Contenu connexe
Similaire à La importancia de los procesos de seguridad de la información, por Möllmann / Canosa (20)
Plus de Foro Global Crossing (20)
La importancia de los procesos de seguridad de la información, por Möllmann / Canosa
- 1. Título: La importancia de los procesos de
seguridad de la información
• José Luis Möllmann,
• Director BSI Brasil.
• Maximiliano M. Canosa
• Partner BSI Argentina – Director Ejecutivo I-Prot
© 2007 Global Crossing - Proprietary
- 2. 2
Agenda
• Introducción a BSI
• Porque Implementar un Sistema de Gestión
• Introducción a los Sistemas de gestión relacionadas a IT
Normas Internacionales
Ventajas e integración de las mismas
• Gestión de Seguridad de la Información - ISO 27001
• Gestión de Servicios de Tecnología de Información – ISO 20000
• Gestión de la Continuidad del Negocio – BS 25999
• Proceso de Certificación
© 2007 Global Crossing - Proprietary 2
- 3. Introducción a
BSI MANAGEMENT SYSTEMS
© 2007 Global Crossing - Proprietary
- 4. Contents slide
4
Quien es BSI?
• Fundado en 1901
• Líder global en servicios de negocios
• Clientes en mas de 100 países
• Proveedor de:
Auditorias independientes, certificación y capacitación en
sistemas de gestión;
Servicios de certificación, inspección y pruebas de productos;
Desarrollo, venta y distribución de normas privadas, nacionales e
internacionales;
Desarrollo de soluciones en sistemas de información;
© 2007 Global Crossing - Proprietary 4
- 5. Contents slide
5
Nuestra Historia
Lanzamiento del “Registro
Introducción del Empresas con Capacidad
KiteMark. 1a norma Auditadas”. Est. de BSI Adquisición de
publicada BS 1 Management Systems KPMG Holanda
1903 1977 2004
Cambio de nombre Establecimiento en
para BSI Asia Pacifico
1931 1995
1900 2007
1901 1946 2002
Comité de Ingenieros Membro fundador de la Adquisición de KPMG
para Normalización ISO Quality en Norte América
fundado en Londres
2006
1929 1991 Adquisiciones:
NIS ZERT Alemania
Obtención del Royal Establecimiento de Entropy International UK
Charter BSI Inc en USA Benchmark Pty Australia
© 2007 Global Crossing - Proprietary 5
- 6. Contents slide
6
Una Historia de Innovación
Pionero en el desarrollo de:
1979 BS 5750 ISO 9001 (Calidad)
1992 BS 7750 ISO 14001 (Medioambiente)
1995 BS 7799 ISO 27001 (Seguridad de la Información)
1996 BS 8800 OHSAS 18001 (Salud Ocupacional y Seguridad)
2000 BS 8600 ISO 10002 (Satisfacción de Clientes)
2002 BS 15000 ISO/IEC 20000 (Servicios de TI)
Las ultimas normas incluyen:
• BS 25999 – Continuidad del Negocio
• PAS 99 – Gestión Integrada
• BS 8900 – Sustentabilidad
© 2007 Global Crossing - Proprietary 6
- 7. 7
Acreditaciones Nacionales
& de Sector
SCC (Canada) HKCAS (Hong Kong) IATF – Automotive
ANAB (USA) JAB (Japan) itSMF
IT Service Management
JIPDEC (Japan)
EMA (Mexico) ENAC (Spain) Information Security
SAI
INMETRO (Brazil) SAC (Singapore) Social Accountability
RvA* (Netherlands) TAF (Taiwan) TGA / VDA (Germany)
Automotive
UKAS* (UK) CNAB (China) Miembro del Independent
International Organization for
KAB (Korea) NABCB (India) Certification (IIOC)
JAS-ANZ (Australia)
© 2007 Global Crossing - Proprietary 7
- 8. Contents slide
8
Portafolio de Normas
Desempeño Sustentabilidad Riesgo
• Calidad ISO 9001 • Medioambiente ISO 14001, • Salud Ocupacional & Seguridad
• Automotriz ISO/TS 16949 EMAS, RC 14001 Industrial OHSAS 18001
• Aeroespacial AS 9100 • Validación & Verificación de • Seguridad de Informacion
• Telecomunicaciones TL 9000 Gases Invernaderos ISO/IEC 27001
• Servicios de TI ISO/IEC 20000 • Mecanismo de Desarrollo Limpio • Seguridad Alimentaría
• Petróleo & Gas ISO TS 29001 CDM - ISO 22000
• Satisfacción de Clientes ISO • Responsabilidad Social SA 8000 - Código HACCP (Holanda)
10002 • Responsabilidad Social - BRC Norma Global
• Gestión Integrada PAS 99 Corporativa - BRC Empaque
• BSI BenchMark • Verificación de Reportes - Codex HACCP
Corporativos • Productos de Consumo
• Desarrollo Sostenible BS 8900 - BRC Productos de Consumo
• Continuidad del Negocio BS
25999
• Dispositivos Médicos ISO 13485
• Esquemas de Auditorias de Segunda Parte
© 2007 Global Crossing - Proprietary 8
- 9. Contents slide
9
Habilitar Organizaciones a
…
Crear ventajas competitivas a través
de la mejora del desempeño
Crear valor a través de practicas de
negocio sostenibles
Minimizar la interrupción a través del
efectivo manejo de riesgos
© 2007 Global Crossing - Proprietary 9
- 11. Visión de Proceso:
interno/externo
interno/externo
Proovedor
INPUT OUTPUT
Cliente
dados de dados de
entrada PROCESO saída
Para tenermos sucesso con la utilización de la vision de
procesos, en la area Comercial, tenemos que descobrir:
• las necesidades explícitas de la empresa;
• las necesidades implícitas de la empresa;
• las expectativas del cliente.
© 2007 Global Crossing - Proprietary 11
- 12. Visión de Proceso:
“Un resultado deseado es alcansado mas eficientemente cuando las
actividades y recursos relacionados son gerenciados como uno
proceso."
Incremiento em las ventas
incremiento de la satisfación
otimización de recursos
lucratividade
© 2007 Global Crossing - Proprietary 12
- 13. QUE ÉS MEJORIA CONTÍNUA ?
“És una acción hecha que tiene como resultado exceder aquilo que fue
previamente planeado”
Las Normas Internacionales prescreve la utilización del
concepto de PDCA para la busca da mejoria continuada.
© 2007 Global Crossing - Proprietary 13
- 14. Benefícios de los Procesos
Provee a las lideranzas un meio concreto para el gerenciamento da
Empresa: los INDICADORES DE DESEMPEÑO.
Permite visualizar y acompanãr:
Eficacia de los procesos en atingir sus objectivos;
Níveles de otimizacion de la utilización de los recursos;
Los dados de mercado: quales las soluciones adecuada al
cliente?
Decisiones tomadas con base en factos y dados...
Percepción del grado de satisfacción del cliente
Reconocimiento del mercado
© 2007 Global Crossing - Proprietary 14
- 15. Benefícios de los Procesos
Organiza las Interfaces entre los diferentes departamientos de la
Empresa;
Registro de la Memória Tecnológica em una base simples, objectiva y
por procesos;
Simplifica / facilita la gestion de las mejorias;
Consolida la postura del participante del processo y no del responsável
por actividade;
Desdobra / direcciona los requisitos de los clientes por procesos,
facilitando el gerenciamento;
Direcciona al atendimiento de objectivos (metas mensurábles al longo
del tiempo y com alineamiento bajo la Eficiência Global).
© 2007 Global Crossing - Proprietary 15
- 16. Benefícios de los Procesos
Conocer nuestros puntos fracos y planear las mejorias
Entender puntos fuertes y bien aprovechar el lo dia-a-dia
Buscar identificacion de las oportunidades y planear actuación
focalizada
Mapear las ameaças y perceber las alternativas (atuación preventiva
en relacion al negócio)
Conocimiento del ciclo de vida del producto y estágio en que cada
uno se encuentra
© 2007 Global Crossing - Proprietary 16
- 18. 1
8
SISTEMA DE GESTIÓN DE
SEGURIDAD DE LA INFORMACIÓN
ISO 27001:2005
© 2007 Global Crossing - Proprietary 18
- 19. Contents slide
1
Introducción a ISMS 9
Porque ISO 27001?
• Única norma efectivamente reconocida como
internacional (respaldo de la ISO = International
Organization for Standardization)
• Única norma para Sistemas Gestión de Seguridad de
Información con estructura de certificación independiente
e internacionalmente reconocida;
• Mecanismo de certificación reglamentado;
• Aplicado por miles de Organizaciones.
© 2007 Global Crossing - Proprietary 19
- 20. ISO 27001:2005 – Sistema de Gestión de Seguridad en Información
El actual sistema de certificación para la Seguridad de Información
fue desarrollado por BSI.
La norma BSI BS 7799-2:2002 es la única norma certificable con
sistema de acreditación reconocido actualmente.
En finales de 2005, ISO lanzó la norma ISO 27001 teniendo como
base los requerimientos de la norma BSI.
Posicionamiento BSI:
BSI tiene una participación de 45% de todo el mercado mundial de
certificación en Seguridad de Información.
http:// www.iso27001certificates.com
© 2007 Global Crossing - Proprietary 20
- 21. 2
1
SISTEMA DE GESTIÓN DE
SERVICIOS DE TI
ISO 20000:2006
© 2007 Global Crossing - Proprietary 21
- 22. Definiciones
Gestión de Servicios TI
La gestión de Servicios TI para soportar una o más áreas de
negocios
ISO/IEC 20000
El primer estándar global que apunta específicamente a gestión
de servicios IT
© 2007 Global Crossing - Proprietary 22
- 23. Beneficios de la Norma
• La implementación provee control, mayor eficiencia y
oportunidades de mejora
• Transformar departamentos enfocados en tecnologías en
unos enfocados en servicios.
• Asegurar que los servicios IT están alineados y satisfacen los
requerimientos de la empresa.
• Mejorar la credibilidad y disponibilidad del sistema.
• Proveer las bases para acordar niveles de servicio y la
habilidad de medir la calidad de los servicios IT.
© 2007 Global Crossing - Proprietary 23
- 24. ISO 20000:2006 – Sistema de Gestión de Servicios de TI
Debido a mayor necesidad actual y futura de la infraestructura
informática y informaciones que las organizaciones proveen;
O suceso de las organizaciones depende, cada vez mas, de
servicios de TI con mas calidad y menos costo;
Fuerte interacción con otros aspectos de sistemas de gestión
Posicionamiento BSI:
- BSI tiene una participación de 42% de todo el mercado
mundial de certificación en ISO20000.
http://www.isoiec20000certification.com/
© 2007 Global Crossing - Proprietary 24
- 25. 2
5
GESTIÓN EN LA CONTINUIDAD
DEL NEGOCIO
ISO 25999:2007
© 2007 Global Crossing - Proprietary 25
- 26. Sinopsis
BS 25999 Códigos de Prácticas para Gestión de Continuidad de Negocio.
Gerenciamiento de Programa de Continuidad de Negocios
papeles y Responsabilidad
Entendiendo su negocio y organización en el contexto de BCM
Evaluación de riesgo
Identificando factores críticos.
Determinando las opciones de su BCM
Monitoreando para minimizar impactos con incidentes
Evaluando sus opciones de estrategia de producto/servicio y opciones
de continuidad para diferentes elementos.
© 2007 Global Crossing - Proprietary 26
- 27. Epilogo
BS 25999 Códigos de Prácticas para Gestión de Continuidad de
Negocio.
Desarrollando e Implementando el BCP
Plan de gestión de incidentes
Plan de continuidad de negocio
Realizando ejercicios de BC, mantenimiento, y auditoria.
Introduciendo el BCM en la cultura organizacional.
© 2007 Global Crossing - Proprietary 27
- 28. Contents slide
2
Las Norma ISO 27001 / ISO 8
20000 / BS 25999
Porque certificarse?
Porque es una inversión segura y de retorno garantido.
Los beneficios de la implementación de un sistema de gestión
de seguridad de la información son amplios y fueron
presentados anteriormente.
En adición a estos beneficios, la obtención de la certificación
provee:
• Credibilidad
• Seguridad al mercado
• Transparencia
• Maximiza competitividad
© 2007 Global Crossing - Proprietary 28
- 29. Contents slide
2
Las Norma ISO 27001 / ISO 9
20000 / BS 25999
Porque certificarse?
Porque es una inversión segura y de retorno garantido.
• Evita el riesgo de implementación inadecuada, falta de
actualización y mantenimiento débil, consecuentemente:
Promover aplicación de tecnología
Dirección a inversiones efectivas
Maximiza recursos
Promover mejora continua
Promover innovación
• Promover comprometimiento y cambio cultural
• Maximiza el potencial de crecimiento y de acceso a
mercados
© 2007 Global Crossing - Proprietary 29
- 30. Contents slide
3
Las Norma ISO 27001 / ISO 0
20000 / BS 25999
Porque certificarse?
Porque es una inversión segura y de retorno garantido.
• Cumplimiento a requisitos contractuales y reglamentarios
• Un mecanismo reglamentado de evaluación continua, identifica
vulnerabilidades, no conformidades, debilidades, fragilidades,
oportunidades de mejora y fortalezas antes que la empresa sufra con
las consecuencias en la practica
• Evidencia objetiva de la gestión adecuada de los riesgos
relacionados a la seguridad de informacion, tanto para los ejecutivos,
como inversionistas, clientes, etc
© 2007 Global Crossing - Proprietary 30
- 31. Contents slide
3
1
Proceso de Certificación
Cuestionário Pré- Ok Sim
Propuesta Acepte Auditoria ? Certificado
“Perfil” Auditoria
Não
Opcional
Auditorias de Auditoria de
Certificado
Mantenimiento Recertificación
Semestrales / 36º. mês
Anuales
© 2007 Global Crossing - Proprietary 31
- 32. Contents slide
3
2
Aplicabilidad y Sectores Claves
• Los siguientes sectores son los que actualmente se
encuentran con mayor grado de atracción e interés en
lograr una certificación:
Bajo Médium Alto
Agricultura y Pesca Educación Aerospacial
Químicos y Fibras Provisión de Energía Finanzas
Construcción Alimentos, bebidas y fumo Trabajos de Salud y Sociales
Servicios de Ingeniería Provisión de Gas Tecnología de Informacion
Equipamientos y maquinas Hoteles y Restaurantes Man. y Transferencia de datos
Empresas de Impresión Empresas de Publicación Combustible Nuclear
Reciclaje Transporte, Almacenamiento Farmacéuticos
y comunicación Transporte,
Construcción Naval Gobierno
Provisión de Agua
Administración Publica
Comercio mayoreo y
menudeo Defensa
© 2007 Global Crossing - Proprietary 32
- 34. SISTEMA DE GESTIÓN DE
SEGURIDAD DE LA INFORMACIÓN
ISO 27001:2005
© 2007 Global Crossing - Proprietary
- 35. Contents slide
3
Introducción a ISMS 5
Evolución de la ISO 27001
BS ISO/IEC BS 7799-1 ISO/IEC ISO/IEC
BS 7799:1995 17799:2000 17799:2005
27002:2007
1999: UK
BS 7799-1:1999 committee International
decision to committee
submit to Normal revision cycle decision to
ISO Fast- in ISO change number
Revised in UK
track
1995 2000 2005 2007
2004: UK decision
made to submit to
ISO Fast-track
BS 7799-2:1999 ISO/IEC
developed to support 27001:2005
certification
International
committee decision
to change number
BS 7799-2
© 2007 Global Crossing - Proprietary 35
- 36. Contents slide
3
Introducción a ISMS 6
Normas de la Serie ISO 27000
BS ISO/IEC 27000 – Definiciones y Vocabulario DIS publicado. Consulta concluida.
BS ISO/IEC 27001 – Sistema de Gestión de Publicada en Octubre del 2005,
Seguridad de Informacion – Requerimientos basada en la norma BS 7799-2
BS ISO/IEC 27002 – Código de Practica para Publicada en 2007, pero idéntica a
Gestión de la Seguridad de Informacion ISO 17799:2005
BS ISO/IEC 27003 – Guía de Implementación 2008/2009. Status no disponible.
BS ISO/IEC 27004 – Métricas y Mediciones CD publicado. Consulta interna en
realización.
BS ISO/IEC 27005 – Gestión de Riesgos de DIS publicado. Consulta concluida.
Seguridad de Informacion Actualmente disponible: BS 7799-3,
publicada en Marzo 2006.
BS ISO/IEC 27006 – Requisitos para Organismos Publicada en Marzo 2007.
que proveen auditoria y certificación en Sistemas de
Gestión de Seguridad de la Informacion
27007…...27011 Reservado para futuros desarrollos
© 2007 Global Crossing - Proprietary 36
- 37. Contents slide
3
La Norma ISO 27001 7
Lo que es?
La norma ISO 27001 fue preparada para proveer un
modelo para:
• establecer,
• implementar,
• operar,
• monitorear,
• analizar,
• mantener y
• mejorar un
Sistema de Gestión de Seguridad de Información.
© 2007 Global Crossing - Proprietary 37
- 38. Contents slide
3
La Norma ISO 27001 8
Definiciones Claves
Integridad
Confidencialidad Disponibilidad
© 2007 Global Crossing - Proprietary 38
- 39. Contents slide
3
La Norma ISO 27001 9
Enfoque de Procesos y Modelo PDCA
ISO 27001 adopta el enfoque de procesos y utiliza el
modelo PDCA de acuerdo con la ilustración siguiente:
Plan
Partes
Partes
Interesadas Establecimiento
Interesadas
del ISMS
Do
Implementación y Mantener y
Operación del ISMS Mejorar el ISMS
Act
Monitoreo y
Requisitos y Análisis del ISMS
Gestión de
Expectativa de
Seguridad de
Seguridad de Check Información
Información
© 2007 Global Crossing - Proprietary 39
- 40. Controles y Objetivos
Cláusulas del sistema de gestión de seguridad de la información (SGSI) – En
este se define el proceso de administración, cumplimiento y seguimiento del sistema
de gestión de seguridad de la información (SGSI).
El mismo se conforma de 5 Issues con 92 cláusulas.
Objetivos de control – En este se analiza el nivel de cumplimiento que se tiene
sobre los controles recomendados por la Norma ISO 27001.
La norma presenta 11 objetivos de control, 39 objetivos de control y 133
controles.
© 2007 Global Crossing - Proprietary 40
- 41. Contents slide
4
La Norma ISO 27001 1
Estructura – Detalle del “Plan”
Alcance y Limites
Definición del Modelo
Definición de la Identificación de
Definición del de Evaluación de
Alcance y Limites del Riesgos de
Sistema
Política de ISMS
Riesgo
Gestión de Seguridad de la Informacion
Declaración de
Analice y Evaluación de Riesgos
Aplicabilidad
Identificación y Gestión de la
Selección de
evaluación de las aprobación de los
Controles y
opciones de tratamiento riesgos residuales
Objetivos
de riesgos propuestos
Autorización de la Administración para la
implementación y operación del ISMS
© 2007 Global Crossing - Proprietary 41
- 42. Contents slide
4
La Norma ISO 27001 2
Estructura – Cláusulas
Sección 4: Sistema de Gestión de Seguridad de Información
Sección 5: Responsabilidad de la Administración
Sección 6: Auditoria Interna
Sección 7: Revisión Gerencial
Sección 8: Mejora del Sistema
© 2007 Global Crossing - Proprietary 42
- 43. Contents slide
4
La Norma ISO 27001 3
Dominios de la ISO27001:2005
Security policy
Organizing
Compliance Information
Security
Business Continuity
Management Integridad Confidencialidad Asset Management
Información
Information Security Human Resources
Incident Management Security
Disponibilidad
Systems Acquisition, Physical &
Development & Environmental
Maintenance Security
Communications
Access Control & Operations
Management
© 2007 Global Crossing - Proprietary 43
- 44. Contents slide
4
La Norma ISO 27001 4
Evaluación de Riesgos
Gestión del
Riesgo:
Actividades
coordinadas
para
direccionar y
controlar una
Organización
con relación
al riesgo.
© 2007 Global Crossing - Proprietary 44
- 45. Sistema de Gestión de Seguridad
de la Información (SGSI)
Un Sistema de Gestión de la Seguridad de la Información basado
en ISO 27001 está formado por una serie de documentos que
pueden clasificarse en una pirámide de cuatro niveles.
La documentación debe incluir los registros de las decisiones de
la dirección, asegurar que se puedan seguir los indicios de las
decisiones de la dirección y las políticas, así como permitir que
los resultados registrados sean reproducibles.
La documentación de un SGSI deberá incluir:
Documentos de Nivel 1 Documentos de Nivel 2 Documentos de Nivel 3 Documentos de Nivel 4
• Documentos que aseguran • Instrucciones, checklists y • Documentos que
• Alcance del SGSI que se realicen de forma formularios: documentos proporcionan una evidencia
• Política y objetivos de eficaz la planificación, que describen cómo se objetiva del cumplimiento
seguridad operación y control de los realizan las tareas y las de los requisitos del SGSI;
procesos de seguridad de actividades específicas están asociados a
• Metodología de evaluación la información y describen relacionadas con la documentos de los otros
de riesgos cómo medir la efectividad seguridad de la tres niveles como output
de los controles. información. que demuestra que se ha
• Plan de tratamiento del cumplido lo indicado en los
riesgo: mismos.
• Declaración de
aplicabilidad (SOA)
• Procedimientos relativos al
nivel 1
Control de la documentación
© 2007 Global Crossing - Proprietary 45
- 46. SISTEMA DE GESTIÓN DE
SERVICIOS DE TI
ISO 20000:2006
© 2007 Global Crossing - Proprietary
- 47. ISO/IEC 20000
• Parte 1 – Especificación para la Gestión de Servicios.
ISO/IEC 20000-1: 2005
• Parte 2 – Código de práctica para la Gestión de Servicios
ISO/IEC 20000-2:2005
© 2007 Global Crossing - Proprietary 47
- 48. Historia
• Gobierno de UK lanza IT Infrastructure Library (ITIL) en 1989
• ITIL define „mejores prácticas‟ de procesos y procedimientos
• ITSMF se forma en 1991 para desarrollar más sobre las mejores prácticas
• ITSMF se acerca a BSI para desarrollar un estándar
• BS 15000 publicado por primera en 2000 como una especificación (Revisado en 2002)
• BS 15000 revisado y se transforma en ISO/IEC 20000 en Diciembre 2005
© 2007 Global Crossing - Proprietary 48
- 49. Direccionadores del Estándar
• Cambiar de invertir en herramientas de desarrollo de software, a
administrar la calidad de los servicios una vez “vivos”.
• La necesidad de entregar servicios de entrega de servicios de costo
efectivos
• Falta de orientación y estándares aceptados
• Subir el perfil del departamentos de IT o la organización
• Enfocado en el Gobierno de UK, ITIL y itSMF
© 2007 Global Crossing - Proprietary 49
- 50. Calce de Productos
ISO/IEC
ISO/IEC 20000 17799
ISO 9001:2000
ISO 9001/2/3:1994
© 2007 Global Crossing - Proprietary 50
- 51. Objetivos de ISO/IEC 20000
• „Promover la adopción de una visión integrada de procesos para
efectivamente entregar servicios gestionados que cumplan los
requerimientos del negocio y clientes‟
ISO/IEC 20000-1:2005
• Permitir la comprensión de las mejores prácticas, beneficios
objetivos y posibles problemas de la gestión de servicios.
• Ayudar a las organizaciones a generar retornos o mejorar costos
efectivos vía la gestión de servicios profesionales.
© 2007 Global Crossing - Proprietary 51
- 52. PDCA - IT Service Management
Requerimientos Gestión de Servicios
Resultados del
del Negocio Negocio
Responsabilidades de la Alta Dirección
Requerimientos
Del Cliente Satisfacción del
Cliente
PLAN
Planificar la Gestión
Solicitudes de de Servicios
Cambios de Nuevo/cambiado
Servicios servicio
DO
Implementar
Otros procesos e.j la Gestión ACT
negocios, clientes De Servicios Mejora Otros procesos e.j.
proveedores, Continua negocios, clientes
proveedores,
Mesa de Ayuda CHECK
Monitorear, Satisfacción del
Medir y Equipo y personas
Verificar
Otros equipos e.j.
Seguridad,
Operaciones TI
© 2007 Global Crossing - Proprietary 52
- 53. The Service Management
process
Service Delivery Processes
Control Processes
Release Resolution Relationship
Process Processes Processes
© 2007 Global Crossing - Proprietary 53
- 54. The Service Management
Process
Service Delivery
Capacity Service Level Management Information Security
Management Management
Service Reporting
Service Continuity Budgeting and
and Availability Accounting for IT
Management Services
Control
Configuration Management
Change Management
Business
Relationship
Release Management Incident Management Management
Problem Management Supplier
Management
Release Resolution Relationship
© 2007 Global Crossing - Proprietary 54
- 55. Relación entre ISO 20000 and
ITIL
Achievement
ISO 20000
Management
Manager‟s Guide
Overview
ISO 20000-2
Process
Definition ITIL Best Practice
In-house procedures/work
Deployed
Solution instructions
© 2007 Global Crossing - Proprietary 55
- 56. SISTEMA DE GESTIÓN DE LA
CONTINUIDAD DEL NEGOCIO
BS 25999
© 2007 Global Crossing - Proprietary
- 57. 5
Continuidad del Negocio 7
Definición
“La gestión de la continuidad del negocio es un proceso
de gestión holístico que identifica amenazas potenciales
a la organización y sus impactos a la operación.
Provee una estructura para mantener la continuidad
(resistencia a ser amenazas) organizacional con la
capacidad para la efectiva respuesta salvaguardando los
intereses de las principales partes interesadas,
reputación, marca y activos de valor”
Fuente: BS 25999-1
© 2007 Global Crossing - Proprietary 57
- 58. Definiciones
• BS 25999-1
Códigos de Prácticas para la Gestión de Continuidad del Negocio (
Parte que substituirá el actual PAS 56).
• BS 25999-2
Especificación para Gestión de Continuidad de Negocio.
( No está siendo certificada por el momento)
© 2007 Global Crossing - Proprietary 58
- 59. Historia
• Publicación de la PAS 56 en 2003
• Demostró que la Gestión de la Continuidad del Negocio
es una disciplina;
• Nuevo comité técnico establecido en 2005 para dar
respuesta a la consulta y desarrollar la BS 25999
• La publicación del borrador de la BS 25999-1 en Agosto
del 2006 para comentarios
• Publicación de la BS 25999-1 “Código de Practica” en
Noviembre del 2006 con amplio acuerdo en lo que
serían las mejores prácticas;
• Retiro de la PAS 56 con la publicación de la BS 25999;
© 2007 Global Crossing - Proprietary 59
- 60. Ciclo de Vida de la Continuidad
del Negocio : P-D-C-A
Understanding
the
organization
Exercising, BCM Determining
maintaining
and Programme BCM
Management Options
reviewing
Developing
and
implementin
g a BCM
response
© 2007 Global Crossing - Proprietary 60
- 61. Gestión de la Continuidad del 6
1
Negocio
Qué es?
Mejorar de forma pro-activa la capacidad de recuperación de la
Mejora en recuperación organización contra la interrupción de sus actividades que
Imposibilitarían alcanzar sus objetivos claves.
Recuperar la habilidad Definir un método sistemático para recuperar la
habilidad de proveer productos y servicios críticos
de entregar productos a un nivel acordado dentro de un tiempo definido
y servicios después de la interrupción.
Gestión de la Probar la capacidad para administrar la interrupción
del negocio y proteger la reputación y marca de la
Interrupción del Negocio Organización.
Source: BS 25999-1
© 2007 Global Crossing - Proprietary 61
- 62. 62
BS 25999-1:2006 -
Contenido
1. Alcance y Aplicación
2. Términos y Definiciones
3. Gestión de Continuidad del Negocio – Visión General
4. Política de Gestión de Continuidad del Negocio
5. Gestión del Programa de Continuidad del Negocio
© 2007 Global Crossing - Proprietary 62
- 63. 63
BS 25999-1:2006 -
Contenido
6. Entendiendo la Organización
7. Determinando Estrategias de Continuidad del Negocio
8. Desarrollo e Implementación de Respuestas a BCM
9. Ejercitando, Manteniendo y Analizando el plan de BCM
10. Fijando el BCM en la Cultura de la Organización
© 2007 Global Crossing - Proprietary 63
- 64. Contents slide
6
4
Contáctenos
© 2007 Global Crossing - Proprietary 64