ISO 27001, ISO 20000 e ISO 15504, tres certificaciones imprescindibles en el sector TIC
1. SISTEMAS DE GESTIÓN
SEGÚN NORMAS ISO
EN EL SECTOR TIC
www.seguridadinformacion.com
info@seguridadinformacion.com
1
2. SISTEMAS DE GESTIÓN ISO
Definir política de gestión
Desarrollar e implantar el sistema
Establecer alcance del sistema
Formar al personal
Definir objetivos “PLAN”
“A”
“ACT” “DO”
Adoptar las acciones correctivas
Adoptar las acciones preventivas Revisar internamente el sistema
“CHECK” Realizar auditorias internas
3. NORMAS EN EL SECTOR TIC
ISO 38500 Estrategia
Gobierno de las TICs
ISO 15504 ISO 20000-1 UNE 71599
Modelo de Evaluación, Mejora y Gestión Servicios TI Gestión de la Continuidad del Táctica
Capacidad de Software Negocio
ISO 12207 UNE-ISO 27001
Ciclo de Vida de Seguridad de la
Desarrollo de Software Información Operativa
ISO 19770 ISO 24762
Gestión de activos de Recuperación de
software desastres
4. ISO 27001: ¿QUÉ ES?
Es el estándar internacionalmente
reconocido para la gestión de la
seguridad de la información
Proporciona el marco para asegurar
que la información está protegida
frente a la pérdida de:
• Confidencialidad
• Integridad
• Disponibilidad
4
5. ISO 27001: ¿PARA QUÉ SIRVE?
La información es el activo clave
de muchos negocios por lo que
necesita ser protegido contra los
riesgos internos y externos.
Crear un sistema de gestión de
seguridad de la información es
vital para preservar la
continuidad del negocio
5
6. ISO 27001: LAS NORMAS
La norma ISO27001 especifica los
requisitos que debe cumplir el
Sistema de Gestión. Esta norma dice
qué se debe hacer y es con la que
una empresa puede certificarse.
La norma ISO 27002 es una guía de
buenas prácticas en seguridad de la
información. Esta es la norma que
dice cómo deben hacerse las cosas.
6
7. ELEMENTOS PRINCIPALES
INVENTARIO DE ANÁLISIS DE GESTIÓN DE
ACTIVOS RIESGOS RIESGOS
Equipos
Robo Alarmas
Aplicaciones
Temperaturas Sistemas de
Instalaciones elevada refrigeración
Datos Errores de usuarios Formación
Personal Virus Antivirus
7
8. ISO 27001: BENEFICIOS
Reforzar la ventaja competitiva (ENS, concursos)
Anticiparse a las tendencias de los mercados
Mejorar los procesos y procedimientos internos
Mejorar la imagen de la empresa en el mercado
Cumplir con las exigencias legales
Reducir costes
Evitar multas y/o sanciones
8
9. ISO 20000-1: ¿QUÉ ES?
Es el estándar internacional
para la gestión de la calidad
de servicios de TI
Establece procesos y
procedimientos para gestionar
eficazmente los servicios
prestados por los sistemas de TI
9
10. ISO 20000-1: ¿PARA QUÉ SIRVE?
Internamente, para demostrar
de manera independiente que
los servicios ofrecidos cumplen
con las mejores prácticas y con
las necesidades del negocio.
Externamente, para demostrar
altos niveles de calidad y fiabilidad
de los servicios de tecnología de
información.
10
11. ISO 20000-1: LAS NORMAS
UNE-ISO/IEC 20000-1. Gestión del servicio. Parte 1:
Especificaciones. Es el marco para realizar y
gestionar de manera efectiva el suministro de
servicios que cumplan con los requisitos del cliente
y los del negocio.
UNE-ISO/IEC 20000-2 Gestión del servicio. Parte 2:
Código de buenas prácticas. Contiene las mejores
prácticas de la gestión de servicios, que servirán de
guía para el desarrollo de los procedimientos.
11
12. GESTIÓN DE SERVICIOS
Informes Continuidad Gestión Seguridad
PROVISIÓN DE Nivel de Gestión
SERVICIOS de y de la de la
Servicios Disponibilid Financiera
Servicio Capacidad Información
PROCESOS DE Gestión de las
Gestión de los
RELACIONES Relaciones con el
DE NEGOCIO Proveedores
Cliente
PROCESOS DE Gestión de los Gestión de
RESOLUCIÓN Incidentes Problemas
PROCESOS DE Gestión de Gestión de
CONTROL Configuración Cambios
PROCESO DE Gestión de los
LANZAMIENTO Lanzamientos
12
13. ISO 20000-1: BENEFICIOS
Demostrar la capacidad de proveer servicios TI
(concursos, grandes empresas)
Ventaja competitiva por ser factor diferenciador
Mejorar la calidad de los servicios y productos
ofrecidos
Incrementar la satisfacción del cliente
Incrementar la productividad
Reducir costes
13
14. ISO 15504: ¿QUÉ ES?
Es la norma internacional para
establecer y mejorar la
capacidad de los procesos de
desarrollo de software
Es un modelo de evaluación de
la capacidad de los procesos de
desarrollo de software y
establece criterios de nivel de
madurez de la organización.
14
15. ISO 15504: ¿PARA QUÉ SIRVE?
Establece los procesos a implantar
y las actividades a desarrollar para
mejorar la capacidad y madurez de
los procesos de desarrollo de
software
El nivel de madurez de la
organización proporciona garantía
de la calidad del software
desarrollado
15
16. ISO 15504: LAS NORMAS
ISO/IEC 15504-1 Parte 1. Conceptos y
vocabulario
ISO/IEC 15504-2 Parte 2. Realización de una
evaluación
ISO/IEC 15504-3 Parte 3. Guía para realizar una
evaluación
ISO/IEC 15504-4 Parte 4. Guía de uso para la
mejora de procesos y la determinación de la
capacidad de los procesos.
ISO/IEC 15504-5 Parte 5. Ejemplo de un Modelo
de evaluación de procesos
16
17. ISO 15504: ELEMENTOS
ID Nivel Atributos de Proceso y Descripción
0 Incompleto El proceso no está implementado o no produce resultados.
1 Realizado El proposito del proceso se logra habitualmente y hay
resultados del mismo.
PA Realización del Proceso
2 Gestionado El proceso es planificado y gestionado, y los resultados se
ajustan a los requisitos de coste, tiempo y calidad.
PA Gestión de la Realización/Gestión de los Productos del trabajo
3 Establecido Un proceso realizado y gestionado usado un proceso definido,
basado en un principios de buenas prácticas de ingeniería del
software.
PA Definición del Proceso / Despliegue del Proceso
4 Predecible El proceso está controlado y enfocado a alcanzar objetivos
definidos. El proceso se gestiona y mejora cuantitativamente.
PA Medición del Proceso / Control de Proceso
5 Optimizado El proceso se mejora continuamente, satisfaciendo los
objetivos actuales y preparándose para los futuros.
PA Innovación del Proceso / Optimización del proceso
17
18. ISO 15504: BENEFICIOS
Utilización de buenas prácticas específicas del
desarrollo de software
Potenciar la mejora de procesos
Aumenta el grado de satisfacción del cliente
Mejora de la productividad
Elemento diferenciador frente a otras empresas
Integración con el resto de sistemas de gestión ISO
18
19. EMPRESAS CERTIFICADAS
483
500
400
300
200 100
100 36
0
ISO 27001 ISO 20000-1 ISO 15504
19
23. Gracias por su atención
Dudas y preguntas
START-UP S.L.
Oviedo - Madrid – Santander - Las Palmas de Gran Canaria - Santa Cruz de Tenerife
www.seguridadinformacion.com - info@seguridadinformacion.com
23