1. XIV REUNIÓN DE SEGURIDADXIV REUNIÓN DE SEGURIDAD
EN CÓMPUTOEN CÓMPUTO
2. Tendencias en la Implementación de Sistemas
de Gestión de Servicios y Servicios de TI
Conferencista:
Maricarmen García, CBCP
SecureInformationTechnologies
Jueves 29 de enero de 2009
3. TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS DE
GESTIÓN DE SERVICIOS Y SERVICIOS DE TI
4. TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS DE
GESTIÓN DE SERVICIOS Y SERVICIOS DE TI
Situación actual (Global)Situación actual (Global)
Fuente: ITGI – IT Governance Global Status Report 2008
5. TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS DE
GESTIÓN DE SERVICIOS Y SERVICIOS DE TI
SituaciónSituación actual (México)actual (México)
Fuente: Joint Future Systems (JFS) / Secure Information Technologies - Estudio de percepción sobre seguridad en informática 2008.
6. TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS DE
GESTIÓN DE SERVICIOS Y SERVICIOS DE TI
Situación actual (México)Situación actual (México)
Fuente: Joint Future Systems (JFS) / Secure Information Technologies - Estudio de percepción sobre seguridad en informática 2008.
7. TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS DE
GESTIÓN DE SERVICIOS Y SERVICIOS DE TI
8. TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS DE
GESTIÓN DE SERVICIOS Y SERVICIOS DE TI
Componentes comunes de los Sistemas de GestiónComponentes comunes de los Sistemas de Gestión
• Alcance
• Enfocados a procesos, produtos o servicios de las
organizaciones
• Política
• Ciclo Demming
• Planeación
• Implementación y operación
• Revisión de Desempeño
• Mejora Continua
• Revisión de la Dirección
9. TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS DE
GESTIÓN DE SERVICIOS Y SERVICIOS DE TI
PDCA en los Sistemas de GestiónPDCA en los Sistemas de Gestión
Proceso
PLANEAR HACER
REVISARACTUAR
• Actividades
• Controles
• Documentación
• Recursos
• Objetivos
• Entregar y cumplir con
el Plan
• Medir y monitorear
conformidad y efectividad
• Analizar/revisar
• Decidir/cambiar
• Mejorar efectividad
•Mejora
•Continua
Planear-Hacer-Revisar-Actuar / Plan-Do-Check-Act
10. TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS DE
GESTIÓN DE SERVICIOS Y SERVICIOS DE TI
11. TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS DE
GESTIÓN DE SERVICIOS Y SERVICIOS DE TI
Inicio - ¿Qué es información?Inicio - ¿Qué es información?
• ISO/IEC 27001 lo define como:
• “Un activo que, al igual que otros activos importantes de la empresa,
es esencial para el negocio de una organización y consecuentemente
necesita estar protegido adecuadamente”.
12. TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS DE
GESTIÓN DE SERVICIOS Y SERVICIOS DE TI
¿¿QuéQué puede hacerse con la información?puede hacerse con la información?
• Crearla
• Almacenarla
• Procesarla
• Transmitirla
• Utilizarla
• Destruirla
• Perderla
• Corromperla
13. TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS DE
GESTIÓN DE SERVICIOS Y SERVICIOS DE TI
Existe información en diferentes formas:Existe información en diferentes formas:
• Escrita
• Hablada
• Almacenada
• Mostrada visualmente
• En tránsito
• etc.
Tipos de información cubierta por un SGSI:Tipos de información cubierta por un SGSI:
• Interna
• Del Cliente
• Compartida
14. TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS DE
GESTIÓN DE SERVICIOS Y SERVICIOS DE TI
Propiedades de seguridad de la informaciónPropiedades de seguridad de la información
Confidencialidad
• Asegurar que la información sea accesible sólo para quienes estén
autorizados para ello.
Integridad
• Asegurar que la información este completa y sea exacta, así como
los métodos de procesamiento
Disponibilidad
• Asegurar que los usuarios autorizados tengan acceso a la
información a los activos relacionados cuando se requiera
15. TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS DE
GESTIÓN DE SERVICIOS Y SERVICIOS DE TI
Estándares de Sistema de Gestión de Seguridad deEstándares de Sistema de Gestión de Seguridad de
la Información (ISMS)la Información (ISMS)
• Normas Internacionales:
• ISO27001:2005 – Requerimientos
• ISO27002:2005 – Código de práctica
Objetivo de ISO27001 e ISO27002Objetivo de ISO27001 e ISO27002
• Salvaguardar la confidencialidad, integridad y
disponibilidad de la información escrita, hablada y
electrónica
16. TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS DE
GESTIÓN DE SERVICIOS Y SERVICIOS DE TI
Anexo:
27001
Table A.1 - Control
objectives and controls
A.5 Security policy
A.6 Organization of information security
A.7 Asset management
A.8 Human resources security
A.9 Physical and environmental security
A.10 Communications and operations management
A.11 Access control
A.12 Information systems acquisition, development and maintenance
A.13 Information security incident management
A.14 Business continuity management
A.15 Compliance
17. TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS DE
GESTIÓN DE SERVICIOS Y SERVICIOS DE TI
27001
Fuente: http://www.iso27001certificates.com/
1. ALESTRA S. DE R.L. DE C.V. /
SERVICIOS ALESTRA S.A. DE C.V.
2. AREA DE SISTEMAS DEL
ABOGADO GENERAL DE CFE
3. ARMSTRONG LABORATORIOS DE
MÉXICO, S.A. DE C.V.
4. AXALTO DE MEXICO, S.A. DE C.V.
5. BANCO NACIONAL DE MÉXICO,
S.A. INTEGRANTE DEL GRUPO
FINANCIERO BANAMEX
6. COMISIÓN FEDERAL DE
ELECTRICIDAD GERENCIA DE
COMUNICACIÓN SOCIAL
7. COMISIÓN NACIONAL BANCARIA
Y DE VALORES
8. GTECH CORPORATION MEXICO
9. COMMUNICACIONES NEXTEL DE
MEXICO
10. CONSAR
11. ELCOTEQ MONTERREY, S.A. DE C.V.
12. GOBIERNO DEL DISTRITO FEDERAL
DELEGACION MIGUEL HIDALGO
13. GRUPO GDC DE MÉXICO, S.A. DE C.V.
14. HISPANIC TELESERVICES
CORPORATION, MONTERREY, NOEVO
LEON
15. IMPULSE TELECOM QUERÉTARO
16. ORGANO DE FISCALIZATION SUPERIOR
DEL ESTADO DE PUEBLA, PUEBLA
17. PROCESAR S.A. DE C.V.
18. PRONÓSTICOS PARA LA ASISTENCIA
PÚBLICA
19. SUBGERENCIA DE PERSONAL DE LA
CFE
20. UNIDAD DE ENLACE DE LA COMISION
FEDERAL DE ELECTRICIDAD
21. UNIPAGO, S.A.
Empresas Certificadas en MéxicoEmpresas Certificadas en México
18. TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS DE
GESTIÓN DE SERVICIOS Y SERVICIOS DE TI
Creador:
◦ British Standards Institution
◦ Mantenido por International Organization for Standardization
Documento (s):
◦ ISO/IEC 27001:2005 - Information technology – Security techniques – Information security management
systems - Requirements
◦ ISO/IEC 27002:2005 - Information technology – Security techniques – Information security management
systems – Code of practice for information security management
◦ ISO/IEC 27005:2008 - Information technology – Security techniques – Information security risk
management
◦ ISO/IEC 27006:2007 - Information technology – Security techniques – Requirements for bodies providing audit
and certification of information security management systems
Descripción:
◦ Especifica los requerimientos para establecer, implementar, operar, monitorear, revisar, mantener
y mejorar un sistema de gestión/administración de seguridad de la información dentro del
contexto de los riesgos de negocio de la organización.
◦ Especifica los requerimientos para la implementación de controles de seguridad adecuados a las
necesidades individuales de organizaciones o partes de ella.
27001
19. TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS DE
GESTIÓN DE SERVICIOS Y SERVICIOS DE TI
20. TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS DE
GESTIÓN DE SERVICIOS Y SERVICIOS DE TI
Objetivo:Objetivo:
20000
Proveer un Sistema de Gestión, incluyendo
políticas y un marco de referencia para
habilitar la Gestión e Implementación efectiva
de todos los servicios deTI
Fuente: ISO/IEC 20000-1:2005
21. TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS DE
GESTIÓN DE SERVICIOS Y SERVICIOS DE TI
EstructuraEstructura
1. Alcance
2. Términos y definiciones
3. Requerimientos para un Sistema de Gestión
4. Planear e Implementar la Gestión de Servicios
5. Planear e Implementar Servicios Nuevos o Cambios
6. Proceso de Entrega de Servicios
7. Procesos de Relación
8. Procesos de Resolución
9. Procesos de Control
10. Procesos de Liberación
20000
22. TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS DE
GESTIÓN DE SERVICIOS Y SERVICIOS DE TI
1.Alcance1.Alcance
Procesos de
liberación (versiones)
Administración de
versiones
Procesos de
resolución
Administración de
incidentes
Administración de
problemas
Procesos
de relación
Administración de
relaciones del negocio
Administración de
proveedores
Procesos de entrega de servicios
Administración de la
capacidad
Administración de la
continuidad y disponibilidad
del servicio
Administración de niveles
de servicio
Reporte de servicio
Administración de la
seguridad de la
información
Presupuestación y
contabilidad
Procesos de control
Administración de la
configuración
Administración de cambios
20000
Fuente: BS ISO/IEC 20000-1:2005 Information technology – Service management
23. TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS DE
GESTIÓN DE SERVICIOS Y SERVICIOS DE TI
Creador:
◦ British Standards Institution
◦ Mantenido por International Organization for Standardization
Documento (s):
◦ ISO/IEC 20000-1:2005 - Information technology – Service management – Part 1: Specification
◦ ISO/IEC 20000-2:2005 - Information technology – Service management – Part 2: Code of practice
Descripción:
◦ Define los requerimientos para la entrega de servicios administrados de un proveedor de
servicios. Basado en BS 15000-2.
◦ Puede ser utilizado:
Negocios que van a ofrecer sus servicios.
Evaluar la gestión de servicios de TI.
Como base para una evaluación independiente.
Demostrar la habilidad para cumplir los requerimientos de clientes.
Mejorar los servicios.
20000
24. TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS DE
GESTIÓN DE SERVICIOS Y SERVICIOS DE TI
25. TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS DE
GESTIÓN DE SERVICIOS Y SERVICIOS DE TI
Creador:
◦ British Standards Institution
Documento (s):
◦ BS25999-1:2006 – Business continuity management – Part 1: Code of practice
◦ BS25999-2:2007 – Business continuity management – Part 2: Specification
Descripción:
◦ Especifica los requerimientos para establecer, implementar, operar, monitorear, revisar, ejercitar,
mantener y mejorar un Sistema de Gestión/Administración de la Continuidad del Negocio
(BCMS) dentro del contexto de administrar los riesgos de negocio de la organización.
BS 25999
26. TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS DE
GESTIÓN DE SERVICIOS Y SERVICIOS DE TI
BS 25999
Proceso de administración holístico que identifica las amenazas
potenciales a la organización y el impacto a la operación del
negocio de esas amenazas que, si se realizan, puedan causar y que
provee un esquema para construir una resilencia organizacional
con la capacidad de respuesta efectiva que salvaguarda los
intereses de los accionistas, reputación, marca y actividades que
generan valor.
Fuente: BS 25999-2:2007, 2.4
Objetivo:Objetivo:
27. TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS DE
GESTIÓN DE SERVICIOS Y SERVICIOS DE TI
BS 25999
Fuente: BS25999-2:2007 – Business
Continuity Management
Partes
Interesadas
Partes
Interesadas
Requerimientos
y expectativas
de Continuidad
de Negocio
Continuidad de
Negocio
Administrada
Establecer
Mantener y
Mejorar
Implementar y
Operar
Planear
Revisa
r
Actu
ar
Hac
er
Monitoreo y
revisión
Mejora Continua del Sistema de
Administración
De Continuidad de Negocio
Entender la
Organización
Determinar
la
Estrategia
de BCP
Desarrollar e
Implementar la
respuesta de
BCP
Ejercitar,
mantener y
revisar
Administrar el
programa de
BCP
28. TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS DE
GESTIÓN DE SERVICIOS Y SERVICIOS DE TI
Creador:
◦ Office of Government Commerce in the United Kingdom
Documento (s):
◦ ITIL – IT Infrastructure LibraryV3
Service Strategy
Service Design
Service Transition
Service Operation
Continual Service Improvement
Descripción:
◦ Documenta las mejores prácticas para la Administración de Servicios de TI (ITSM). Consiste en
una serie de libros que proporcionan guía en la provisión de servicios deTI con calidad.
29. TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS DE
GESTIÓN DE SERVICIOS Y SERVICIOS DE TI
30. TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS DE
GESTIÓN DE SERVICIOS Y SERVICIOS DE TI
El modelo Frankenstein…El modelo Frankenstein…
COSO
COBIT
Val IT
ISO27001
ISO
27005
ISO20000
BS25999
ISO9001ITILDRII
PM
BO
K
BSCCMMI
Fuente: SecureInformationTechnologies, 2008
31. TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS DE
GESTIÓN DE SERVICIOS Y SERVICIOS DE TI
Motivadores
Gobierno
corporativo
Gobierno de TI
Estándares y
mejores prácticas
Procesos y
procedimientos
Desempeño
Metas del negocio
Cumplimiento
COSO
COBIT
BSC
PMBOK/PRINCE2
Val IT
SOX,
BASILEAII,
PCI, ETC.
ISO 9001 ISO 20000
ISO 27001
Procedimientos
de calidad ITIL
Principios
de Seguridad
(OECD)
BS 25999
DRII
ISO 27005CMMI
Procedimientos
de desarrollo y
mantenimiento
SSE - CMM
Fuente: SecureInformationTechnologies, 2008
Modelo Integral de Gobernabilidad de TIModelo Integral de Gobernabilidad de TI
32. TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS DE
GESTIÓN DE SERVICIOS Y SERVICIOS DE TI
Motivadores
Gobierno
corporativo
Gobierno de TI
Estándares y
mejores prácticas
Procesos y
procedimientos
Desempeño
Metas del negocio
Cumplimiento
COSO
COBIT
BSC
PMBOK/PRINCE2
Val IT
SOX,
BASILEAII,
PCI, ETC.
ISO 9001 ISO 20000
ISO 27001
Procedimientos
de calidad ITIL
Principios
de Seguridad
(OECD)
BS 25999
DRII
ISO 27005CMMI
Procedimientos
de desarrollo y
mantenimiento
SSE - CMM
Fuente: SecureInformationTechnologies, 2008
Modelo Integral de Gobernabilidad de TIModelo Integral de Gobernabilidad de TI
33. TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS DE
GESTIÓN DE SERVICIOS Y SERVICIOS DE TI
ANSI
Australian Government
BCI
BSI
DRII
FEMA
FFIEC
IEEE
ISACA
ISC2
ISECOM
ISF
ISM3
ISSA
itSMF
ITU
NFPA
NIST
OECD
OGC
OSI
PCI
PMI
SEI
Singapore Standards
TickIT
Prehistoria
Fuente:ALAPSI y
SecureInformationTechnologies, 2007
Mapa de estándaresMapa de estándares
34. TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS DE
GESTIÓN DE SERVICIOS Y SERVICIOS DE TI
PREGUNTAS?
Maricarmen García, CBCP
SecureInformationTechnologies
Director de Consultoría
maricarmen.garcia@secureit.com.mx