Upload
enrrique-mejias
View
219
Download
0
Embed Size (px)
Citation preview
7/31/2019 ISO Exposicion
1/36
ISO + TICS
7/31/2019 ISO Exposicion
2/36
NORMAS RELACIONADAS CON TICS
BS2599 (1 y 2)
Gestin deISO 27002 continuidad deGua de negocio IT Governance
controlesISO 38500
ISO 27001 S.G.Seguridad de la
ISO 15504Informacin TICsSPiCE
ISO 20000-2
Gua de buenas ISO 12207prcticas
Ciclo de vida deISO 19770ISO 20001-1
desarrollo deSAMS.G. STI
software
7/31/2019 ISO Exposicion
3/36
Hoja de Ruta en las TICs
Objetivo: Gobierno y Gestin de las TICs con estndares ISO.
SGCN Gobierno de TIUNE 71599-2 ISO / IEC 38500Sistema de Gestin Continuidad del Negocio. IT Governance
Procesos / ServiciosDesarrollo de Software
Nivel de Madurez. Ciclo de Vida de SW SGSTISGAS - SAMSPICE ISO 15504 ISO 19770-1 ISO 20000-1
Modelo de Evaluacin, Mejora y Madurez de Software Sistema de Gestin Activos Software Sistema de Gestin Servicios TI
ISO 20000-2ISO 12207Gua de BuenasCiclo de Vida de Desarrollo de
PrcticasSoftware
SGSI
ISO 27001Sistema de Gestin Seguridad de
la Informacin
ISO 27002
Gua de Controles
7/31/2019 ISO Exposicion
4/36
Definiciones
Gobierno Corporativo de TI (corporate governance of IT)Sistema Mediante el cual se dirige y controla el uso actual y
futuro de las tecnologas de la informacin
Gestin (Management)Sistema de controles y procesos requeridos para lograr
objetivos estratgicos.
7/31/2019 ISO Exposicion
5/36
Interesado (stakeholder)
Individuo, grupo u organizacin que puede afectar, ser afectado opercibir que va a ser afectado por una decisin o una actividad
Uso de TI (use of IT)
Planificacin, diseo, desarrollo, despliegue, operacin, gestin yaplicacin de TI para cumplir las necesidades del negocio
Conducta humana (human behavior)La comprensin de las interacciones entre personas.
7/31/2019 ISO Exposicion
6/36
Modelo de Gobierno Corporativo de TI
ISO 38500
La direccin ha de gobernar las TI mediante 3 tareas principales:
Evaluar Dirigir
Monitorizar
Principio 1:Responsabilidad
Principio 2: Estrategia
Principio 3: Adquisicin
Principio 4: Rendimiento
Principio 5: Conformidad
Principio 6: Factor Humano
7/31/2019 ISO Exposicion
7/36
ISO 15504
Software Process Improvement Capability Determination
Determinacin de la Capacidad de Mejora del Proceso deSoftware
SPICE
7/31/2019 ISO Exposicion
8/36
Caractersticas
Establece un Marco
Proporciona requisitos
Proporciona Guas
Consta de 10 Partes
Comprende: Evaluacin, Mejora y determinacin
Evaluacin de procesos de ciclo de vida del SW (parte 5)
Evaluacin de Procesos de Ciclo de vida des Sistema
(parte 6)
Evaluacin de Procesos para los servicios TIC (Parte 8)
7/31/2019 ISO Exposicion
9/36
Dimensiones
Proceso
Capacidad
7/31/2019 ISO Exposicion
10/36
Proceso
Procesos primarios
Procesos de cliente Procesos de proveedor
Ingenieria Procesos de operacin
Procesos de soporte
Soporte
Procesos de Organizacin
Procesos de Gestion Procesos de RH
Procesos de Infraestructura Procesos de Mejora de
Procesos
7/31/2019 ISO Exposicion
11/36
Capacidad
Nivel 0: IncompletoNivel 1: Realizado
Nivel 2: GestionadoNivel 3: EstablecidoNivel 4: Predecible
Nivel 5: En optimizacin
7/31/2019 ISO Exposicion
12/36
E S T A B L E C E U N P R O C E S O D E
C I C L O D E V I D A P A R A E LS O F T W A R E Q U E I N C L U Y EP R O C E S O S Y A C T I V I D A D E S Q U ES E A P L I C A N D E S D E L AD E F I N I C I N D E R E Q U I S I T O S ,
P A S A N D O P O R L A A D Q U I S I C I N YC O N F I G U R A C I N D E L O SS E R V I C I O S D E L S I S T E M A , H A S T AL A F I N A L I Z A C I N D E S U U S O .
EstructuraLa estructura del estndar ha sido concebida de maneraque pueda ser adaptada a las necesidades de cualquieraque lo use
http://es.wikipedia.org/wiki/Ciclo_de_vida_del_softwarehttp://es.wikipedia.org/wiki/Softwarehttp://es.wikipedia.org/wiki/Softwarehttp://es.wikipedia.org/wiki/Ciclo_de_vida_del_softwarehttp://es.wikipedia.org/wiki/Ciclo_de_vida_del_softwarehttp://es.wikipedia.org/wiki/Ciclo_de_vida_del_softwarehttp://es.wikipedia.org/wiki/Ciclo_de_vida_del_softwarehttp://es.wikipedia.org/wiki/Ciclo_de_vida_del_software7/31/2019 ISO Exposicion
13/36
LOS PROCESOS SE CLASIFICAN EN TRES TIPOS
Procesos principales.Adquisicin. Suministro. Desarrollo. Operacin.
Mantenimiento
Procesos de soporte.Documentacin
Gestin de laconfiguracin.Aseguramiento de calidad.VerificacinValidacin.Revisin conjunta.
Auditora.Resolucin de problemas
Procesos de la
organizacin.Gestin.Infraestructura.Mejora.Recursos Humanos.
7/31/2019 ISO Exposicion
14/36
ISO 19770
Esta norma consta de dos partes. La primera explica los procesos deGestin de Activos de Software y la segunda, la metodologa yprocedimiento de identificacin de productos, orientada a facilitar lalabor de inventario
7/31/2019 ISO Exposicion
15/36
Aplicacin de la norma ISO 19970
se pueden aplicar a prcticamente cualquier aspecto del entorno de IT enuna organizacin, pero sobre todo a aquellos que tienen que ver con lagestin de licencias de software e inventario de activos
7/31/2019 ISO Exposicion
16/36
1. Gestin organizativa
2. Procesos que definen la Gestin de Activos de Software
3. Interfaces de Gestin de Activos de Software con otros procesos de lagestin del ciclo de vida de los activos de software.
7/31/2019 ISO Exposicion
17/36
Gestin organizativa
a) Los procesos de gobierno corporativob) Asignacin de roles y responsabilidades
c) Polticas, procesos y procedimientos
d) Competencias
7/31/2019 ISO Exposicion
18/36
est basada y reemplaza a la BS 15000, la norma reconocidainternacionalmente como una British Standard (BS), y que estdisponible en dos partes: una especificacin auditable y un cdigo debuenas prcticas
7/31/2019 ISO Exposicion
19/36
APLICACIN
La ISO/IEC 20000 es aplicable a cualquier organizacin, pequea o grande,en cualquier sector o parte del mundo donde confan en los serviciosde TI
7/31/2019 ISO Exposicion
20/36
Rasgos y beneficios
La ISO/IEC 20000 est dividida en las siguientes secciones que definen losrequisitos que debe cumplir una organizacin, la cual proporcionaservicios a sus clientes con un nivel aceptable de calidad:
7/31/2019 ISO Exposicion
21/36
ISO/IEC 17799T E C N O L O G A D E L A I N F O R M A C I N T C N I C A SD E S E G U R I D A D S I S T E M A S D E G E S T I N D ES E G U R I D A D D E L A I N F O R M A C I N -R E Q U E R I M I E N T O S
7/31/2019 ISO Exposicion
22/36
CERTIFICACIN ISO/IEC 17799
La norma ISO/IEC 17799 es una gua de buenas prcticas y no especificalos requisitos necesarios que puedan permitir el establecimiento de unsistema de certificacin adecuado.
Es consistente con las mejores practicas descritas en la ISO/IEC 27001
ISO/IEC 17799 es no certificable
7/31/2019 ISO Exposicion
23/36
ISO/IEC 27001:2005 (E)T E C N O L O G A D E L A I N F O R M A C I N T C N I C A SD E S E G U R I D A D S I S T E M A S D E G E S T I N D ES E G U R I D A D D E L A I N F O R M A C I N -R E Q U E R I M I E N T O S
7/31/2019 ISO Exposicion
24/36
QUE ES LA ISO/IEC 27001
El estndar para la seguridad de la informacin
Especifica los requisitos necesarios para establecer, implantar, mantener ymejorar un Sistema de Gestin de la Seguridad de la Informacin (SGSI).
Tiene su origen en la norma BS 7799-2:2002, desarrollada por la entidad denormalizacin britnica, la British Standards Institution (BSI).
7/31/2019 ISO Exposicion
25/36
ISO/IEC 27001
Preparado para proporcionar un modelo para establecer, implementar,operar, monitorear, revisar, mantener y mejorar un Sistema de Gestinde Seguridad de la Informacin (SGSI)
Este estndar (ISO/IEC 27001) puede ser utilizado por entidades internas yexternas para evaluar la conformidad.
El SGSI est diseado para asegurar la seleccin adecuada y proporcionarcontroles de seguridad que protejan los activos de informacin y den
confianza a las partes interesadas.
7/31/2019 ISO Exposicion
26/36
Plan Establecer SGSI
Actuar Mantener y
Mejorar SGSI
Chequear Monitorear y
Revisar SGSI
Hacer Implementar y
Operar el SGSI
PartesInteresadas
Requerimientos yExpectativasDe laSeguridad De
Informacin
PartesInteresadas
Seguridad deinformacinmanejada.
Ciclo Deming- (PDCA- Plan, Do, Check, Act)
7/31/2019 ISO Exposicion
27/36
BENEFICIOS
Garanta independiente de los controles internos y cumple los requisitosde gestin corporativa comercial
Respeto a leyes y normativas que sean de aplicacin
Ventaja competitiva
Identificacin de riesgos
Compromiso con la organizacin y seguridad
7/31/2019 ISO Exposicion
28/36
IMPLANTACIN ISO/IEC 27001:2005
La implantacin del proyecto Dura entre 6 a 12 meses dependiendo de lamadurez y alcance del SGSI
El equipo de proyecto de implantacin debe estar formado porrepresentantes de todas las reas de la organizacin que se veanafectadas por el SGSI, liderado por la direccin y asesorado porconsultores externos especializados en seguridad informticageneralmente Ingenieros o Ingenieros Tcnicos en Informtica, derechode las nuevas tecnologas, proteccin de datos y sistemas de gestin
de seguridad de la informacin
7/31/2019 ISO Exposicion
29/36
CERTIFICACIN
La certificacin de un SGSI es un proceso mediante el cual una entidad decertificacin externa, independiente y acreditada audita el sistema,determinando su conformidad con ISO/IEC 27001, su grado deimplantacin real y su eficacia y, en caso positivo, emite elcorrespondiente certificado.
7/31/2019 ISO Exposicion
30/36
SERIE 27000
ISO 27000: Contiene la descripcin general y vocabulario a ser empleadoen toda la serie 27000.
UNE-ISO/IEC 27001:2007 : Es la norma principal de requisitos de unSistema de Gestin de Seguridad de la Informacin.
ISO 27002: Gua de buenas prcticas que describe los objetivos de controly controles recomendables en cuanto a seguridad de la informacin.
ISO 27003: Contendr una gua de implementacin de SGSI e informacin
acerca del uso del modelo PDCA y de los requisitos de sus diferentesfases.
7/31/2019 ISO Exposicion
31/36
SERIE 27000
ISO 27004: Especifica las mtricas y las tcnicas de medida aplicables paradeterminar la eficiencia y eficacia de la implantacin de un SGSI y delos controles relacionados.
ISO 27005: Consiste en una gua para la gestin del riesgo de la seguridadde la informacin y sirve, por tanto, de apoyo a la ISO 27001 y a laimplantacin de un SGSI.
ISO 27006: Especifica los requisitos para acreditacin de entidades de
auditora y certificacin de sistemas de gestin de seguridad de lainformacin.
7/31/2019 ISO Exposicion
32/36
BS 25999G E S T I N D E L A C O N T I N U I D A D D E L N E G O C I O ,E N F O C A D O A L A D I S P O N I B I L I D A D D E L AI N F O R M A C I N
7/31/2019 ISO Exposicion
33/36
BS 25999
Norma certificable en Gestin o Plan de la Continuidad del Negocio,Enfocado a la disponibilidad de la informacin.
Tcnicas de minimizacin de riesgo
Consiste en una serie de recomendaciones o buenas practicas parafacilitar la recuperacin de los recursos que permiten el funcionamientonormal de un negocio en caso de desastre.
7/31/2019 ISO Exposicion
34/36
HISTORIA BS 25999
Estndar Britnico, Enfoque en Business Continuity Management BCM(Plan de continuidad del Negocio).
Desarrolladla por un grupo de expertos de relevancia mundial en diferentessectores de la industria y de la administracin.
7/31/2019 ISO Exposicion
35/36
SERIE BS 25999
Existen Dos publicaciones
BS 25999-1:2006
Parte 1: Documento Orientativo que proporciona lasrecomendaciones y practicas para BCM
BS 25999-2:2007- Parte2: Requisitos para un sistema de Gestin de lacontinuidad (BCM). Es la parte certificable a travs de una etapa deimplementacin, de auditoria y posterior certificacin.
7/31/2019 ISO Exposicion
36/36
IMPLEMENTACIN BS25999
Evaluacin e Identificacin de riesgos
Anlisis de impacto en el negocioDesarrollo de planes para la continuidad del negocio
Implementacin de los planes para la continuidad del negocio
Comunicacin y formacin de plan de continuidad del negocio
Mantenimiento y pruebas peridicas del plan de continuidad del negocio.