Latin CACS 341 Mario Ureña - Sistemas de Gestión Integral
1. Sistema de Gestión Integral con
PAS 99, ISO 9001, ISO 27001, ISO
20000, COBIT, BS 25999 / ISO 22301
October 2011
Mario Ureña Cuate
CISA, CISM, CGEIT, CISSP, LA BS25999, LA ISO27001
2. Agenda
• Introducción
• Sistema de Gestión Integral
• Elementos comunes de los Sistemas de
Gestión
• Auditoría y Certificación
• Conclusiones
7. Introducción
Estándares originados por BSI (British Standards Institution):
1979 BS 5750 ISO 9001 (Calidad)
1992 BS 7750 ISO 14001 (Medioambiente)
1995 BS 7799 ISO/IEC 27001 (Seguridad de la Información)
1996 BS 8800 OHSAS 18001 (Salud Ocupacional y Seguridad)
2000 BS 8600 ISO 10002 (Satisfacción de Clientes)
2002 BS 15000 ISO/IEC 20000 (Servicios de TI)
2007 BS 25999 ISO/IEC 22301 (Continuidad del Negocio)
2008 BS 25777 ISO/IEC 27031 (Continuidad de las TIC)
2009 BS 10012 (Protección de Datos Personales)
8. Introducción
Riesgo
Reducir interrupciones a través de una efectiva gestión
de riesgo
Sustentabilidad
Crear valor a través de prácticas sustentables
Desempeño
Crear ventaja competitiva a través de la mejora en el
desempeño
9. LFPDPPP, SOX,
Motivadores
Desempeño Cumplimiento BASILEAII,
Metas del negocio PCI.
Gobierno Balanced
corporativo Val IT ISO 31000 COSO
Scorecard
Gobierno de TI COBIT / ISO 38500
PMBOK / PRINCE2
CMMI ISO 27005 BS 25999 /
PAS 99
Estándares y ISO 9001 ISO 20000 ISO 22301/ BS 10012
mejores prácticas ISO 27001
SGC SGSTI ISO 27031 SGIP
SSE-CMM
SGSI SGCN
Procedimientos Principios Practicas
Procesos y Procedimientos
procedimientos
de desarrollo y
de calidad ITIL de Seguridad DRII de protección
mantenimiento (OECD) de datos
10. Sistema de Gestión Integral
• Sistema de gestión que integra todos los
sistemas y procesos de una organización en un
único marco de referencia, permitiendo a la
organización trabajar como una unidad con
objetivos unificados.
11. Sistema de Gestión Integral
• Beneficios:
• Enfoque de negocio mejorado
• Enfoque holístico para gestionar riesgos
• Menor conflicto entre sistemas
• Reducir duplicación y burocracia
• Auditorías mas eficientes y efectivas tanto
internas como externas
12. Sistema de Gestión Integral
• ¿Quien puede implementarlo?
El Sistema de Gestión Integrado es relevante para
cualquier organización, independientemente de
su tamaño o sector en el que opera, que busque
integrar dos o más de sus sistemas en uno solo
con un conjunto holístico de documentación,
políticas, procedimientos y procesos.
14. Sistema de Gestión Integral
• La organización pregunta:
Nosotros no tenemos procesos, aquí
trabajamos por funciones… ¿Puedo
implementar un Sistema de Gestión?
15. Sistema de Gestión Integral
• La organización pregunta:
¿Debo tener todo documentado en
un mismo Manual de Sistema de
Gestión Integral?
17. Sistema de Gestión Integral
El Manual del Sistema de Gestión
NO es un requisito común.
Manual del
Sistema de
Gestión
Integral
18. Sistema de Gestión Integral
• La organización pregunta:
¿Es mandatorio tener un comité para
cada Sistema de Gestión? Ejemplo:
uno para 9000, otro para Seguridad,
etc. ¿?
19. Sistema de Gestión Integral
• La organización pregunta:
¿Puedo tener una sola declaración
de aplicabilidad (SoA) para el Sistema
de Gestión Integral?
20. Sistema de Gestión Integral
La Declaración de Aplicabilidad
NO es un requisito común.
Declaración
de
Aplicabilidad
(SoA)
24. Elementos comunes de los SG
• ISO Guide 72:
–Para quienes escriben estándares e
incluye un marco de referencia de los
elementos comunes de los Sistemas de
Gestión.
25. Elementos comunes de los SG
• Estructura de PAS 99:
1. Alcance
2. Referencias Normativas
3. Términos y definiciones
4. Requerimientos comunes de Sistemas de
Gestión
5. Anexo A – Guía sobre antecedentes y uso de la
publicación
26. Elementos comunes de los SG
• Principales categorías:
– Política
– Planeación
– Implementar y operar
– Evaluación del desempeño
– Mejora
– Revisión de la gerencia
29. Elementos comunes de los SG
• 4.1 Requerimientos generales
– Alcance del Sistema de Gestión
– Establecer, documentar, implementar, mantener y mejorar
continuamente el Sistema de Gestión
– Identificar los procesos necesarios
– Determinar la secuencia e interacción de estos procesos
– Determinar criterios y métodos necesarios
– Asegurar la disponibilidad de recursos e información para
soportar la operación y monitoreo
– Monitorear, medir y analizar estos procesos
30. Elementos comunes de los SG
• 4.2 Política del Sistema de Gestión
– Apropiada a las actividades, productos y servicios
– Incluye un compromiso de cumplimiento con
todos los requerimientos legales relevantes
– Provee la base para establecer y revisar objetivos
– Es comunicada a todas las personas que trabajan
en o en nombre de la organización
– Es revisada continuamente para verificar su
adecuación
31. Sistema de Gestión Integral
¿Puedo tener un solo
documento de política
para todos los Sistemas
de Gestión?
32. Elementos comunes de los SG
• 4.3 Planeación
– Identificación y evaluación de aspectos, impactos y
riesgos
– Identificación de requerimientos legales y otros
– Planeación de contingencias
– Objetivos
– Estructura organizacional, roles, responsabilidades y
autoridades
– Identificar, documentar y comunicar roles,
responsabilidades y autoridades de los involucrados
33. Elementos comunes de los SG
• 4.4 Implementación y operación
– Control operacional
– Gestión de recursos (competencias)
– Requerimientos de documentación
– Comunicación
34. Elementos comunes de los SG
• 4.4.3 Requerimientos de documentación
– Alcance
– Declaración de política y objetivos
– Descripción de los principales elementos del sistema
– Procedimientos documentados y registros
mandatorios
– Documentos que la organización considere como
necesarios
35. Elementos comunes de los SG
• 4.4.3.3 Control de documentos
– Aprobar previo a su uso
– Revisar, actualizar y re-aprobar documentos
– Asegurar que los cambios y versión actual están
identificados
– Asegurar que las versiones relevantes de los
documentos se encuentran en los puntos de uso
– Asegurar que los documentos se mantienen legibles e
identificables
– Asegurar que los documentos de origen externo están
identificados y su distribución controlada
– Prevenir el uso no intencionado de documentos
obsoletos
36. Sistema de Gestión Integral
Documentos y registros
¿Son lo mismo, son
cosas diferentes, cuales
son las diferencias?
37. Elementos comunes de los SG
• 4.5 Evaluación del desempeño
–Monitoreo y medición
–Evaluación de cumplimiento
–Auditoría interna
–Gestión de no conformidades
38. Elementos comunes de los SG
• 4.6 Mejora
– General
– Acciones correctivas, preventivas y de mejora
39. Elementos comunes de los SG
• 4.6.2 Acciones correctivas, preventivas y de
mejora
A) Revisar no conformidades existentes y potenciales
B) Determinar las causas de no conformidades
C) Evaluar la necesidad de acción para que no vuelvan
a ocurrir
D) Determinar e implementar la acción necesaria
E) Registrar los resultados de la acción tomada
F) Revisar la efectividad de las acciones tomadas
40. Elementos comunes de los SG
• 4.7 Revisión de la Gerencia
–General
–Entradas
–Salidas
41. Elementos comunes de los SG
• 4.7.2 Entradas
A) Resultados de auditorías
B) Retroalimentación de partes interesadas
C) Estatus de acciones correctivas y preventivas
D) Acciones de seguimiento para revisiones previas
E) Circunstancias cambiantes, incluyendo aspectos
legales y otros requerimientos, relacionados con la
organización y los riesgos que enfrenta
F) Recomendaciones de mejora
G) Datos e información sobre el desempeño
H) Resultados de la evaluación de cumplimiento
42. Elementos comunes de los SG
• 4.7.3 Salidas
A) Mejoras en la efectividad del sistema
de gestión
B) Mejoras relacionadas con los requeri-
mientos de las partes interesadas
C) Recursos necesarios para lograr la
mejora al Sistema de Gestión y sus
procesos
43. Elementos comunes de los SG
• Procedimientos “mandatorios”:
–Control de documentos y registros
–Auditoría
–Acciones Correctivas
–Acciones Preventivas
44. Elementos comunes de los SG
• Pasos sugeridos:
• Sistemas son utilizados por
1 Combinado separado
• Se han identificado los elementos
2 Integrable comunes
• Se han identificado los elementos
3 Integración comunes y están siendo integrados
• Un sistema que integra todos los
4 Integrado elementos comúnes
46. Sistema de Gestión Integral
¿Qué estándar define las
guías para auditoría de
Sistemas de gestión?
47. Auditoría y Certificación
ISO 19011
Guías para la
auditoría de
Sistemas de Gestión
de Calidad y/o
ambiental…
48. Auditoría y Certificación
Inicio de la Auditoría
Revisión de Documentos
Preparar Actividades en Sitio
Ejecutar Actividades en Sitio
Preparar, Aprobar y Distribuir el Informe de la Auditoría
Completar la Auditoría
Conducir el Seguimiento de la Auditoría
49. Competencia del auditor
• Habilidades y atributos personales.
• Conocimiento y experiencia en la aplicación de
principios de:
– Auditoría +
– Sistemas de Gestión +
– Calidad +
– Seguridad de la Información +
– Gestión de TI +
– Continuidad del Negocio +
– …
53. LFPDPPP, SOX,
Motivadores
Desempeño Cumplimiento BASILEAII,
Metas del negocio PCI.
Gobierno Balanced
corporativo Val IT ISO 31000 COSO
Scorecard
Gobierno de TI COBIT / ISO 38500
PMBOK / PRINCE2
CMMI ISO 27005 BS 25999 /
PAS 99
Estándares y ISO 9001 ISO 20000 ISO 22301/ BS 10012
mejores prácticas ISO 27001
SGC SGSTI ISO 27031 SGIP
SSE-CMM
SGSI SGCN
Procedimientos Principios Practicas
Procesos y Procedimientos
procedimientos
de desarrollo y
de calidad ITIL de Seguridad DRII de protección
mantenimiento (OECD) de datos
54. Preguntas y respuestas
¡Gracias!
Mario Ureña Cuate
CISA, CISM, CGEIT, CISSP
ISO27001LA, BS25999LA