Upload
genius
View
22
Download
0
Embed Size (px)
Citation preview
Sistema deGestin IntegralcongPAS99,ISO9001,ISO27001,ISO
20000 COBIT BS 25999 / ISO 2230120000,COBIT,BS25999/ISO22301
O t b 2011October2011
Mario Urea CuateMarioUreaCuateCISA,CISM,CGEIT,CISSP,LABS25999,LAISO27001
AgendaAgenda
IntroduccinIntroduccin SistemadeGestinIntegral
l d l Si d ElementoscomunesdelosSistemasdeGestin
AuditorayCertificacin Conclusiones
Introduccin 2008Introduccin 2008
Fuente: ISACA Global Status Report 2008Fuente: ISACA Global Status Report 2008
Introduccin 2011
Fuente: ISACA Global Status Report 2011Fuente: ISACA Global Status Report 2011.
Introduccin
Fuente: ISACA Global Status Report 2011Fuente: ISACA Global Status Report 2011.
Introduccin
Fuente: SecureInformationTechnologies Estudio de Percepcin en g p
SI 2011
http://www.slideshare.net/mariourena
IntroduccinIntroduccinEstndares originados por BSI (British Standards Institution):
1979 BS 5750 ISO 9001 (Calidad)1979 BS 5750 ISO 9001 (Calidad)
1992 BS 7750 ISO 14001 (Medioambiente)
1995 BS 7799 ISO/IEC 27001 (Seguridad de la Informacin)
1996 BS 8800 OHSAS 18001 (Salud Ocupacional y Seguridad)
2000 BS 8600 ISO 10002 (Satisfaccin de Clientes)
SO/ C (S )2002 BS 15000 ISO/IEC 20000 (Servicios de TI)
2007 BS 25999 ISO/IEC 22301 (Continuidad del Negocio)
2008 BS 25777 ISO/IEC 27031 (Continuidad de las TIC)2008 BS 25777 ISO/IEC 27031 (Continuidad de las TIC)
2009 BS 10012 (Proteccin de Datos Personales)
IntroduccinIntroduccin
RiesgoRiesgoReducir interrupciones atravs deuna efectiva gestinderiesgo
SustentabilidadCrearvaloratravsdeprcticassustentables
DesempeoC t j titi t d l j lCrear ventaja competitiva atravs delamejora eneldesempeo
Motivadores DesempeoMetasdelnegocio
CumplimientoLFPDPPP,SOX,
BASILEAII,PCI.
Gobiernocorporativo ISO31000
BalancedScorecard ValIT COSO
GobiernodeTI COBIT/ISO38500
N
C
E
2
Estndaresymejores prcticas
M
B
O
K
/
P
R
I
N
ISO9001SGC
ISO20000SGSTI ISO 27001
BS25999/ISO22301/ISO 27031
ISO27005CMMIBS10012SGIP
A
S
9
9
mejoresprcticas
P
MSGC SGSTI ISO27001SGSI
Principios
ISO27031SGCN
Procedimientos
SSECMMSGIP
Practicas
P
A
Procesosyprocedimientos
Procedimientosdecalidad ITIL
PrincipiosdeSeguridad
(OECD)DRII
Procedimientosdedesarrolloymantenimiento
Practicasdeproteccin
dedatos
Fuente: Mario Urea SecureInformationTechnologies 2011.
Sistema de Gestin IntegralSistemadeGestinIntegral
Sistema de gestin que integra todos losSistema de gestin que integra todos lossistemas y procesos de una organizacin en unnico marco de referencia permitiendo a lanico marco de referencia, permitiendo a laorganizacin trabajar como una unidad conobjetivos unificadosobjetivos unificados.
Sistema de Gestin IntegralSistemadeGestinIntegral
Beneficios:Beneficios: Enfoque de negocio mejorado Enfoque holstico para gestionar riesgos Enfoque holstico para gestionar riesgos Menor conflicto entre sistemasR d i d li i b i Reducir duplicacin y burocracia
Auditoras mas eficientes y efectivas tantoi t tinternas como externas
Sistema de Gestin IntegralSistemadeGestinIntegral
Quien puede implementarlo?Quien puede implementarlo?
El Sistema de Gestin Integrado es relevante paraEl Sistema de Gestin Integrado es relevante paracualquier organizacin, independientemente desu tamao o sector en el que opera que busquesu tamao o sector en el que opera, que busqueintegrar dos o ms de sus sistemas en uno solocon un conjunto holstico de documentacin,con un conjunto holstico de documentacin,polticas, procedimientos y procesos.
SistemadeGestinIntegral Basado en PDCA
Sistema de Gestin IntegralSistemadeGestinIntegral
La organizacin pregunta: La organizacin pregunta:
Nosotros no tenemos procesos, aqut b j f i P dtrabajamos por funciones Puedoimplementar un Sistema de Gestin?
Sistema de Gestin IntegralSistemadeGestinIntegral
La organizacin pregunta: La organizacin pregunta:
Debo tener todo documentado eni M l d Si t dun mismo Manual de Sistema de
Gestin Integral?
Sistema de Gestin IntegralSistemadeGestinIntegral
Sistema de Gestin IntegralSistemadeGestinIntegral
Sistema de Gestin IntegralSistemadeGestinIntegral
El Manual del Sistema de GestinEl Manual del Sistema de GestinNO es un requisito comn.q
ManualdelSi t dSistemadeGestinIntegral
Sistema de Gestin IntegralSistemadeGestinIntegral
La organizacin pregunta:La organizacin pregunta:
Es mandatorio tener un comit paracada Sistema de Gestin? Ejemplo:cada Sistema de Gestin? Ejemplo:uno para 9000, otro para Seguridad,etc ?etc. ?
Sistema de Gestin IntegralSistemadeGestinIntegral
La organizacin pregunta: La organizacin pregunta:
Puedo tener una sola declaracind li bilid d (S A) l Si tde aplicabilidad (SoA) para el Sistemade Gestin Integral?
Sistema de Gestin IntegralSistemadeGestinIntegral
La Declaracin de AplicabilidadLa Declaracin de AplicabilidadNO es un requisito comn.q
Declaracindde
Aplicabilidad(SoA)
Sistema de Gestin IntegralSistemadeGestinIntegral
Sistema de Gestin IntegralSistemadeGestinIntegral
C l l t dCuleselestndarqueestablece los requisitosestablecelosrequisitosdel Sistema de GestindelSistemadeGestin
Integral?Integral?
ElementoscomunesdelosSGLespresento:PAS99
Elementos comunes de los SGElementoscomunesdelosSG
ISO Guide 72:ISO Guide 72:
Para quienes escriben estndares ePara quienes escriben estndares eincluye un marco de referencia de loselementos comunes de los Sistemas deelementos comunes de los Sistemas deGestin.
Elementos comunes de los SGElementoscomunesdelosSG
Estructura de PAS 99:Estructura de PAS 99:1. Alcance2 Referencias Normativas2. Referencias Normativas3. Trminos y definiciones4 Requerimientos comunes de Sistemas de4. Requerimientos comunes de Sistemas de
Gestin5. Anexo A Gua sobre antecedentes y uso de la
publicacin
Elementos comunes de los SGElementoscomunesdelosSG
Principales categoras: Principales categoras: Poltica Planeacin Implementar y operar Evaluacin del desempeo Mejora Revisin de la gerencia
Elementos comunes de los SGElementoscomunesdelosSG
Fuente: BSI PAS 99:2006Fuente: BSI PAS 99:2006.
ElementoscomunesdelosSG
Fuente: BSI PAS 99:2006.
Elementos comunes de los SGElementoscomunesdelosSG
4.1 Requerimientos generales. eque e tos ge e a es Alcance del Sistema de Gestin Establecer, documentar, implementar, mantener y mejorarcontinuamente el Sistema de Gestincontinuamente el Sistema de Gestin
Identificar los procesos necesarios Determinar la secuencia e interaccin de estos procesosD i i i d i Determinar criterios y mtodos necesarios
Asegurar la disponibilidad de recursos e informacin parasoportar la operacin y monitoreo
Monitorear, medir y analizar estos procesos
Elementos comunes de los SGElementoscomunesdelosSG
4.2 Poltica del Sistema de Gestin Apropiada a las actividades, productos y servicios Incluye un compromiso de cumplimiento cont d l i i t l l l ttodos los requerimientos legales relevantes
Provee la base para establecer y revisar objetivos Es comunicada a todas las personas que trabajanEs comunicada a todas las personas que trabajanen o en nombre de la organizacin
Es revisada continuamente para verificar sud iadecuacin
Sistema de Gestin IntegralSistemadeGestinIntegral
P d t lPuedotenerunsolodocumento de polticadocumentodepolticapara todos los SistemasparatodoslosSistemas
de Gestin?deGestin?
Elementos comunes de los SGElementoscomunesdelosSG
4.3 Planeacin4.3 Planeacin Identificacin y evaluacin de aspectos, impactos yriesgosId tifi i d i i t l l t Identificacin de requerimientos legales y otros
Planeacin de contingencias ObjetivosObjetivos Estructura organizacional, roles, responsabilidades yautoridadesIdentificar documentar y comunicar roles Identificar, documentar y comunicar roles,responsabilidades y autoridades de los involucrados
Elementos comunes de los SGElementoscomunesdelosSG
4 4 Implementacin y operacin 4.4 Implementacin y operacin Control operacional Gestin de recursos (competencias) Requerimientos de documentacin Comunicacin
Elementos comunes de los SGElementoscomunesdelosSG
4 4 3 Requerimientos de documentacin4.4.3 Requerimientos de documentacin Alcance Declaracin de poltica y objetivos Declaracin de poltica y objetivos Descripcin de los principales elementos del sistema Procedimientos documentados y registrosProcedimientos documentados y registrosmandatorios
Documentos que la organizacin considere comonecesarios
ElementoscomunesdelosSGl d d 4.4.3.3 Control de documentos
Aprobar previo a su usoRevisar actualizar y re aprobar documentos Revisar, actualizar y reaprobar documentos
Asegurar que los cambios y versin actual estnidentificados
Asegurar que las versiones relevantes de losdocumentos se encuentran en los puntos de uso
Asegurar que los documentos se mantienen legibles eg q gidentificables
Asegurar que los documentos de origen externo estnidentificados y su distribucin controladaidentificados y su distribucin controlada
Prevenir el uso no intencionado de documentosobsoletos
Sistema de Gestin IntegralSistemadeGestinIntegral
D t i tDocumentosyregistrosSon lo mismo sonSonlomismo,son
cosas diferentes cualescosasdiferentes,cualesson las diferencias?sonlasdiferencias?
Elementos comunes de los SGElementoscomunesdelosSG
4 5 Evaluacin del desempeo 4.5 Evaluacin del desempeoMonitoreo y medicinEvaluacin de cumplimientoAuditora internaAuditora interna
Gestin de no conformidades
Elementos comunes de los SGElementoscomunesdelosSG
4 6 Mejora 4.6 Mejora General Acciones correctivas, preventivas y de mejora
Elementos comunes de los SGElementoscomunesdelosSG
4.6.2 Acciones correctivas, preventivas y de.6. cc o es co ect as, p e e t as y demejoraA) Revisar no conformidades existentes y potencialesB) Determinar las causas de no conformidadesC) Evaluar la necesidad de accin para que no vuelvan
a ocurrira ocurrirD) Determinar e implementar la accin necesariaE) Registrar los resultados de la accin tomadaE) Registrar los resultados de la accin tomadaF) Revisar la efectividad de las acciones tomadas
Elementos comunes de los SGElementoscomunesdelosSG
4 7 Revisin de la Gerencia 4.7 Revisin de la GerenciaGeneralEntradasSalidasSalidas
ElementoscomunesdelosSG 4.7.2 Entradas
A) Resultados de auditorasB) Retroalimentacin de partes interesadasC) Estatus de acciones correctivas y preventivasD) Acciones de seguimiento para revisiones previasD) Acciones de seguimiento para revisiones previasE) Circunstancias cambiantes, incluyendo aspectos
legales y otros requerimientos, relacionados con lai i l i f torganizacin y los riesgos que enfrenta
F) Recomendaciones de mejoraG) Datos e informacin sobre el desempeo) pH) Resultados de la evaluacin de cumplimiento
ElementoscomunesdelosSG
4.7.3 SalidasA) Mejoras en la efectividad del sistemaA) Mejoras en la efectividad del sistema
de gestinB) M j l i d l iB) Mejoras relacionadas con los requeri
mientos de las partes interesadasC) Recursos necesarios para lograr la
mejora al Sistema de Gestin y susprocesos
Elementos comunes de los SGElementoscomunesdelosSG
Procedimientos mandatorios: Procedimientos mandatorios :Control de documentos y registrosAuditoraAcciones CorrectivasAcciones Correctivas
Acciones Preventivas
ElementoscomunesdelosSG Pasos sugeridos:
Sistemassonutilizadosporseparado1Combinado
Sehanidentificadoloselementoscomunes2Integrable
Sehanidentificadoloselementoscomunesyestnsiendointegrados3Integracin
Unsistemaqueintegratodosloselementoscomnes4Integrado
(Parntesis)yquehaydeCOBIT?
Sistema de Gestin IntegralSistemadeGestinIntegral
Q t d d fi lQuestndardefinelasguas para auditora deguasparaauditoradeSistemas de gestin?Sistemasdegestin?
Auditora y CertificacinAuditorayCertificacin
ISO 19011ISO19011
Guasparalaauditorade
SistemasdeGestinde Calidad y/odeCalidady/oambiental
Auditora y CertificacinAuditorayCertificacinIniciodelaAuditora
RevisindeDocumentos
PrepararActividadesenSitiop
EjecutarActividadesenSitio
Preparar,AprobaryDistribuirelInformedelaAuditora
C l t l A dit CompletarlaAuditora
ConducirelSeguimientodelaAuditora
Competencia del auditorCompetenciadelauditor Habilidades y atributos personales. Conocimiento y experiencia en la aplicacin deprincipios de: Auditora + Auditora + Sistemas de Gestin + Calidad +S id d d l I f i Seguridad de la Informacin +
Gestin de TI + Continuidad del Negocio +
Auditora y CertificacinAuditorayCertificacin
Cumplimiento vsCumplimientovsC f id dConformidad
Auditora y CertificacinAuditorayCertificacin
La organizacin pregunta: La organizacin pregunta:
Puedo solicitar la auditora detifi i dif t i tcertificacin para diferentes sistemas
en forma simultnea?
ConclusionesConclusiones
Motivadores DesempeoMetasdelnegocio
CumplimientoLFPDPPP,SOX,
BASILEAII,PCI.
Gobiernocorporativo ISO31000
BalancedScorecard ValIT COSO
GobiernodeTI COBIT/ISO38500
N
C
E
2
Estndaresymejores prcticas
M
B
O
K
/
P
R
I
N
ISO9001SGC
ISO20000SGSTI ISO 27001
BS25999/ISO22301/ISO 27031
ISO27005CMMIBS10012SGIP
A
S
9
9
mejoresprcticas
P
MSGC SGSTI ISO27001SGSI
Principios
ISO27031SGCN
Procedimientos
SSECMMSGIP
Practicas
P
A
Procesosyprocedimientos
Procedimientosdecalidad ITIL
PrincipiosdeSeguridad
(OECD)DRII
Procedimientosdedesarrolloymantenimiento
Practicasdeproteccin
dedatos
Fuente: Mario Urea SecureInformationTechnologies 2011.
Preguntas yrespuestasg y pGracias!
MarioUreaCuateCISA CISM CGEIT CISSP
CISA,CISM,CGEIT,CISSPISO27001LA,BS25999LA
x
@mariourena
www.mariourenacuate.com
www.slideshare.net/mariourena