Professional Documents
Culture Documents
AENOR
AGENDA
Introduccin en las TICs. Teora de Caos- Actividades de AENOR. MOTOR- Conocimiento. UNE ISO 20000-1. SGSTI. ISO 15504 (ISO 12207). Factoras de Software. UNE ISO 27001- SGSI. Futuro. Conclusiones.
AENOR
Introduccin en TICs
Asociacin privada Sin nimo de lucro Constitucin: 1986 Real decreto 2200/95 AENOR Corporacin AENOR INTERNACIONAL (9 filiales) AENOR Mxico (10 aos en Mxico DF y Delegaciones) Multisectorial Normalizacin . UNE-ISO. Certificacin productos, servicios, sistemas de gestin y personal Servicios de Formacin Direccin de Desarrollo (Laboratorio de TICs)
AENOR
IT Governance
TICs
AENOR
Actividades TICs
BCM 25999
Bussines Continuity Management. BSI standard
(1 de 2)
IT Governance
Gobierno de las TIC. Norma Australiana
Proyectos
Procesos / Servicios
ISO 12207
Ciclo de Vida de Desarrollo de Software
Adicionalmente: Certificacin Accesibilidad TIC Sitios WEB. Infraestructura CPD Buenas Prcticas Comercio Electrnico Software Original
AENOR
Gua de Controles
Motor- Conocimiento.
PDCA
(Motor)
(2 de 2)
G UI A S
I M PL A N T A CI O N
AENOR
Gestin de las TICs con criterios de Negocio Calidad en el servicio TICs y de la ingeniera del Software
Informe Penteo (2006):
Slo un 21% de las cas gestionan el dpto. de SI con criterios de negocio 31 % gestionan el dpto. de SI slo con criterios tecnolgicos 48 % gestionan con criterios hbridos
Conclusiones:
La Direccin de las cas. Tiene una percepcin ms positiva de los CIOs que siguen criterios de Negocio. Les dan el rol de lderes contribuidores de negocio en un 58% La Gestin de las TICs mejora el posicionamiento del dpto. de SI y del CIO En un futuro los CIOS ms gestores y menos tecnlogos (Encuesta a: 85 Directores de TICs, 36 Dir. Generales y 12 Presidentes)
AENOR
AENOR
P
ISO 20000-parte 2 (Procesos-Gua) Implementar los objetivos y plan de gestin de los servicios
D
Mejorar la eficacia y la eficiencia de la prestacin y gestin de los servicios
Revisar plan de gestin de los servicios y requisitos de los servicios Revisin por Direccin Auditoras Internas, etc.
AENOR
Nivel 1
Poltica(s), alcance
Manual de SGSTI
Nivel 2
Nivel 3
Describe las tareas y las actividades especficas y cmo se realizan Proporciona las pruebas objetivas del cumplimiento con las exigencias del SGSTI
Nivel 4
Registros
AENOR
Procesos de control
Proceso de entrega
Gestin de la entrega Gestin de la configuracin Gestin del cambio
AENOR
UNE ISO/IEC 20000 Est formada por dos partes bajo el mismo ttulo: Tecnologas de la Informacin Gestin del Servicio
UNE-ISO/IEC 20000-1. Parte1: Especificacin
Promueve la adopcin de un marco de procesos de gestin, para una provisin de servicios gestionados que estn en lnea con:
las necesidades del negocio con los requisitos de los clientes
Motor
AENOR
CLIENTE (tctico)
Gestin de Disponibilidad
Gestin de Capacidad
(operacional)
CMDB
Gestin de Cambios Gestin de Incidencias
Servicios de Soporte
Gestin de Problemas
Service Desk
Gestin de Configuracin
Gestin de Entrega
Produccin
SERVICIO
Fuente: IPW . Quint Wellington Redwood
AENOR
PROVEEDORES
USUARIO
mbito:
Los procesos incluyen adquisicin, proveedor, desarrollo, operacin, mantenimiento, soporte y organizacin. (ISO 12207)
AENOR
El modelo de evaluacin
Dos dimensiones de modelo para procesos y capacidad de procesos
Dimensin de Procesos
Categora de Procesos Procesos (P1, , Pn)
Dimensin de la Capacidad
Niveles de Capacidad (CL1, , CL5) Atributos de Capacidad de Procesos
AENOR
Suministro
Oferta del proveedor Entrega del producto Soporte a la aceptacin del producto
Aseguramiento de la Calidad Verificacin Validacin Revisiones Auditoras Evaluacin de Producto Documentacin Gestin de la Configuracin Gestin de la resolucin de problemas Gestin de las peticiones de cambios
Alineacin de la organizacin Gestin de la organizacin Gestin de proyectos Gestin de la calidad Gestin de riesgos Medida
Mejora de Procesos
Establecimiento de procesos Evaluacin de procesos Mejora de procesos
Ingeniera
Captura de requisitos Anlisis de requisitos del sistema Diseo de la arquitectura del sistema Anlisis de requisitos de software Diseo de software Construccin del software Integracin del software Pruebas del software Instalacin del software Integracin del sistema Pruebas del sistema Mantenimiento de software y de sistema
Recursos e Infraestructura
Gestin de recursos humanos Formacin Gestin del conocimiento Infraestructura
Reuso
Gestin de elementos reusables Gestin del programa de reuso Ingeniera de dominio
AENOR
Nivel 5 Optimizado
PA.5.1 PA.5.2 Innovacin de los procesos Optimizacin de los procesos
Nivel 4 Predecible
PA.4.1 PA.4.2 Medida del proceso Control del proceso
Nivel 3 Establecido
PA.3.1 PA.3.2 Definicin de los procesos Aplicacin del proceso
Nivel 2 Gestionado
PA.2.1 PA.2.2 Gestin de la realizacin Gestin productos resultantes
Nivel 1 Realizado
PA.1.1 Realizacin del proceso
Nivel 0 Incompleto
AENOR
AENOR
AENOR
AENOR
Conjunto de procesos por nivel: los bsicos y los extendidos (IN en el mbito de la OU (Organizational Unit))
AENOR
AENOR
AENOR
La certificacin de los Sistemas de Gestin Seguridad de la Informacin. La solucin a los Riesgos Empresariales
AENOR
AENOR
AENOR
Riesgos Empresariales
En el World Economic Forums Annual DAVOS meeting-, SWISS RE informa de su estudio encuesta a nivel mundial (60 entrevistas a senior executives en : USA, Francia, Alemania, Italia , Japn y Reino Unido-Dic-2005 ). El riesgo de los Ordenadores-SI- y las TICs, ocupa el primer lugar en 3 pases (Japn, Reino Unido y USA), y en el top three de los otros pases, para sus negocios. Como herramienta primordial para mitigar estos riesgos de SI indican el Control Interno Informtico. SWISS RE.
SGSI- ISO 27001- y ISO 27002. (Fuente: AENOR- Carlosmf)
AENOR
AENOR
M E T R I C A S ISO27001 ISO 20000-2 (ITIL) LIBRERA INFRAESTRUCTURA CPD ? SGSI ISO 27001
SGSIT ISO 20000-1 ISO.. ISO..
D E
(Conocimiento)
I M P L A N T A C I O N
AENOR
AENOR
AENOR
QU PRESERVAR?
Cada organizacin tiene que preservar 3 CARACTERSTICAS asociadas a la informacin:
DISPONIBILIDAD
Asegurar que los usuarios autorizados tienen acceso cuando lo requieran a la informacin y sus activos asociados.
CONFIDENCIALIDAD
Asegurar que la informacin es accesible solo para aquellos autorizados a tener acceso.
INTEGRIDAD
Garantizar la exactitud y completitud de la informacin y los mtodos de su proceso
AENOR
AENOR
AENOR
A
1 Poltica de Seguridad de Informacin 2 Estructura organizativa de la SI 3 Clasificacin y control de activos 4 Seguridad ligada al personal 5 Seguridad fsica y del entorno 6 Gestin de comunicaciones y operaciones 7 Control de accesos 8 Desarrollo y mantenimiento de sistemas 9 Gestin de Incidentes de Seguridad 10. Gestin Continuidad de Negocio ----------------------------------------------------------11 Conformidad y Cumplimiento legislacin
Adoptar las acciones correctivas Adoptar las acciones preventivas Revisar internamente el SGSI Realizar auditorias internas del SGSI
AENOR
Procesos
S.G.S.I.
Anlisis y Gestin de riesgos R=F(X1,X2,X3,Xn) Integridad (X1) Confidencialidad (X2) Disponibilidad (X3) Amenazas (X4) Vulnerabilidades (X5) Impacto Econmico (X6) XN Aplicando ISO 27002 (Seleccin de Controles) Riesgo Residual
Activo1-------R1 Activo2-------R2
AENOR
NORMA ISO 27001: Especificaciones para los Sistemas de Gestin de la Seguridad de la Informacin
Objeto yAlcance Esta norma especifica los requisitos para establecer, implantar, documentar y evaluar un SGSI de acuerdo con la ISO 27002. Especifica los requisitos de los controles de seguridad de acuerdo con las necesidades de las organizaciones, independientemente de su tipo, tamao o rea de actividad.
AENOR
11 REAS
AENOR
Caracterstica de SGSI
Este Sistema proporciona mecanismos para la salvaguarda: De los Activos de Informacin. De los Sistemas que los procesan. En concordancia con las polticas de Seguridad y planes estratgicos de la Organizacin.
Es la herramienta de que dispone la Direccin para implantar las polticas y objetivos de Seguridad de la Informacin: integridad, confidencialidad y disponibilidad.
AENOR
AENOR
AENOR
AENOR
AENOR
MAGERIT: Metodologa de anlisis y gestin de riesgos de los sistemas de informacin de las Administraciones Pblicas. www.csi.map.es/csi/pgm5m20.htm Seguridad de las Tecnologas de la Informacin. AENOR. 2003. Varios Autores: Eduardo Fdez. Medina, Roberto Moya, Mario Piattini, etc.. www.aenor.es Seguridad Informtica para empresas y particulares. 2004. Mc Graw Hill y Panda. Gonzalo Alvrez Maran y Pedro Pablo Prez. Revisin: Pedro Bustamante. NIST Special Publication SP 800-12: An Introduction to Computer Security.The NIST Handbook. National Institute of Standards and Technology. http://csrc.nist.gov/publications/nistpubs/800-12/ Information Security Governance: Guidance for Boards of Directors and Executive Management. IT Governance Institute. Control Objectives for Information and Related Technology (Cobit) . www.isaca.org/cobit.htm Implementing Information Security (dbased on ISO 27001 / ISO 17799) , Van Hauren Publishing.
AENOR
INFORME
AUDITORA DEL SISTEMA FASE II
INFORME
AUDITORAS DE RENOVACIN
INFORME
PLAN DE ACCIONES CORRECTORAS 1 mes
AENOR
AENOR
42
AENOR