ISO Exposicion

7/31/2019 ISO Exposicion

1/36

ISO + TICS


2/36

NORMAS RELACIONADAS CON TICS

BS2599 (1 y 2)

Gestin deISO 27002 continuidad deGua de negocio IT Governance

controlesISO 38500

ISO 27001 S.G.Seguridad de la

ISO 15504Informacin TICsSPiCE

ISO 20000-2

Gua de buenas ISO 12207prcticas

Ciclo de vida deISO 19770ISO 20001-1

desarrollo deSAMS.G. STI

software


3/36

Hoja de Ruta en las TICs

Objetivo: Gobierno y Gestin de las TICs con estndares ISO.

SGCN Gobierno de TIUNE 71599-2 ISO / IEC 38500Sistema de Gestin Continuidad del Negocio. IT Governance

Procesos / ServiciosDesarrollo de Software

Nivel de Madurez. Ciclo de Vida de SW SGSTISGAS - SAMSPICE ISO 15504 ISO 19770-1 ISO 20000-1

Modelo de Evaluacin, Mejora y Madurez de Software Sistema de Gestin Activos Software Sistema de Gestin Servicios TI

ISO 20000-2ISO 12207Gua de BuenasCiclo de Vida de Desarrollo de

PrcticasSoftware

SGSI

ISO 27001Sistema de Gestin Seguridad de

la Informacin

ISO 27002

Gua de Controles


4/36

Definiciones

Gobierno Corporativo de TI (corporate governance of IT)Sistema Mediante el cual se dirige y controla el uso actual y

futuro de las tecnologas de la informacin

Gestin (Management)Sistema de controles y procesos requeridos para lograr

objetivos estratgicos.


5/36

Interesado (stakeholder)

Individuo, grupo u organizacin que puede afectar, ser afectado opercibir que va a ser afectado por una decisin o una actividad

Uso de TI (use of IT)

Planificacin, diseo, desarrollo, despliegue, operacin, gestin yaplicacin de TI para cumplir las necesidades del negocio

Conducta humana (human behavior)La comprensin de las interacciones entre personas.


6/36

Modelo de Gobierno Corporativo de TI

ISO 38500

La direccin ha de gobernar las TI mediante 3 tareas principales:

Evaluar Dirigir

Monitorizar

Principio 1:Responsabilidad

Principio 2: Estrategia

Principio 3: Adquisicin

Principio 4: Rendimiento

Principio 5: Conformidad

Principio 6: Factor Humano


7/36

ISO 15504

Software Process Improvement Capability Determination

Determinacin de la Capacidad de Mejora del Proceso deSoftware

SPICE


8/36

Caractersticas

Establece un Marco

Proporciona requisitos

Proporciona Guas

Consta de 10 Partes

Comprende: Evaluacin, Mejora y determinacin

Evaluacin de procesos de ciclo de vida del SW (parte 5)

Evaluacin de Procesos de Ciclo de vida des Sistema

(parte 6)

Evaluacin de Procesos para los servicios TIC (Parte 8)


9/36

Dimensiones

Proceso

Capacidad


10/36

Proceso

Procesos primarios

Procesos de cliente Procesos de proveedor

Ingenieria Procesos de operacin

Procesos de soporte

Soporte

Procesos de Organizacin

Procesos de Gestion Procesos de RH

Procesos de Infraestructura Procesos de Mejora de

Procesos


11/36

Capacidad

Nivel 0: IncompletoNivel 1: Realizado

Nivel 2: GestionadoNivel 3: EstablecidoNivel 4: Predecible

Nivel 5: En optimizacin


12/36

E S T A B L E C E U N P R O C E S O D E

C I C L O D E V I D A P A R A E LS O F T W A R E Q U E I N C L U Y EP R O C E S O S Y A C T I V I D A D E S Q U ES E A P L I C A N D E S D E L AD E F I N I C I N D E R E Q U I S I T O S ,

P A S A N D O P O R L A A D Q U I S I C I N YC O N F I G U R A C I N D E L O SS E R V I C I O S D E L S I S T E M A , H A S T AL A F I N A L I Z A C I N D E S U U S O .

EstructuraLa estructura del estndar ha sido concebida de maneraque pueda ser adaptada a las necesidades de cualquieraque lo use
http://es.wikipedia.org/wiki/Ciclo_de_vida_del_softwarehttp://es.wikipedia.org/wiki/Softwarehttp://es.wikipedia.org/wiki/Softwarehttp://es.wikipedia.org/wiki/Ciclo_de_vida_del_softwarehttp://es.wikipedia.org/wiki/Ciclo_de_vida_del_softwarehttp://es.wikipedia.org/wiki/Ciclo_de_vida_del_softwarehttp://es.wikipedia.org/wiki/Ciclo_de_vida_del_softwarehttp://es.wikipedia.org/wiki/Ciclo_de_vida_del_software


13/36

LOS PROCESOS SE CLASIFICAN EN TRES TIPOS

Procesos principales.Adquisicin. Suministro. Desarrollo. Operacin.

Mantenimiento

Procesos de soporte.Documentacin

Gestin de laconfiguracin.Aseguramiento de calidad.VerificacinValidacin.Revisin conjunta.

Auditora.Resolucin de problemas

Procesos de la

organizacin.Gestin.Infraestructura.Mejora.Recursos Humanos.


14/36

ISO 19770

Esta norma consta de dos partes. La primera explica los procesos deGestin de Activos de Software y la segunda, la metodologa yprocedimiento de identificacin de productos, orientada a facilitar lalabor de inventario


15/36

Aplicacin de la norma ISO 19970

se pueden aplicar a prcticamente cualquier aspecto del entorno de IT enuna organizacin, pero sobre todo a aquellos que tienen que ver con lagestin de licencias de software e inventario de activos


16/36

1. Gestin organizativa

2. Procesos que definen la Gestin de Activos de Software

3. Interfaces de Gestin de Activos de Software con otros procesos de lagestin del ciclo de vida de los activos de software.


17/36

Gestin organizativa

a) Los procesos de gobierno corporativob) Asignacin de roles y responsabilidades

c) Polticas, procesos y procedimientos

d) Competencias


18/36

est basada y reemplaza a la BS 15000, la norma reconocidainternacionalmente como una British Standard (BS), y que estdisponible en dos partes: una especificacin auditable y un cdigo debuenas prcticas


19/36

APLICACIN

La ISO/IEC 20000 es aplicable a cualquier organizacin, pequea o grande,en cualquier sector o parte del mundo donde confan en los serviciosde TI


20/36

Rasgos y beneficios

La ISO/IEC 20000 est dividida en las siguientes secciones que definen losrequisitos que debe cumplir una organizacin, la cual proporcionaservicios a sus clientes con un nivel aceptable de calidad:


21/36

ISO/IEC 17799T E C N O L O G A D E L A I N F O R M A C I N T C N I C A SD E S E G U R I D A D S I S T E M A S D E G E S T I N D ES E G U R I D A D D E L A I N F O R M A C I N -R E Q U E R I M I E N T O S


22/36

CERTIFICACIN ISO/IEC 17799

La norma ISO/IEC 17799 es una gua de buenas prcticas y no especificalos requisitos necesarios que puedan permitir el establecimiento de unsistema de certificacin adecuado.

Es consistente con las mejores practicas descritas en la ISO/IEC 27001

ISO/IEC 17799 es no certificable


23/36

ISO/IEC 27001:2005 (E)T E C N O L O G A D E L A I N F O R M A C I N T C N I C A SD E S E G U R I D A D S I S T E M A S D E G E S T I N D ES E G U R I D A D D E L A I N F O R M A C I N -R E Q U E R I M I E N T O S


24/36

QUE ES LA ISO/IEC 27001

El estndar para la seguridad de la informacin

Especifica los requisitos necesarios para establecer, implantar, mantener ymejorar un Sistema de Gestin de la Seguridad de la Informacin (SGSI).

Tiene su origen en la norma BS 7799-2:2002, desarrollada por la entidad denormalizacin britnica, la British Standards Institution (BSI).


25/36

ISO/IEC 27001

Preparado para proporcionar un modelo para establecer, implementar,operar, monitorear, revisar, mantener y mejorar un Sistema de Gestinde Seguridad de la Informacin (SGSI)

Este estndar (ISO/IEC 27001) puede ser utilizado por entidades internas yexternas para evaluar la conformidad.

El SGSI est diseado para asegurar la seleccin adecuada y proporcionarcontroles de seguridad que protejan los activos de informacin y den

confianza a las partes interesadas.


26/36

Plan Establecer SGSI

Actuar Mantener y

Mejorar SGSI

Chequear Monitorear y

Revisar SGSI

Hacer Implementar y

Operar el SGSI

PartesInteresadas

Requerimientos yExpectativasDe laSeguridad De

Informacin

PartesInteresadas

Seguridad deinformacinmanejada.

Ciclo Deming- (PDCA- Plan, Do, Check, Act)


27/36

BENEFICIOS

Garanta independiente de los controles internos y cumple los requisitosde gestin corporativa comercial

Respeto a leyes y normativas que sean de aplicacin

Ventaja competitiva

Identificacin de riesgos

Compromiso con la organizacin y seguridad


28/36

IMPLANTACIN ISO/IEC 27001:2005

La implantacin del proyecto Dura entre 6 a 12 meses dependiendo de lamadurez y alcance del SGSI

El equipo de proyecto de implantacin debe estar formado porrepresentantes de todas las reas de la organizacin que se veanafectadas por el SGSI, liderado por la direccin y asesorado porconsultores externos especializados en seguridad informticageneralmente Ingenieros o Ingenieros Tcnicos en Informtica, derechode las nuevas tecnologas, proteccin de datos y sistemas de gestin

de seguridad de la informacin


29/36

CERTIFICACIN

La certificacin de un SGSI es un proceso mediante el cual una entidad decertificacin externa, independiente y acreditada audita el sistema,determinando su conformidad con ISO/IEC 27001, su grado deimplantacin real y su eficacia y, en caso positivo, emite elcorrespondiente certificado.


30/36

SERIE 27000

ISO 27000: Contiene la descripcin general y vocabulario a ser empleadoen toda la serie 27000.

UNE-ISO/IEC 27001:2007 : Es la norma principal de requisitos de unSistema de Gestin de Seguridad de la Informacin.

ISO 27002: Gua de buenas prcticas que describe los objetivos de controly controles recomendables en cuanto a seguridad de la informacin.

ISO 27003: Contendr una gua de implementacin de SGSI e informacin

acerca del uso del modelo PDCA y de los requisitos de sus diferentesfases.


31/36

SERIE 27000

ISO 27004: Especifica las mtricas y las tcnicas de medida aplicables paradeterminar la eficiencia y eficacia de la implantacin de un SGSI y delos controles relacionados.

ISO 27005: Consiste en una gua para la gestin del riesgo de la seguridadde la informacin y sirve, por tanto, de apoyo a la ISO 27001 y a laimplantacin de un SGSI.

ISO 27006: Especifica los requisitos para acreditacin de entidades de

auditora y certificacin de sistemas de gestin de seguridad de lainformacin.


32/36

BS 25999G E S T I N D E L A C O N T I N U I D A D D E L N E G O C I O ,E N F O C A D O A L A D I S P O N I B I L I D A D D E L AI N F O R M A C I N


33/36

BS 25999

Norma certificable en Gestin o Plan de la Continuidad del Negocio,Enfocado a la disponibilidad de la informacin.

Tcnicas de minimizacin de riesgo

Consiste en una serie de recomendaciones o buenas practicas parafacilitar la recuperacin de los recursos que permiten el funcionamientonormal de un negocio en caso de desastre.


34/36

HISTORIA BS 25999

Estndar Britnico, Enfoque en Business Continuity Management BCM(Plan de continuidad del Negocio).

Desarrolladla por un grupo de expertos de relevancia mundial en diferentessectores de la industria y de la administracin.


35/36

SERIE BS 25999

Existen Dos publicaciones

BS 25999-1:2006

Parte 1: Documento Orientativo que proporciona lasrecomendaciones y practicas para BCM

BS 25999-2:2007- Parte2: Requisitos para un sistema de Gestin de lacontinuidad (BCM). Es la parte certificable a travs de una etapa deimplementacin, de auditoria y posterior certificacin.


36/36

IMPLEMENTACIN BS25999

Evaluacin e Identificacin de riesgos

Anlisis de impacto en el negocioDesarrollo de planes para la continuidad del negocio

Implementacin de los planes para la continuidad del negocio

Comunicacin y formacin de plan de continuidad del negocio

Mantenimiento y pruebas peridicas del plan de continuidad del negocio.

Documents

ISO Exposicion