Skip to content

Anei

I Programa Sectorial de Gestión de la Seguridad de la Información ANEI PDF Imprimir Enviar a un amigo
Director del proyecto: Mario López de Ávila Muñoz
Fecha de inicio: 1 de Febrero del 2003


Archivos a descargar:

Presentación de ANEI (Mario López de Ávila) (Adobe PDF)

Presentación de AENOR (Antonio Carretero) (Powerpoint)


Conceptos clave

Gestión de la Seguridad de la Información; ISO 17799/UNE 71 7799


¿Qué queremos hacer?

Asistir a un grupo de empresas del Hipersector de Internet (Datawarehouse, Internet Service Providers, Operadoras de Telecomunicaciones) para que definan, desarrollen, implanten y certifiquen Sistemas de Gestión de Seguridad de la Información según Norma Internacional ISO 17799/UNE 71 7799.


¿Cuáles son los objetivos del proyecto?

1. Mejorar de forma objetiva la gestión de la seguridad de la información en las empresas participantes y, por ende, en el sector español de los ISP´s, contribuyendo de esta manera a la mejora de infraestructuras de uso público que son críticas para el desarrollo de la Sociedad de la Información en nuestro país.

2. Mejorar, mediante la promoción del programa y de los resultados conseguidos, la percepción que del hipersector de empresas de internet tiene el público en general, tanto en nuestro país como en el exterior.


¿Quiénes están invitados a participar?

El proyecto se dirige a empresas del Hipersector de Internet asociadas a ANEI.


¿Quién promueve este proyecto?

La Asociación Nacional de Empresas de Internet, ANEI, organización de carácter patronal, integrada en el Consejo Empresarial de la Sociedad de la Información (CESI) de CEOE, y miembro de la Junta Directiva de CEIM-CEOE que actuará como promotor del proyecto.


¿Qué otras organizaciones colaborarán en el proyecto?

Participan además, las siguientes organizaciones sin ánimo de lucro:

· AENOR (www.aenor.es) organismo nacional de normalización y certificación.
Asumirá las labores de certificación de los sistemas de gestión de las empresas participantes.

· Madrid+d, (www.madridmasd.org) el Sistema Regional de Información y Promoción Tecnológica de la Comunidad de Madrid.
Asumirá las labores de asesoría para transferencia tecnológica.


¿Qué ventajas tiene participar en el Programa para las empresas?

1. Aumento de la Reputación Corporativa
Derivada de la participación en una acción pionera, de gran impacto sectorial y mediático, que sentará un precedente a nivel europeo por su novedad y magnitud, desde el punto de vista de imagen corporativa.

El proyecto cuenta con el apoyo de la Secretaría de Estado para la Sociedad de la Información.

2. Calidad de los servicios recibidos
· En la asesoría, derivada del intercambio de experiencias y conocimientos que surgirán en el marco del proyecto, al posibilitar la estructura del programa el desarrollo de metodologías normalizadas y de efectividad contrastada a través de la implantación simultánea en un grupo de empresas.

· En la certificación, por beneficiarse de la presencia continuada, desde el inicio de los trabajos, de representantes del organismo certificador en el equipo de proyecto y de la experiencia acumulada del equipo auditor asignado en exclusiva al programa.

3. Reducción significativa de costes
Una importante reducción de los costes asociados al proyecto:

· Por un menor esfuerzo realizado por el personal de la empresa en las tareas de desarrollo del sistema;

· Por mejores precios conseguidos en las negociaciones con los colaboradores externos, como consecuencia del volumen del programa.


¿Cómo se desarrollarán los trabajos?

El Programa será dirigido desde ANEI y supervisado por un Comité de Seguimiento del Proyecto formado por representantes de los agentes implicados.

Se constituirá un Equipo de Proyecto con miembros de los colaboradores externos, que estará asignado al programa desde su inicio hasta la finalización de los trabajos.

Los consultores externos trabajarán con los representantes de las empresas clientes y los equipos de trabajo que en ellas se constituyan, participando en las labores de definición, desarrollo y seguimiento de la implantación de los sistemas. También apoyarán a las empresas durante la certificación.

Algunas actividades serán de carácter colectivo (como la formación) y otras de carácter individual (como las auditorías de seguimiento de la implantación).


¿De qué fases consta el proyecto?

Lo que sigue es una versión simplificada de la Estructura de Desglose del Trabajo (EDT) para el Programa, en su primera versión:

1. Inicio

2. Diagnóstico

2.1. Preparación

2.1.1. Identificación del marco legal de aplicación

2.1.2. Desarrollo de metodologías normalizadas de diagnóstico

2.1.3. Realización de pre-diagnósticos

2.2. Realización

2.2.1. Determinación del Gap Requisitos legales

2.2.1.1. Identificación de requisitos legislativos de aplicación

2.2.1.2. Evaluación del grado de cumplimiento de los requisitos

2.2.2. Determinación del Gap Requisitos de clientes (si los hubiera)

2.2.3. Determinación del Gap Requisitos Norma

2.2.4. Elaboración de Matrices Cruzadas de Cumplimiento Requisitos Legales-Clientes-Normativos

2.3. Presentación de resultados

3. Planificación, organización y programación detalladas del Programa y de los Proyectos Individuales.

4. Definición de los sistemas

4.1. Inventario y clasificación de activos de información

4.1.1. Inventario y clasificación de activos de información

4.1.2. Clasificación de procesos de gestión de la información

4.1.3. Clasificación de infraestructuras y equipos

4.1.4. Clasificación de puestos organizativos

4.2. Delimitación del alcance de los sistemas

4.3. Identificación y evaluación de amenazas, vulnerabilidades y riesgos de seguridad

4.4. Establecimiento de Políticas de Seguridad

4.4.1. Desarrollo de políticas de seguridad normalizadas

4.5. Establecimiento de Objetivos de Seguridad

4.6. Establecimiento de una Organización para la Seguridad

4.6.1. Designación de un responsable operativo del Sistema de Gestión de la Seguridad de la Información en las empresas clientes

4.6.2. Definición de requisitos de seguridad de otros puestos

4.7. Definición del soporte documental del sistema

4.7.1. Desarrollo de documentos normalizados

4.7.2. Desarrollo de especificaciones de seguridad normalizadas

4.7.3. Desarrollo de procedimientos de seguridad normalizados

5. Desarrollo de los sistemas

5.1. Acciones de Sensibilización

5.2. Acciones de Comunicación Interna

5.3. Acciones de Formación

5.3.1. Colectivas

5.3.2. Individualizadas

5.4. Elaboración del soporte documental del sistema

5.4.1. Análisis y descripción gráfica de procesos

5.4.2. Rediseño

5.4.3. Documentación de procesos

5.4.4. Validación

5.4.5. Aprobación y lanzamiento de la implantación según programa

5.5. Definición de indicadores para la gestión de la seguridad

6. Implantación

6.1. Seguimiento diario de la implantación

6.2. Auditorías de seguimiento de la implantación (2 o 3 por empresa)

6.3. Revisiones del Sistema por la Dirección (post-auditoría)

6.4. Acciones correctoras y preventivas

7. Auditoría final

8. Auditoría de Certificación

9. Cierre


¿Qué organizaciones prestarán los servicios de asesoría?

Colaborarán las siguientes organizaciones (relacionadas en orden alfabético):

· Ecija y Asociados (www.ecija.com) abogados especialistas en el asesoramiento a empresas del sector de internet, audiovisual y del entretenimiento.
Asumirá las labores de consultoría legal en el ámbito del proyecto.

· ESA Security (www.esa-security.com) empresa especializada en Seguridad Informática.
Asumirá labores de consultoría tecnológica en distintas fases del proyecto.

· IKUSNET (www.ikusnet.com) empresa de desarrollo de aplicaciones informáticas.
Asumirá las labores de desarrollo de las herramientas de software que sirvan de soporte a las metodologías de trabajo.

· securityXperts (www.securityxperts.es), empresa de seguridad informática.
Asumirá labores de consultoría en distintas fases del proyecto.

· SERVIPORT División de Seguridad de la Información, (www.serviport.com) empresa de tecnologías de la información.
Asumirá labores de consultoría de gestión de la seguridad de la información en distintas fases del proyecto.


¿Cuánto tiempo llevará?

De acuerdo con nuestras mejores estimaciones, el proyecto requerirá de 10 meses, desde la fecha de inicio de los trabajos, para la definición, desarrollo e implantación de los sistemas y de aproximadamente un año hasta la certificación.

¿Cómo se financiará?

Existe la posiblidad de financiar un porcentaje del coste total del proyecto a través de la iniciativa PROFIT.