El objetivo del evento fue brindar un panorama global sobre los inicios y justificación de implementación del estándar, la capacidad de apoyo en la integración con otros sistemas de gestión, y los beneficios a la organización en su adopción. Este encuentro fue organizado por TÜV Rheinland Argentina, y fue dirigido a Directivos y Profesionales tanto del sector público como privado enfocado a diferentes sectores e industrias, y vinculados a las áreas de Auditoría de Sistemas, Seguridad de la Información, Gestión de Riesgos, Gobierno de las Tecnologías de la Información y las Comunicaciones.
GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...
Gestión de servicios TI ISO 20000
1. 07/06/20171 Presentation TÜV Rheinland
Contenido, Implementación, Experiencias:
Sistema de Gestión de servicios de TI según la Norma
ISO/IEC 20000-1
2. Fabián Descalzo
Gerente de Gobierno, Riesgo y Cumplimiento
Gerente de Servicios y Soluciones en el área de Gobierno, Riesgo y Cumplimiento (GRC) en Cybsec by Deloitte S.A., con
amplia experiencia en la implementación y cumplimiento de Leyes y Normativas Nacionales e Internacionales en
compañías de primer nivel de diferentes áreas de negocio en la optimización y cumplimiento de la seguridad en sistemas
de información, Gobierno de TI y Gobierno de Seguridad de la Información.
Docente del módulo 27001 del curso de “IT Governance, Uso eficiente de Frameworks” y de la “Diplomatura en Gobierno
y Gestión de Servicios de IT” del Instituto Tecnológico de Buenos Aires (ITBA); Docente en “Sistemas de Gestión IT” y
“Seguridad de la Información” en TÜV Rheinland Argentina, Docente del módulo Auditoría y Control en Seguridad de la
Información en el Posgrado de Derecho Informático (EDI) para la Universidad Nacional de Rio Negro.
Miembro del Comité Directivo para Qatalys Global, Comité Científico ARGENCON del IEEE (Institute of Electrical and
Electronics Engineers), Comité Organizador ADACSI/ISACA. Columnista especializado en áreas de Gobierno, Seguridad
y Auditoría, Informática en Salud y Compliance en las revistas CISALUD, PERCEPCIONES (ISACA Montevideo Chapter),
El Derecho Informático, CXO-Community, EXIN Newsletter y MAGAZCITUM; y disertante para CXO-COMMUNITY,
Consejo Profesional de Ciencias Informáticas, ISACA Buenos Aires Chapter, ISACA Montevideo Chapter.
CERTIFICACIONES:
• TÜV Rheinland / Lead Auditor ISO/IEC 20000:2011 (Certificate Number 17-6510 - TÜV Rheinland
• IRCA ISMS Auditor / Lead Auditor ISO/IEC 27001 (Certificate Number IT2566710 - TÜV Rheinland
• Dirección de seguridad de la información (Universidad CAECE)
• ITIL® version 3:2011, Certification for Information Management (EXIN License EXN4396338)
• ITIL® version 3:2011, Certification for Accredited Trainer (EXIN Accreditation)
• Foundation ISO/IEC 20000-1:2011, Implementación de SGSIT (LSQA - LATU)
• Internal Audit ISO/IEC 20000:2011, Auditor Interno en SGSIT (LSQA - LATU)
Perfil del disertante
3. •La Norma es una guía para el negocio
•La Norma define los requisitos
¿Qué es ISO 20000?
5. 07/06/20175 Presentation TÜV Rheinland
Mantener información de calidad para apoyar las decisiones del
negocio.
Generar un valor comercial de las inversiones habilitadas por la
Tecnología de la Información (TI), o sea: lograr metas estratégicas
y mejoras al negocio mediante el uso eficaz e innovador de la TI.
Lograr una excelencia operativa mediante la aplicación eficiente y
fiable de la tecnología.
Mantener el riesgo relacionado con TI a niveles aceptables.
Optimizar el costo de la tecnología y los servicios de TI.
¿Cuales son los beneficios de implementar un Sistema de Gestión
de Servicios, ISO 20000?
6. 07/06/20176 Presentation TÜV Rheinland
¿Cuales son los beneficios de implementar un Sistema de Gestión
de Servicios, ISO 20000?
• Posibilita el entendimiento y la compresión de las mejores prácticas
informáticas, sus beneficios, objetivos, y los posibles problemas de la
gestión de los servicios.
• Ayuda a las organizaciones con la gestión profesional de los servicios
que brindan para generar más ingresos o ser más rentable.
• Promueve la adopción de un proceso integrado de tratamiento para
proveer servicios gestionados, con la finalidad de atender los
requerimientos del negocio y de los clientes.
• Implementación de control, tendientes a mejorar la eficiencia y
oportunidades de mejora.
• Proveer una base para acordar niveles de servicios y la posibilidad de
medir la calidad de los mismos.
7. 07/06/20177 Presentation TÜV Rheinland
ISO/IEC 20000-1
Parte certificable de la norma. Requisitos del Sistema de
Gestión del Servicio. Parte certificable
ISO/IEC 20000-2
Código de Prácticas. Directrices para la Aplicación de Sistemas de
Gestión de Servicios
ISO/IEC 20000-3
Guía para la Definición del Alcance y Aplicabilidad de la Norma ISO/IEC
20000-1
ISO/IEC 20000-4
Modelo de Referencia de Procesos. Guía de evaluación de la capacidad y
madurez de los procesos de la ISO 20000-1
ISO/IEC 20000-5 Ejemplo de Plan de Implantación para ISO/IEC 20000-1
ISO/IEC 20000-7
Guía sobre la aplicación de la Norma ISO/IEC 20000-1 a servicios en la
nube.
ISO/IEC 20000-10 Conceptos, términos y definiciones
ISO/IEC 20000-11
Orientación sobre la relación entre ISO / IEC 20000-1:2011 y el marco de
gestión de servicios ITIL
¿Cuál es la estructura de la Norma ISO/IEC 20000:2011?
8. 6.1 Gestión de Nivel de Servicio (SLA)
6.2 Reportes de Servicio
6.3 Continuidad del Servicio y gestión de
Disponibilidad
6.4 Presupuesto y contabilidad de los Servicios
6.5 Gestión de Capacidad
6.6 Gestión de la Seguridad de la
Información
7.1 Relaciones con el Negocio
7.2 Gestión de Proveedor
8.1 Gestión de incidencias
8.2 Gestión de Problemas
9.1 Gestión de Configuración
9.2 Gestión del Cambios
Procesos de gestión de servicios TI 2011
Sistema de Gestión de Servicios (SGS)
4.1 Responsabilidad de la Dirección 4.2 Gob. procesos operado por otras partes/ 3ros
4.3 Gestión documental 4.4 Gestión de Recursos
4.5 Establecer y mejorar el SGS
9.3 Gestión de entrega
9. Nueva Estructura de las Normas ISO
ej ISO 27001:2013
DO CHECK ACT
8
Operación
9
Evaluación del
desempeño
10
Mejora
Información
Documentada
Planificación
operational y
control
Análisis de riesgos
de seguridad de
información
Taratameito de
riesgos de seguridad
de información
evaluación
Seguimiento,
medición,
análisis y
evaluación
Auditoría interna
Revisión por la
dirección
No conformidades
acciónes correctivas
Mejora continua
7
Respaldo
Recoursos
Competencia
Conscientización
Comunicación
4
Contexto de la
Organisación
5
Liderazgo
6
Planificación
Comprender la
organización y su
contexto
Expectativas de
partes interesadas
Alcance del SGSI
ISMS
Liderazgo y
compromiso
Política
Funciones,
responsabilidades
y autoridades
de la organización
Acciones para
tratar riesgos y
oportunidades
Objetivos de SI y
planes para
alcanzarlos
PLAN
10. 07/06/201710 Presentation TÜV Rheinland
La información y la tecnología que la
soporta, es el activo estratégico más
valioso que maneja una empresa u
organización.
La gran mayoría de las funciones
de la Empresa u Organización
tienen una alta dependencia con
la Gestión de TI, por lo que hay un
notable incremento en las
expectativas relacionadas con la
prestación de los Servicios de
TI.
¿Cuál es el valor de la información?
El elemento critico para su éxito y
supervivencia es la administración
efectiva de la información y las
tecnologías relacionadas.
11. 07/06/201711 Presentation TÜV Rheinland
Las Tecnologías de la información poseen los siguientes recursos:
• Los tangibles que están representados por los diferentes componentes de la
infraestructura física de TI.
• Los recursos humanos asociados a TI que incluye el conocimiento de las
herramientas técnicas y de gestión de las Tecnologías de la información.
• Los intangibles asociados a TI, que están representados por los activos de
conocimiento, orientación al cliente y sinergias presentes en cada organización.
Las Tecnologías de la información son capacidades organizativas creadas por la
interacción de los citados recursos
¿Cuál es el valor de la información?
12. 07/06/201712 Presentation TÜV Rheinland
Algunos de los riesgos más importantes en tecnología
Incidente de fraude /
robo de datos
Consecuencias
adversas de los
avances tecnológicos
Administración de la
infraestructura y las
redes críticas de
información
Ciberataques
Proveedor de
tecnología y Terceras
Partes
Administración de
datos
13. Categoría Ejemplos
Financiero Pérdidas financieras debido a multas,
sanciones, pérdida de beneficios o disminución
de cuota de mercado
Reputacional Opinión negativa o daño a la marca
Legal y Regulatorio Litigios por responsabilidad, pérdida de
licencias comerciales,
Contractual Incumplimiento de contratos y obligaciones
entre las organizaciones
Objetivos de
negocio
Fallas en procesos de negocio que impiden
cumplir con los objetivos de negocio, pérdida
de oportunidades
Algunos de los riesgos más importantes en tecnología
14. 07/06/201714 Presentation TÜV Rheinland
Algunos de los riesgos más importantes en tecnología
Componentes de servicios de TI
15. 07/06/201715 Presentation TÜV Rheinland
Algunos de los riesgos más importantes en tecnología
Gestión de servicios de TI
16. 07/06/201716 Presentation TÜV Rheinland
• Equipos que se bloquean.
• Sistemas que se “caen”.
• Servicios que se interrumpen.
• Atención al usuario deficiente.
• Pérdidas de tiempo y de productividad de los usuarios.
• Personal técnico desbordado por llamadas y peticiones de
asistencia.
• Directores de sistemas de información que ven cómo, a pesar del
esfuerzo continuo de su equipo, el roce y el malestar con el resto de
la empresa no cesan
¿Cual es el nivel de servicio deseado?
17. 07/06/201717 Presentation TÜV Rheinland
CalidaddeServicio
Mejor
SoportealNegocio
Alineado
RiesgosdeTI
Controlados
TiempodeEntrega
Más rápido
CostodeServicio
Más barato
¿Cual es el nivel de servicio deseado?
18. 07/06/201718 Presentation TÜV Rheinland
• La norma ISO/IEC 20000-1 contiene un Sistema de Gestión del Servicio de TI (SGS)
especificando los requisitos para planificar, establecer, implementar, operar, monitorizar,
revisar, mantener y mejorar un SGS.
• Incluyen los requisitos para el diseño, transición, provisión, y la mejora de los servicios.
• Contiene procesos, y relaciones entre ellos, para facilitar su implementación
4. Requisitos generales del sistema de Gestión de Servicios
4.1 Responsabilidades de la dirección
4.2 Gobierno de procesos operados por otras partes
4.3 Requisitos de la documentación
4.4 Gestión de recursos
4.5 Establecer el SGS: Alcance, Planificar, Hacer, Verificar, Actuar
¿Qué entendemos por gestión de servicios?
19. 07/06/201719 Presentation TÜV Rheinland
• Es un modelo de Administración orientado al negocio y que permite aumentar el valor
estratégico y la calidad de los servicios que genera para el negocio.
• Su principal foco está en los desafíos que enfrenta relacionados con: las personas,
los procesos y la tecnología.
• Promueve la adopción de un
proceso integrado para la entrega
efectiva de servicios gestionados,
los cuales deben satisfacer los
requerimientos Comerciales y del
cliente (interno/externo).
¿Qué entendemos por gestión de servicios?
20. • Establecer y comunicar el alcance
• Adhesión a la política de calidad
• Importancia de satisfacer los
requisitos del servicio, legales,
regulatorios y contractuales
• Asegurar la provisión de recursos
• Realizar revisiones de la gestión
• Asegurar que los riesgos se evalúen
y gestionen
• Adecuada para el propósito del
servicio
• Incluir la satisfacción de los
requisitos del servicio
• Incluir un compromiso con la mejora
continua
• Establecer un marco para el
establecimiento y revisión de los
objetivos de gestión del servicio
07/06/201720 Presentation TÜV Rheinland
¿Qué entendemos por gestión de servicios?
21. Definir y Controlar los Componentes del
Servicio y la Infraestructura y mantener
información precisa sobre la
Configuración
Asegurar que todos los Cambios son
evaluados, aprobados, implementados
y revisados de manera controlada
Gestionar la seguridad de la Información de manera eficaz para
todas las actividades del negocio, identificando los riesgos
asociados a los controles, modo de utilizarlos y el mantenimiento
de los mismos
07/06/201721 Presentation TÜV Rheinland
¿Qué entendemos por gestión de servicios?
22. Hay condiciones que generan profundos cambios en la operación funcional y
tecnológica de las empresas que hacen peligrar el gobierno de sus procesos
internos:
• La adopción de nuevas tecnologías
• La adopción de nuevos estándares o regulaciones de negocios
• La adquisición o fusión de empresas.
Compromisos de la dirección, política de gestión del servicio; autoridades y
responsabilidades; roles; comunicación; gobierno de terceros, de la
documentación y de los recursos; mejoras y monitoreo del SGS
Plan de Negocio versus Plan de Capacidad
23. Operativo y Cumplimiento
• Administración ineficiente o fallas en la prestación
de servicios internos y externos
• Inversión ineficaz en la infraestructura con impacto
negativo que la convierte en obsoleta o
inadecuada
• Débil seguridad de los datos y riesgos de
privacidad
• Riesgos en los procesos de servicio de TI y
seguridad de la información
• Incapacidad de explotar y proteger activos
(piratería y derechos de propiedad intelectual)
• Sistemas y procesos inadecuados para sustentar
el negocio
• Aumento en las presiones regulatorias
Plan de Negocio versus Plan de Capacidad
Estratégico
• Incapacidad para manejar las expectativas
de los inversionistas
• Fallas del gobierno corporativo y control
interno
• Rechazo interno al marco regulatorio
• Acciones legales o punitivas por falta de
cumplimiento al marco regulatorio
• Incapacidad para atraer y retener
conocimientos y competencias durante la
transición
• Bajo control de costos
24. 07/06/201724 Presentation TÜV Rheinland
a) Evaluar el uso actual y futuro de TI.
b) Preparación directa y la aplicación de planes y políticas para garantizar que el uso
de las TI cumple con los objetivos de negocio.
c) Monitorear la conformidad de las políticas, y el desempeño contra los planes.
Plan de Negocio versus Plan de Capacidad
30. 07/06/201730 Presentation TÜV Rheinland
CAPACIDAD
Hardware y
Software
Espacio
Físico
Sistemas
Ambientales
Recursos
Humanos
Definición de la capacidad para los servicios de TI
31. Tener en cuenta el tipo de
datos a utilizar
Tener en cuenta
la interacción con
otras
aplicaciones
Tener en cuenta vínculos y
accesos externos
Tener en
cuenta
controles sobre
la operación de
3ras partes
Aplicar marco
normativo interno
Tener en
cuenta
regulaciones
del negocio a
aplicar
internamente y
con terceros
Tener en cuenta la seguridad
perimetral
Documentar
controles a
terceros
Diseño y transición de servicios
33. 07/06/201733 Presentation TÜV Rheinland
LOS OCHO
PRINCIPIOS
DE LA
GESTION DE
LA CALIDAD
Planteamiento
de sistema
para la gestión
Enfoque a
cliente
Implicación de
las personas
Liderazgo
Relaciones
con los
suministrador
es
Mejora
Continua
Un enfoque de este tipo enfatiza la
importancia de:
1.La comprensión y el cumplimiento
de los requisitos.
2.La necesidad de considerar los
procesos en términos que aporten
valor.
3.La obtención de resultados del
desempeño y eficacia del proceso.
4.La mejora continua de los
procesos con base en mediciones
objetivas
ISO 20000 y la Calidad en los Servicios