Post on 23-Jan-2017
Gestión de las TI
David RomeroConsultor Técnico
¿Para qué un Sistema de Gestión?
Así?
Pensemos en cómo pedimos un servicio
¿Para qué un Sistema de Gestión?
O así?
… de la importancia de los procedimientos
¿Para qué un Sistema de Gestión?
Necesitamos organizar y gestionar los recursos para…
¿Para qué un Sistema de Gestión?
… poder hacer grandes cosas
… y que no se caiga
Qué nos ha aportado a nosotros
CLIENTE
ARIADNEX
SERVICIOESTANDARIZADO
SLA
¿Para qué un Sistema de Gestión?lEficiencia en la Gestión de TIlFlexibilidad y AdaptabilidadlTime to MarketlCalidad de los servicios de TIlCumplimiento de compromisos. Ser predeciblelEficiencia en la ejecución, eficiencia en costeslAlineación de TI con el negociolComunicación y planificación
¿Modelos de Referencia?
¿Cómo?
¿Cómo?
Enlace de los recursos técnicos con los servicios prestados al Negocio
Enlace de los recursos técnicos con los servicios prestados al Negocio
Enlace de los recursos técnicos con los servicios prestados al Negocio
Un ejemplo de un operador . Gestión de SLA
Aplicación en la vida real
ISO 20000Gestión de Servicios de TI
●Procesos de Provisión del Servicio● Gestión de Nivel de Servicio● Generación de Informes del Servicio● Gestión de la Continuidad y Disponibilidad del Servicio● Elaboración de Presupuesto y Contabilidad de los Servicios● Gestión de la Capacidad● Gestión de la Seguridad de la Información●Procesos de Relación● Gestión de las Relaciones con el Negocio● Gestión de Suministradores●Procesos de Resolución● Gestión de Incidencias y peticiones de servicio● Gestión de Problemas●Procesos de Control● Gestión de la Configuración● Gestión de Cambios● Gestión de la entrega y despliegue
ISO 20000Gestión de Servicios de TI
El problema radica en hacer que la empresa funcione como una orquesta
ISO 27001Gestión de Seguridad de la Información
● Políticas de Seguridad● Aspectos organización de la Seguridad de la Información● Seguridad ligada a los recursos humanos● Gestión de Activos● Control de Accesos● Cifrado● Seguridad Física y Ambiental● Seguridad Operativa● Seguridad en las telecomunicaciones● Adquisición, desarrollo y mantenimiento de los Sistemas de Información● Relaciones con Proveedores● Gestión de Incidentes en la Seguridad de la Información● Aspectos de Seguridad de la Información en la Gestión de la Continuidad del Negocio● Cumplimiento
ISO 27001Gestión de Seguridad de la Información
Todo lo marca la palabra maldita “Política”, lo que nosotros como empresa nos proponemos
ISO 27001Gestión de Seguridad de la Información
La seguridad es un proceso INTEGRAL
Firewall $$$$$
El punto más débil marca mi nivel de seguridad: Serán los usuarios? Los equipos? Los procedimientos?
ISO 27001Ejemplos: Robo de Información
ISO 27001Ejemplos: Robo de Información
● Gestión de seguridad en redes
● Controles de Accesos
● Controles criptográficos
ISO 27001Ejemplos: Robo de Información
ISO 27001Ejemplos: Robo de Información
● Gestión de activos
● Seguridad ligada a los Recursos Humanos
● Seguridad Física y Ambiental
ISO 27001Ejemplos: Contraseñas
ISO 27001Ejemplos: Contraseñas
● Capacitación y educación en seguridad
● Requerimientos de seguridad de los sistemas
● Control de acceso a la aplicación
Ejemplo: PCI-DSS●Política de Seguridad de la Información●Metodología de desarrollo software●Gestión de Cambios●Política de Control de Acceso●Política de Seguridad física y ambiental●Política de destrucción certificada de medios●Procedimiento de sincronización de hora de sistemas●Políticas de Auditorías de Seguridad de Red●Gestión de Proveedores●Gestión de Incidentes●Seguridad de los Recursos Humanos●Gestión de Claves Criptográficas
Ejemplo: Esquema Nacional de Seguridad●Protección de la Información●Marco Organizativo●Gestión del Personal●Planificación Operacional●Explotación Operacional●Protección de los equipos●Protección de las Instalaciones e Infraestructura●Monitorización de los Sistemas●Servicios Externos●Protección de las Comunicaciones●Protección de los Soportes de Información●Protección de las Aplicaciones Informáticas●Protección de los Servicios●Continuidad del Servicio
Prueba de Concepto
Escenario
Video
¿Cómo protegernos?● Gestión de seguridad en redes
● Antivirus, IDS/IPS, Port Security, DHCP Snooping
● Controles de Accesos● Contraseñas robustas, periodicidad de las
contraseñas, Autenticación de Segundo Factor (2FA)
● Controles criptográficos● SSL, TLS, VPN
● Capacitación y educación en seguridad● Formación, Mensajes de Advertencias
¿Preguntas?
Gracias
“Creciendo Juntos”
david@ariadnex.com