Gestión de las TI

David RomeroConsultor Técnico

¿Para qué un Sistema de Gestión?

Así?

Pensemos en cómo pedimos un servicio

¿Para qué un Sistema de Gestión?

O así?

… de la importancia de los procedimientos

¿Para qué un Sistema de Gestión?

Necesitamos organizar y gestionar los recursos para…

¿Para qué un Sistema de Gestión?

… poder hacer grandes cosas

… y que no se caiga

Qué nos ha aportado a nosotros

CLIENTE

ARIADNEX

SERVICIOESTANDARIZADO

SLA

¿Para qué un Sistema de Gestión?lEficiencia en la Gestión de TIlFlexibilidad y AdaptabilidadlTime to MarketlCalidad de los servicios de TIlCumplimiento de compromisos. Ser predeciblelEficiencia en la ejecución, eficiencia en costeslAlineación de TI con el negociolComunicación y planificación

¿Modelos de Referencia?

¿Cómo?

¿Cómo?

Enlace de los recursos técnicos con los servicios prestados al Negocio

Enlace de los recursos técnicos con los servicios prestados al Negocio

Enlace de los recursos técnicos con los servicios prestados al Negocio

Un ejemplo de un operador . Gestión de SLA

Aplicación en la vida real

ISO 20000Gestión de Servicios de TI

●Procesos de Provisión del Servicio● Gestión de Nivel de Servicio● Generación de Informes del Servicio● Gestión de la Continuidad y Disponibilidad del Servicio● Elaboración de Presupuesto y Contabilidad de los Servicios● Gestión de la Capacidad● Gestión de la Seguridad de la Información●Procesos de Relación● Gestión de las Relaciones con el Negocio● Gestión de Suministradores●Procesos de Resolución● Gestión de Incidencias y peticiones de servicio● Gestión de Problemas●Procesos de Control● Gestión de la Configuración● Gestión de Cambios● Gestión de la entrega y despliegue

ISO 20000Gestión de Servicios de TI

El problema radica en hacer que la empresa funcione como una orquesta

ISO 27001Gestión de Seguridad de la Información

● Políticas de Seguridad● Aspectos organización de la Seguridad de la Información● Seguridad ligada a los recursos humanos● Gestión de Activos● Control de Accesos● Cifrado● Seguridad Física y Ambiental● Seguridad Operativa● Seguridad en las telecomunicaciones● Adquisición, desarrollo y mantenimiento de los Sistemas de Información● Relaciones con Proveedores● Gestión de Incidentes en la Seguridad de la Información● Aspectos de Seguridad de la Información en la Gestión de la Continuidad del Negocio● Cumplimiento

ISO 27001Gestión de Seguridad de la Información

Todo lo marca la palabra maldita “Política”, lo que nosotros como empresa nos proponemos

ISO 27001Gestión de Seguridad de la Información

La seguridad es un proceso INTEGRAL

Firewall $$$$$

El punto más débil marca mi nivel de seguridad: Serán los usuarios? Los equipos? Los procedimientos?

ISO 27001Ejemplos: Robo de Información

ISO 27001Ejemplos: Robo de Información

● Gestión de seguridad en redes

● Controles de Accesos

● Controles criptográficos

ISO 27001Ejemplos: Robo de Información

ISO 27001Ejemplos: Robo de Información

● Gestión de activos

● Seguridad ligada a los Recursos Humanos

● Seguridad Física y Ambiental

ISO 27001Ejemplos: Contraseñas

ISO 27001Ejemplos: Contraseñas

● Capacitación y educación en seguridad

● Requerimientos de seguridad de los sistemas

● Control de acceso a la aplicación

Ejemplo: PCI-DSS●Política de Seguridad de la Información●Metodología de desarrollo software●Gestión de Cambios●Política de Control de Acceso●Política de Seguridad física y ambiental●Política de destrucción certificada de medios●Procedimiento de sincronización de hora de sistemas●Políticas de Auditorías de Seguridad de Red●Gestión de Proveedores●Gestión de Incidentes●Seguridad de los Recursos Humanos●Gestión de Claves Criptográficas

Ejemplo: Esquema Nacional de Seguridad●Protección de la Información●Marco Organizativo●Gestión del Personal●Planificación Operacional●Explotación Operacional●Protección de los equipos●Protección de las Instalaciones e Infraestructura●Monitorización de los Sistemas●Servicios Externos●Protección de las Comunicaciones●Protección de los Soportes de Información●Protección de las Aplicaciones Informáticas●Protección de los Servicios●Continuidad del Servicio

Prueba de Concepto

Escenario

Video

¿Cómo protegernos?● Gestión de seguridad en redes

● Antivirus, IDS/IPS, Port Security, DHCP Snooping

● Controles de Accesos● Contraseñas robustas, periodicidad de las

contraseñas, Autenticación de Segundo Factor (2FA)

● Controles criptográficos● SSL, TLS, VPN

● Capacitación y educación en seguridad● Formación, Mensajes de Advertencias

¿Preguntas?

Gracias

“Creciendo Juntos”

david@ariadnex.com