el nivel de riesgo aceptable. Posteriormente se debe analizar y evaluar los riesgos.
Inventario de Activos.
Se debe identificar amenazas y vulnerabilidades.
Hay que identificar los impactos.
Identificar y evaluar opciones para el tratamiento del riesgo
Se deben seleccionar controles para el tratamiento el riesgo en función de la evaluación anterior
Confeccionar una Declaración de Aplicabilidad

Cómo es nuestra intervención

Nuestra intervención comienza con una Diagnosis previa, con el fin de identificar los elementos críticos y el grado de eficacia de la actual práctica de la Empresa.

De forma previa a la definición del Sistema  el Dpto. Técnico procede a

Identificar las amenazas y vulnerabilidades
Realizar el inventario de Activos
Analizar y evaluar los riesgos
Identificar y evaluar las opciones para el tratamiento del riesgo.
Seguimiento de controles según requerimientos del Anexo A de la ISO 27001

Definición de la Documentación de Sistema de la Seguridad de la Información: Se establecen los procedimientos y manuales necesarios para dar cobertura a todos los requerimientos de la norma.

Ejecución de un plan de formación enfocado fundamentalmente a dos niveles. Por un lado a la Dirección y al responsable del Sistema en el que se le informa de sus nuevas funciones y de cómo llevarlas a cabo, y por otro a los empleados para la aplicación de buenas prácticas y controles.

Implantación y asesoramiento continúo al cliente para lograr el cumplimiento de los requisitos descritos en la documentación así como en los requisitos legales y contractuales adquiridos por la organización.

Realización de la Auditoria Interna para asegurar el cumplimiento de la norma.

Participación en la Revisión del Sistema.

Acompañamiento en la auditoria de Certificación.

Sistema para la Gestión de Servicios de Tecnología de la información (SGSTI)

En qué consiste

La norma proporciona la base para probar que una organización de TI ha implantado buenas prácticas para la gestión del servicio y que las está usando de forma regular y consistente.

La norma ISO/IEC 20000 está estructurada en dos documentos:

ISO/IEC 20000-1. Este documento de la norma incluye el conjunto de los “requisitos obligatorios” que debe cumplir el proveedor de servicios TI, para realizar una gestión eficaz de los servicios que responda a las necesidades de las empresas y sus clientes.
ISO/IEC 20000-2. Esta parte contiene un código de prácticas para la gestión de servicios

Cómo es nuestra intervención

Nuestra intervención comienza con una Diagnosis previa, con el fin de identificar los elementos críticos y el grado de eficacia de la actual práctica de la organización.

Definición de la Documentación de Sistema de la Seguridad de la Información: Se establecen los procedimientos y manuales necesarios para dar cobertura a todos los requerimientos de la norma.

Ejecución de un plan de formación enfocado fundamentalmente a dos niveles. Por un lado a la Dirección y al responsable del Sistema en el que se le informa de sus nuevas funciones y de cómo llevarlas a cabo, y por otro a los empleados para la aplicación de buenas prácticas y controles.

Implantación y asesoramiento continúo al cliente para lograr el cumplimiento de los requisitos descritos en la documentación así como en los requisitos legales y contractuales adquiridos por la organización.

Realización de la Auditoria Interna para asegurar el cumplimiento de la norma.

Participación en la Revisión del Sistema.

Acompañamiento en la auditoria de Certificación.

Nuestro servicio de consultoría de protección de datos, le permitirá adaptarse completamente a la LOPD con el mínimo esfuerzo por su parte.

Este proyecto se desarrollara en 4 fases:
Fase 1. Diagnóstico de Seguridad y análisis de la situación actual:
Fase 2. Alta y Registro de Ficheros en la Asociación Española de Protección de Datos
Fase 3. Elaboración de la Documentación de Seguridad
ACE elabora lo documentos exigibles legalmente de forma personalizada a la empresa. Estos documentos son:
a) Redacción del Documento de Seguridad:
b) Elaboración de los documentos de confidencialidad:
c) Elaboración de contratos de encargo de tratamiento de datos:
d) Elaboración de los documento y formatos necesarios para dar cumplimiento al Plan de medidas de seguridad:
e) Redacción de las cláusulas legales de información
Fase 4. Entrega de la Documentación generada en cumplimiento de la LOPD, del Reglamento y de sus Anexos Legales

En qué consiste

Un Plan de Continuidad de Negocio está orientado al mantenimiento del negocio de la organización después de un incidente no planificado, con lo que priorizará las operaciones de negocio críticas necesarias para continuar en funcionamiento.
En el desarrollo de un Plan de Continuidad de Negocio existen dos preguntas clave:

¿Cuáles son los recursos de información de la organización?
¿Cuál es el período de tiempo de recuperación crítico para los recursos de información antes de que se experimenten pérdidas significativas o aceptables?

Un Plan de Continuidad reduce el número de decisiones que se toman durante un incidente reduciendo el tiempo de actuación. El Plan establecerá, organizará y documentará los riesgos, responsabilidades, políticas y procedimientos, así como acuerdos con entidades internas y externas.

La activación de un Plan de Continuidad debe producirse solamente en situaciones de emergencia y cuando las medidas de seguridad hayan fallado.

Cómo es nuestra intervención

Consta de las siguientes fases:

Fase I: Definición de la Documentación: Política, Procedimientos  y asignación de responsabilidades.

Fase II: Análisis de la Organización: Consiste en analizar el impacto del negocio, el análisis y evaluación de riesgos y establecimiento de indicadores.

Fase III: Definición de Estrategia de Continuidad de negocio.

Fase IV: Desarrollo del plan de Continuidad de negocio.

Fase V: Realización de pruebas, mantenimiento y revisión de los preparativos del Plan de Continuidad de Negocio.

Fase VI: Formación y concienciación del personal.