Está en la página 1de 25

Implantación de un SGSI con e-PULPO

Implantación de un SGSI con e-PULPO
ÍNDICE 1 Introducción   3 2 SGSI y normativas 4 2.1 La serie 27000 4
ÍNDICE 1 Introducción   3 2 SGSI y normativas 4 2.1 La serie 27000 4

ÍNDICE

1 Introducción

 

3

2 SGSI y normativas

4

2.1

La serie 27000

4

2.1

ISO/IEC

27001

(SGSI)

5

2.2

ISO/IEC 27002

6

2.3

Objetivos de control y controles

7

3 Implantación

 

10

3.1 ¿Porqué implantar un SGSI?

10

3.2 ¿Cómo evitar que crezcan las labores que ya debía gestionar el Servicio de

Sistemas de Información?

 

10

3.3 ¿Cuánto tiempo lleva la implantación de un SGSI?

10

3.4 ¿Cómo dar respuesta a los requisitos sin sobrepasar el presupuesto disponible? . 11

3.5 ¿Cómo cubrir los requisitos de un SGSI, la Ley Orgánica de Protección de Datos de

Carácter Personal y el Esquema Nacional de Seguridad sin incurrir en tres gastos?

11

4 Requerimientos de un SGSI

12

4.1 Acciones con e-PULPO para un SGSI (ISO 27001)

13

4.2 ANEXO II: Objetivos de control y Controles (ISO 27002)

19

5 Sobre Ingenia

25

1 Introducción Un SGSI es un “Sistema de Gestión de Seguridad de la Información” ,
1 Introducción Un SGSI es un “Sistema de Gestión de Seguridad de la Información” ,

1 Introducción

Un SGSI es un “Sistema de Gestión de Seguridad de la Información”, en inglés ISMS “Information Security Management System.

El SGSI se basa en un conjunto de políticas orientadas a conseguir y a mantener la Disponibilidad, Integridad, Confidencialidad, Autenticidad y Trazabilidad de la Información.

En un servicio informático que va a implantar un SGSI es importante diferenciar 2 conceptos de seguridad:

- Seguridad Informática: Orientada en la protección de la Infraestructura TIC que soporta al negocio.

- Seguridad de la Información: Orientada en la protección de los activos de la información fundamentales para el negocio.

El estándar de seguridad de la información ISO/IEC 27001, detalla los requisitos para diseñar, implantar, mantener y mejorar un SGSI, basándose en el ciclo de Deming “Plan-Do-Check-Act” (Planificar-Hacer-Revisar-Actuar).

2 SGSI y normativas Los Sistemas de Gestión de la Seguridad de la Información están
2 SGSI y normativas Los Sistemas de Gestión de la Seguridad de la Información están

2 SGSI y normativas

Los Sistemas de Gestión de la Seguridad de la Información están asociados a la normativa ISO/IEC 27001, que es un estándar de seguridad internacionalmente reconocido y se enmarca dentro de una serie de estándares conocidos como la familia 27000.

2.1 La serie 27000

Esta serie de estándares están asociados a la seguridad de la información.

Se describen a continuación brevemente el alcance de cada uno:

ISO 27000 = Fundamentos

ISO 27001 = Especificaciones de un SGSI (Certificable)

ISO 27002 = Código de buenas prácticas

ISO 27003 = Guía de implantación

ISO 27004 = Métricas e Indicadores

ISO 27005 = Guía para el Análisis y Gestión del Riesgo

ISO 27006 = Especificaciones para organismos certificadores

ISO 27007 = Guía de requisitos para entidades auditoría y certificación

2.1 ISO/IEC 27001 (SGSI) Es un estándar de seguridad de la información. Se publicó por

2.1 ISO/IEC 27001 (SGSI)

2.1 ISO/IEC 27001 (SGSI) Es un estándar de seguridad de la información. Se publicó por primera

Es un estándar de seguridad de la información. Se publicó por primera vez en 2005. Es similar a la normativa española UNE 71502.

Marca las especificaciones de un SGSI basado en el ciclo Deming y es un estándar que puede ser certificado.

La certificación ISO/IEC 27001 demuestra:

- El cumplimiento de requisitos para la gestión corporativa y la continuidad del negocio.

- El valor que tiene la seguridad de la información para la organización debido al compromiso de la cúpula directiva.

- La garantía de controles externos a la propia organización.

- Que

los

riesgos

controlados.

de

la

organización

están

identificados,

evaluados

y

- El cumplimiento de leyes y normativas que sean de aplicación.

- La mejora continua consecuencia de las revisiones periódicas.

2.2 ISO/IEC 27002 Es el segundo estándar de la serie 27000 y también se denomina

2.2 ISO/IEC 27002

2.2 ISO/IEC 27002 Es el segundo estándar de la serie 27000 y también se denomina ISO/IEC

Es el segundo estándar de la serie 27000 y también se denomina ISO/IEC 17799. Describe unas “Buenas Prácticas” para la gestión de la seguridad de la información tanto en un proceso de implantación como en su mantenimiento.

Define el concepto de seguridad de la información como “la preservación de la confidencialidad (asegurando que sólo quienes estén autorizados pueden acceder a la información), integridad (asegurando que la información y sus métodos de proceso son exactos y completos) y disponibilidad (asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran)”.

Se estructura en 11 secciones o dominios:

1. Política de Seguridad de la Información.

2. Organización de la Seguridad de la Información.

3. Gestión de Activos de Información.

4. Seguridad de los Recursos Humanos.

5. Seguridad Física y Ambiental.

6. Gestión de las Comunicaciones y Operaciones.

7. Control de Accesos.

8. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información.

9. Gestión de Incidentes en la Seguridad de la Información.

10. Gestión de Continuidad del Negocio.

11. Cumplimiento.

De estos 11 dominios emanan 39 objetivos de control, y de estos emanan un total
De estos 11 dominios emanan 39 objetivos de control, y de estos emanan un total

De estos 11 dominios emanan 39 objetivos de control, y de estos emanan un total de 133 controles. Cada uno tiene asociada una guía de implantación. Una organización que se adecúe a este estándar tendrá en consideración cuáles de estos les aplican y cuáles no.

2.3 Objetivos de control y controles

A continuación se muestran algunos ejemplos de los controles recogidos en la normativa ISO/IEC 27002:

Dominio

o Objetivo de control

Control

Gestión de Activos

o Responsabilidad sobre los activos

Uso aceptable de los activos

Seguridad ligada a los recursos humanos

o Durante el empleo

Proceso disciplinario

Seguridad Física y del entorno

o Áreas seguras

Perímetro de seguridad física

Controles físicos de entrada

Áreas de acceso público

o Seguridad de los equipos  Seguridad del cableado  Seguridad de los equipos fuera

o Seguridad de los equipos

o Seguridad de los equipos  Seguridad del cableado  Seguridad de los equipos fuera de

Seguridad del cableado

Seguridad de los equipos fuera de las instalaciones

Gestión de comunicaciones y operaciones

o

Planificación y aceptación del sistema

Gestión de capacidades

Aceptación del sistema

o

Intercambio de información

Acuerdos de intercambio

Mensajería electrónica

o

Supervisión

Registros de auditoría

Registro de fallos

Control de acceso

o

Gestión de acceso de usuario

Gestión de privilegios

Gestión de contraseñas de usuario

Revisión de los derechos de acceso de usuario

o

Control de acceso a la red

Identificación de los equipos en las redes

Segregación de las redes

Control de encaminamiento (routing) de red

o

Control de acceso al sistema operativo

Procedimientos seguros de inicio de sesión

Sistema de gestión de contraseñas

o

Control de acceso a las aplicaciones y a la información

 Restricción del acceso a la información  Aislamiento de sistemas sensibles  Adquisición, desarrollo
 Restricción del acceso a la información  Aislamiento de sistemas sensibles  Adquisición, desarrollo

Restricción del acceso a la información

Aislamiento de sistemas sensibles

Adquisición, desarrollo y mantenimiento de sistemas de información

o

Tratamiento correcto de las aplicaciones

Validación de los datos de entrada

Validación de los datos de salida

o

Controles criptográficos

Política de uso

Gestión de claves

o

Seguridad en los procesos de desarrollo y soporte

Procedimiento de control de cambios

Restricciones a los cambios en el software

Fugas de información

o

Gestión de vulnerabilidades técnicas

Control de las vulnerabilidades

Cumplimiento

o Requisitos legales

Identificación de la legislación aplicable

Protección de los documentos de la organización

Protección de datos de carácter personal

Prevención del uso indebido de recursos

Regulación de controles criptográficos

3 Implantación 3.1 ¿Porqué implantar un SGSI? Un SGSI permite dotar y mantener seguridad, sobre
3 Implantación 3.1 ¿Porqué implantar un SGSI? Un SGSI permite dotar y mantener seguridad, sobre

3 Implantación

3.1 ¿Porqué implantar un SGSI?

Un SGSI permite dotar y mantener seguridad, sobre la información que maneja la organización. Si además se certifica con el estándar ISO/IEC 27001, ofrece una ventaja competitiva, tal como se describe en el apartado 2.1.

3.2 ¿Cómo evitar que crezcan las labores que ya debía gestionar el Servicio de Sistemas de Información?

Mediante la integración de las labores que se hacen en el servicio de informática bajo un prisma genérico, sin tener como objetivo exclusivo el cumplimiento con una Ley específica.

Una vez teniendo la información necesaria, ésta se explota para dar respuesta a cualquier requisito: LOPD, ENS, ITIL (ISO 20000), SGSI (ISO 27001), etc.

3.3 ¿Cuánto tiempo lleva la implantación de un SGSI?

Como término medio lleva entre 6 meses y 1 año.

3.4 ¿Cómo dar respuesta a presupuesto disponible? los requisitos sin sobrepasar el Haciendo uso de

3.4 ¿Cómo

dar

respuesta

a

presupuesto disponible?

los

requisitos

dar respuesta a presupuesto disponible? los requisitos sin sobrepasar el Haciendo uso de software libre, como

sin

sobrepasar

el

Haciendo uso de software libre, como recomienda el informe “Propuesta de Recomendaciones a la Administración General del Estado sobre Utilización del Software Libre y de Fuentes Abiertas”, del Consejo Superior de Informática y para el Impulso de la Administración Electrónica (Ministerio de Administraciones Públicas, año 2005).

3.5 ¿Cómo cubrir los requisitos de un SGSI, la Ley Orgánica de Protección de Datos de Carácter Personal y el Esquema Nacional de Seguridad sin incurrir en tres gastos?

Utilizando las mismas herramientas para una y otra necesidad, sin recurrir a herramientas independientes, inconexas, que obliguen a duplicar la información y a duplicar el trabajo.

4 Requerimientos de un SGSI Leyenda de colores: Color Función e-PULPO cumple con los requerimientos.
4 Requerimientos de un SGSI Leyenda de colores: Color Función e-PULPO cumple con los requerimientos.

4 Requerimientos de un SGSI

Leyenda de colores:

Color

Función

e-PULPO cumple con los requerimientos.

Color Función e-PULPO cumple con los requerimientos. Los requerimientos no aplican a la finalidad de e-PULPO.
Color Función e-PULPO cumple con los requerimientos. Los requerimientos no aplican a la finalidad de e-PULPO.

Los requerimientos no aplican a la finalidad de e-PULPO.

Los requerimientos no aplican a la finalidad de e-PULPO. Actualmente e-PULPO no cubre esta funcionalidad, pero

Actualmente e-PULPO no cubre esta funcionalidad, pero la cubrirá en siguientes versiones.

Requerimientos que aplican a la propia plataforma de e-PULPO y están cubiertos.

que aplican a la propia plataforma de e-PULPO y están cubiertos. Implantación de un SGSI con
Implantación de un SGSI con e-PULPO Página 12 de 25
Implantación de un SGSI con e-PULPO
Página 12 de 25
4.1 Acciones con e-PULPO para un SGSI (ISO 27001)   Apartado Soporte en e-PULPO 4.2.1.
4.1 Acciones con e-PULPO para un SGSI (ISO 27001)   Apartado Soporte en e-PULPO 4.2.1.

4.1 Acciones con e-PULPO para un SGSI (ISO 27001)

 

Apartado

Soporte en e-PULPO

4.2.1. Creación del SGSI

Completando previamente el control 7.1.1 (ISO 27002)

a)

Elaborar y gestionar el alcance

e-PULPO dispone de un módulo de Gestión Documental para gestionar la documentación del alcance del SGSI.

b)

Definir una política

e-PULPO dispone de un módulo de Gestión Documental para gestionar la documentación de la política del SGSI.

c)

Especificar la metodología de evaluación de riesgos

e-PULPO dispone de un módulo de Gestión Documental que permite gestionar los documentos de metodología y evaluaciones.

d)

e) f) g) Análisis y gestión de riesgos

e-PULPO está integrado con PILAR (herramienta para el análisis de riesgos), permite crear vía web activos genéricos en para la valoración de los procesos de negocio, ubica los activos en capas, grupos y dominios de seguridad, permite la asignación de clases a los activos, permite establecer las dependencias entre activos, seleccionar los objetivos de control y valorar las salvaguardas.

h)

i) Aprobar el informe del análisis de riesgos de PILAR

e-PULPO dispone de un módulo de Gestión Documental para gestionar el almacenamiento y aprobación del análisis y gestión de riesgos generado con PILAR.

Implantación de un SGSI con e-PULPO Página 13 de 25
Implantación de un SGSI con e-PULPO
Página 13 de 25
  Apartado Soporte en e-PULPO j) Declaración de aplicabilidad e-PULPO está integrado con PILAR
  Apartado Soporte en e-PULPO j) Declaración de aplicabilidad e-PULPO está integrado con PILAR
 

Apartado

Soporte en e-PULPO

j)

Declaración de aplicabilidad

e-PULPO está integrado con PILAR (herramienta para el análisis de riesgos), a través de la que se elabora el SOA, que luego se almacena en el módulo de gestión documental.

4.2.2 Implementación y operación del SGSI

 

a)

Plan de tratamiento de riesgos

e-PULPO lo tiene cubierto, como se ha indicado para el punto 4.2.1.d) de la norma.

b)

c) Planificar y gestionar el plan de tratamiento de riesgos

e-PULPO permite hacer el seguimiento de las acciones a realizar a través del módulo de Gestión de Planes de Acción.

d)

Definición de métricas para evaluar la eficacia de los

e-PULPO dispone de un módulo de Métricas y Cuadros de Mandoque permite la creación de métricas y hacer su seguimiento con alertas.

controles

e) Implementar programas de formación y concienciación

e-PULPO permite implementar estos programas desde su módulo de Formación y Concienciación, a través de una plataforma de tele formación.

f) Gestionar la operación del SGSI

La gestión de la operación la realiza el propio SGSI.

g) Gestionar los recursos del SGSI

e-PULPO ayuda a la gestión diaria de los recursos para la seguridad a través de la planificación establecida en el

Implantación de un SGSI con e-PULPO Página 14 de 25
Implantación de un SGSI con e-PULPO
Página 14 de 25
  Apartado Soporte en e-PULPO   módulo de “ Gestión de Planes de Acción ”
  Apartado Soporte en e-PULPO   módulo de “ Gestión de Planes de Acción ”
 

Apartado

Soporte en e-PULPO

 

módulo de Gestión de Planes de Acción(donde se pueden observar las tareas asignadas a cada recurso y su disponibilidad con diagramas de Gantt) y Gestión de Tickets (donde se pueden observar las solicitudes e incidencias que debe resolver cada recurso, y en qué momento está planificado ejecutarlo directamente en el calendario).

h)

Detección temprana de eventos de seguridad

e-PULPO realiza un seguimiento de las últimas vulnerabilidades publicadas del software instalado. Además, gracias a la conexión con AlienVault OSSIM (herramienta SIEM basada en software libre), monitorizamos los sistemas, recibimos alertas y actualizamos en tiempo real el análisis de riesgos.

4.2.3 Supervisión y revisión del SGSI

 

a)

Procedimientos de supervisión y revisión

 

1) Detectar errores

e-PULPO, gracias a la conexión con AlienVault OSSIM (herramienta SIEM basada en software libre), monitoriza los sistemas y recibe alertas en caso de caída.

2) Identificar debilidades

e-PULPO, gracias a la conexión con AlienVault OSSIM (herramienta SIEM basada en software libre), realiza auditorías (hacking ético) y recibe alertas en caso de

Implantación de un SGSI con e-PULPO Página 15 de 25
Implantación de un SGSI con e-PULPO
Página 15 de 25
Apartado Soporte en e-PULPO   detectar vulnerabilidades. b) Gestión de informes de auditoría SGSI
Apartado Soporte en e-PULPO   detectar vulnerabilidades. b) Gestión de informes de auditoría SGSI

Apartado

Soporte en e-PULPO

 

detectar vulnerabilidades.

b) Gestión de informes de auditoría SGSI

e-PULPO ofrece la gestión de los informes de auditoría desde su módulo “Gestión Documental”.

c) Gestión de actas de reunión, revisión por la Dirección, etc.

e-PULPO permite desde el módulo “Gestión Documental” la gestión de las actas de reunión y gestión de contenidos para que puedan ser revisadas por la dirección.

4.2.4 Mantenimiento y mejora del SGSI

No aplica a la funcionalidad de e-PULPO como plataforma.

4.3 Requisitos de la documentación

e-PULPO permite gestionar la documentación además de proporcionar a través de workflows ciclos para la vida de cada documento.

5 Responsabilidad de la Dirección

 

5.2 Gestión de los recursos

e-PULPO permite la gestión de los recursos desde los módulos “Gestión de Activos y Tickets” y “Gestión de Planes de Acción”.

5.2.1 Provisión de los recursos

e-PULPO permite gestionar la provisión de recursos organizando, identificando y supervisando las acciones desde el módulo “Gestión de Planes de Acción”.

5.2.2 Concienciación, formación y capacitación

e-PULPO dispone del módulo de “Formación y concienciación” que permite llevar a cabo acciones

Implantación de un SGSI con e-PULPO Página 16 de 25
Implantación de un SGSI con e-PULPO
Página 16 de 25
  Apartado Soporte en e-PULPO   formativas para asegurar que el personal dispone del conocimiento
  Apartado Soporte en e-PULPO   formativas para asegurar que el personal dispone del conocimiento
 

Apartado

Soporte en e-PULPO

 

formativas para asegurar que el personal dispone del conocimiento adecuado para llevar a cabo sus tareas asignadas.

6 Auditorías internas del SGSI

 

a)

cumplen los requisitos de esta norma, legislación y

e-PULPO, a través de su conexión con PILAR, permite medir los niveles de cumplimiento.

normativas

b)

cumplen los requisitos de seguridad de la información

e-PULPO permite verificar el cumplimiento de los requisitos que se definan en su módulo “Gestión de Cuadros de Mando”.

identificados

c) se implantan y se mantienen de forma efectiva

e-PULPO permite verificar el nivel de implantación definidos con métricas en su módulo “Gestión de Cuadros de Mando”.

d) dan el resultado esperado

e-PULPO permite verificar a través del módulo Cuadros de Mandosi se cumplen las expectativas en los resultados.

7 Revisión del SGSI por la Dirección

 

7.1 Generalidades

e-PULPO permite que la Dirección revise la conveniencia y eficacia del SGSI desde los Cuadros de Mandodefinidos.

Implantación de un SGSI con e-PULPO Página 17 de 25
Implantación de un SGSI con e-PULPO
Página 17 de 25
Apartado Soporte en e-PULPO 7.2 Datos iniciales de la revisión Desde las diferentes funcionalidades de
Apartado Soporte en e-PULPO 7.2 Datos iniciales de la revisión Desde las diferentes funcionalidades de

Apartado

Soporte en e-PULPO

7.2 Datos iniciales de la revisión

Desde las diferentes funcionalidades de e-PULPO, como el módulo de “Gestión Documental”, se pueden gestionar los datos para las auditorias, comentarios, procedimientos, técnicas, estado de las acciones preventivas, y recomendaciones de mejora.

7.3 Resultados de la revisión

e-PULPO permite almacenar los informes resultantes en su Gestor documental.

8 Mejora del SGSI

 

a) Plan de acciones correctivas a una no conformidad

e-PULPO facilita la creación de tickets sobre acciones desde su módulo de “Gestión de Activos y Tickets”, o desde el módulo de Gestión de planes de acción.

b) Plan de acciones preventivas a una no conformidad

e-PULPO facilita la creación de tickets sobre acciones desde su módulo de “Gestión de Activos y Tickets”.

c) Gestionar los planes de acciones correctivas y preventivas

e-PULPO permite el seguimiento así como la notificación automática para el seguimiento de las acciones desde su módulo de “Gestión de Activos y Tickets”.

Implantación de un SGSI con e-PULPO Página 18 de 25
Implantación de un SGSI con e-PULPO
Página 18 de 25
4.2 ANEXO II: Objetivos de control y Controles (ISO 27002)   Apartado Soporte en e-PULPO
4.2 ANEXO II: Objetivos de control y Controles (ISO 27002)   Apartado Soporte en e-PULPO

4.2 ANEXO II: Objetivos de control y Controles (ISO 27002)

 

Apartado

Soporte en e-PULPO

5 Política de seguridad

 

5.1

Política de seguridad de la información

e-PULPO permite la revisión del documento de política de seguridad.

6 Aspectos organizativos de la seguridad de la información

 

6.1 Organización interna

e-PULPO se puede utilizar como apoyo, aunque los compromisos, coordinación y asignación de responsabilidades dependen de la organización.

6.2 Relaciones con terceros

e-PULPO se utiliza para la identificación de riesgos derivados de las relaciones con terceros.

7 Gestión de activos

 

7.1 Responsabilidad sobre los activos

Permite inventariar activos y asignarles propietarios.

7.2 Clasificación de la información

Permite la clasificación de los activos.

8 Seguridad relacionada con los recursos humanos

 

8.1

Previa a la contratación

Permite gestionar la documentación de contratación así

Implantación de un SGSI con e-PULPO Página 19 de 25
Implantación de un SGSI con e-PULPO
Página 19 de 25
Apartado Soporte en e-PULPO   como la asociación a perfiles y/o funciones. 8.2 Mientras dure
Apartado Soporte en e-PULPO   como la asociación a perfiles y/o funciones. 8.2 Mientras dure

Apartado

Soporte en e-PULPO

 

como la asociación a perfiles y/o funciones.

8.2 Mientras dure la contratación

e-PULPO dispone de un módulo para la Formación y Concienciación.

8.3 Fin de la contratación o cambio de puesto de trabajo

e-PULPO permite asociar activos a personas facilitando de este modo la gestión ante cambios en la contratación.

9 Seguridad física y del entorno

 

9.1 Áreas seguras

e-PULPO permite tratar las áreas seguras como activos de la organización.

9.2 Seguridad del equipamiento

e-PULPO facilita la seguridad de equipos clientes y servidores.

10 Gestión de comunicaciones y operaciones

 

10.1 Responsabilidades y procedimientos de operación

e-PULPO gestiona la documentación, así como la gestión del cambio y segregación de tareas.

10.2 Gestión de servicios prestados por terceros

A través del módulo de gestión de activos pueden verse claramente las relaciones con terceros, además del uso del módulo de métricas e indicadores.

10.3 Planificación y aceptación de sistemas

El módulo Gestión de Proyectos cumple con este

Implantación de un SGSI con e-PULPO Página 20 de 25
Implantación de un SGSI con e-PULPO
Página 20 de 25
  Apartado Soporte en e-PULPO   requerimiento. 10.4 Protección frente a código dañino/descargable
  Apartado Soporte en e-PULPO   requerimiento. 10.4 Protección frente a código dañino/descargable
 

Apartado

Soporte en e-PULPO

 

requerimiento.

10.4 Protección frente a código dañino/descargable

No aplica a la funcionalidad de e-PULPO como plataforma.

10.5 Copias de seguridad

e-PULPO dispone de mecanismos propios de backup.

10.6 Gestión de la seguridad de las redes

e-PULPO a través del módulo OSSIM se integra con esta herramienta que permite aumentar la seguridad en redes.

10.7 Tratamiento de soportes de información

e-PULPO permite la gestion de los soportes de información como un activos de la organización, relacionado con otros y con una valoracion asociada a su criticidad.

10.8 Intercambios de información

No aplica a la funcionalidad de e-PULPO como plataforma.

10.9 Servicios de comercio electrónico

No aplica a la funcionalidad de e-PULPO como plataforma.

10.10 Supervisión

A través del módulo OSSIM que integra a e-PULPO se puede gestionar los registros para auditorías, administración, operación y análisis de fallos.

11 Control de acceso

 

11.1

Requisitos del control de acceso

e-PULPO permite que la política de seguridad se gestione desde el módulo de gestión documental.

Implantación de un SGSI con e-PULPO Página 21 de 25
Implantación de un SGSI con e-PULPO
Página 21 de 25
Apartado Soporte en e-PULPO 11.2 Gestión de usuarios e-PULPO tiene gestión propia sobre los usuarios
Apartado Soporte en e-PULPO 11.2 Gestión de usuarios e-PULPO tiene gestión propia sobre los usuarios

Apartado

Soporte en e-PULPO

11.2 Gestión de usuarios

e-PULPO tiene gestión propia sobre los usuarios y asignación de privilegios a través de perfiles.

11.3 Responsabilidades de los usuarios

e-PULPO dispone de un módulo de Formación y Concienciación para difundir las responsabilidades.

11.4 Control de acceso a la red

No aplica a la funcionalidad de e-PULPO como plataforma.

11.5 Control del acceso a sistemas en operación

No aplica a la funcionalidad de e-PULPO como plataforma.

11.6 Control de acceso a datos y aplicaciones

No aplica a la funcionalidad de e-PULPO como plataforma.

11.7 Equipos móviles y tele-trabajo

e-PULPO permite la gestion de equipos moviles como activos del sistema.

12 Adquisición, desarrollo y mantenimiento de los sistemas de información

 

12.1 Requisitos de seguridad

Ofrece los resultados de un análisis de seguridad permitiendo la modificación de procedimientos para lograr el cumplimiento de requisitos.

12.2 Garantías de procesamiento de información

e-PULPO como plataforma realiza validación de los datos de entrada.

12.3 Controles criptográficos

e-PULPO gestiona las claves de sus propios usuarios.

Implantación de un SGSI con e-PULPO Página 22 de 25
Implantación de un SGSI con e-PULPO
Página 22 de 25
  Apartado Soporte en e-PULPO 12.4 Seguridad de los archivos del sistema e-PULPO protege los
  Apartado Soporte en e-PULPO 12.4 Seguridad de los archivos del sistema e-PULPO protege los
 

Apartado

Soporte en e-PULPO

12.4 Seguridad de los archivos del sistema

e-PULPO protege los la información con trata y procesa.

12.5 Seguridad en los procesos de desarrollo y soporte

e-PULPO permite realizar procedimientos de control de cambios desde el módulo de Gestión de Activos y Tickets.

12.6 Gestión de vulnerabilidades

e-PULPO permite monitorizar y gestionar vulnerabilidades en el software de forma nativa usando fuentes RSS filtradas según el software en uso. A través del Módulo OSSIM se integra para poder gestionar además vulnerabilidades técnicas.

13 Gestión de incidentes de seguridad de información

 

13.1 Comunicación de incidencias y debilidades

La gestión de tickets permite el aviso por e-Mail para comunicar las incidencias detectadas.

13.2 Gestión de incidentes y mejoras

El ciclo del sistema de "ticketing" permitirá gestionar tales incidencias.

14 Gestión de la continuidad del negocio

 

14.1

Seguridad de la información en relación a la gestión

e-PULPO permite realizar un análisis de impacto para reforzar la continuidad del negocio. Mediante inteligencia artificial es capaz de generar planes de recuperación ante desastres automáticos.

de la continuidad

Implantación de un SGSI con e-PULPO Página 23 de 25
Implantación de un SGSI con e-PULPO
Página 23 de 25
  Apartado Soporte en e-PULPO 15 Cumplimiento   15.1 Satisfacción de requisitos legales e-PULPO
  Apartado Soporte en e-PULPO 15 Cumplimiento   15.1 Satisfacción de requisitos legales e-PULPO
 

Apartado

Soporte en e-PULPO

15 Cumplimiento

 

15.1 Satisfacción de requisitos legales

e-PULPO protege los documentos de la organización, su privacidad e incluso evita el uso indebido de los mismos. Ofrece la gestión de los requisitos de la LOPD, así como auditoría de dicho cumplimiento usando para ello el perfil correspondiente en PILAR.

15.2 Cumplimiento de políticas, normas y reglamentos

e-PULPO es una herramienta de apoyo, pero la supervisión debe realizarla la organización.

técnicos

15.3

Consideraciones sobre auditoría de los sistemas de

e-PULPO se puede utilizar para realizar una auditoría del cumplimiento. Mediante el Módulo OSSIM es capaz de realizar pruebas de hacking ético.

información

Implantación de un SGSI con e-PULPO Página 24 de 25
Implantación de un SGSI con e-PULPO
Página 24 de 25
5 Sobre Ingenia Ingenia es una empresa de servicios en Tecnologías de la Información, Comunicaciones
5 Sobre Ingenia Ingenia es una empresa de servicios en Tecnologías de la Información, Comunicaciones

5 Sobre Ingenia

Ingenia es una empresa de servicios en Tecnologías de la Información, Comunicaciones e Internet, fundada en 1992 y localizada en el Parque Tecnológico de Andalucía, siendo sus socios Unicaja, MP Sistemas y Promálaga.

Actualmente tiene presencia en Málaga, Sevilla, Madrid y Barcelona, con delegaciones comerciales en México, Argentina y Jordania y una marcada experiencia profesional en proyectos europeos y en el norte de África.

La experiencia de dieciocho años que nos avala nos ha permitido diversificar nuestras soluciones y servicios, consiguiendo de este modo un amplio catálogo que nos permite acercar la tecnología, innovación, experiencia y resultados a las necesidades de nuestros clientes.

Reconocida por su capacidad e implicación en sus proyectos, Ingenia ha colaborado a lo largo de su trayectoria con una lista de más de mil clientes pertenecientes tanto al sector público como al privado, así como hospitales, universidades, fundaciones, etc., aportándoles valor con soluciones y servicios a medida. Para ello cuenta con un equipo multidisciplinar y profesional para garantizar siempre el mejor servicio. Nuestro objetivo es satisfacer a nuestros clientes. Por ello en Ingenia estudiamos cuidadosamente las soluciones a implementar para conseguir los mejores resultados.

Más información en www.ingenia.es y www.e-pulpo.es