Sistema de Gestión Integral con g PAS 99, ISO
Transcription
Sistema de Gestión Integral con g PAS 99, ISO
Sistema de Gestión Integral con g PAS 99, ISO 9001, ISO 27001, ISO 20000 COBIT BS 25999 / ISO 22301 20000, COBIT, BS 25999 / ISO 22301 O t b 2011 October 2011 Mario Ureña Cuate Mario Ureña Cuate CISA, CISM, CGEIT, CISSP, LA BS25999, LA ISO27001 Agenda • Introducción • Sistema de Gestión Integral • Elementos comunes de los Sistemas de l d l Si d Gestión • Auditoría y Certificación • Conclusiones Introducción Fuente: ISACA Global Status Report 2008 2008 Introducción Fuente: ISACA Global Status Report 2011. 2011 2011 Introducción Fuente: ISACA Global Status Report 2011. 2011 Introducción Fuente: SecureInformationTechnologies g – Estudio de Percepción p en SI 2011 http://www.slideshare.net/mariourena Introducción Estándares originados por BSI (British Standards Institution): 1979 BS 5750 ISO 9001 (Calidad) 1992 BS 7750 ISO 14001 (Medioambiente) 1995 BS 7799 ISO/IEC 27001 (Seguridad de la Información) 1996 BS 8800 OHSAS 18001 (Salud Ocupacional y Seguridad) 2000 BS 8600 ISO 10002 (Satisfacción de Clientes) 2002 BS 15000 SO/ C 20000 (Servicios (S de TI)) ISO/IEC 2007 BS 25999 ISO/IEC 22301 (Continuidad del Negocio) 2008 BS 25777 ISO/IEC 27031 (Continuidad de las TIC) 2009 BS 10012 (Protección de Datos Personales) Introducción Riesgo Reducir interrupciones a través de una efectiva gestión de riesgo Sustentabilidad Crear valor a través de prácticas sustentables Desempeño Crear ventaja C t j competitiva titi a través t é de la mejora d l j en el l desempeño Motivadores Gobierno corporativo Val IT ISO 31000 COSO COBIT / ISO 38500 CMMI Estándares y mejores prácticas mejores prácticas SSE‐CMM PA AS 99 Gobierno de TI Procesos y procedimientos Cumplimiento Metas del negocio Balanced Scorecard LFPDPPP, SOX, BASILEAII, PCI. Procedimientos de desarrollo y mantenimiento ISO 27005 ISO 9001 SGC Procedimientos de calidad ISO 20000 SGSTI ITIL ISO 27001 ISO 27001 SGSI Principios Principios de Seguridad (OECD) BS 25999 / ISO 22301/ ISO 27031 ISO 27031 SGCN BS 10012 SGIP DRII Practicas Practicas de protección de datos Fuente: Mario Ureña – SecureInformationTechnologies 2011. PM MBOK / PRIN NCE2 Desempeño Sistema de Gestión Integral Sistema de Gestión Integral • Sistema de gestión que integra todos los sistemas y procesos de una organización en un único marco de referencia, referencia permitiendo a la organización trabajar como una unidad con objetivos unificados. unificados Sistema de Gestión Integral Sistema de Gestión Integral • • • • • • Beneficios: Enfoque de negocio mejorado Enfoque holístico para gestionar riesgos Menor conflicto entre sistemas R d i duplicación Reducir d li ió y burocracia b i Auditorías mas eficientes y efectivas tanto i t internas como externas t Sistema de Gestión Integral Sistema de Gestión Integral • ¿Quien puede implementarlo? El Sistema de Gestión Integrado es relevante para cualquier organización, independientemente de su tamaño o sector en el que opera, opera que busque integrar dos o más de sus sistemas en uno solo con un conjunto holístico de documentación, políticas, procedimientos y procesos. Sistema de Gestión Integral • Basado en P‐D‐C‐A Sistema de Gestión Integral Sistema de Gestión Integral • La organización pregunta: Nosotros no tenemos procesos, aquí t b j trabajamos por funciones… f i ¿P d ¿Puedo implementar un Sistema de Gestión? Sistema de Gestión Integral Sistema de Gestión Integral • La organización pregunta: ¿Debo tener todo documentado en un mismo i M Manual l de d Sistema Si t d de Gestión Integral? Sistema de Gestión Integral Sistema de Gestión Integral Sistema de Gestión Integral Sistema de Gestión Integral Sistema de Gestión Integral Sistema de Gestión Integral El Manual del Sistema de Gestión NO es un requisito q común. Manual del Si t Sistema de d Gestión Integral Sistema de Gestión Integral Sistema de Gestión Integral • La organización pregunta: ¿Es mandatorio tener un comité para cada Sistema de Gestión? Ejemplo: uno para 9000, otro para Seguridad, etc ¿? etc. Sistema de Gestión Integral Sistema de Gestión Integral • La organización pregunta: ¿Puedo tener una sola declaración d aplicabilidad de li bilid d (SoA) (S A) para ell Sistema Si t de Gestión Integral? Sistema de Gestión Integral Sistema de Gestión Integral La Declaración de Aplicabilidad NO es un requisito q común. Declaración de Aplicabilidad (SoA) Sistema de Gestión Integral Sistema de Gestión Integral Sistema de Gestión Integral Sistema de Gestión Integral ¿Cuál es el estándar que ¿C ál l tá d establece los requisitos establece los requisitos del Sistema de Gestión del Sistema de Gestión Integral? Elementos comunes de los SG Les presento: PAS 99 Elementos comunes de los SG Elementos comunes de los SG • ISO Guide 72: –Para Para quienes escriben estándares e incluye un marco de referencia de los elementos comunes de los Sistemas de Gestión. Elementos comunes de los SG Elementos comunes de los SG • Estructura de PAS 99: 1. 2 2. 3. 4 4. Alcance Referencias Normativas Términos y definiciones Requerimientos comunes de Sistemas de Gestión 5. Anexo A – Guía sobre antecedentes y uso de la publicación Elementos comunes de los SG Elementos comunes de los SG • Principales categorías: – Política – Planeación – Implementar y operar – Evaluación del desempeño – Mejora – Revisión de la gerencia Elementos comunes de los SG Elementos comunes de los SG Fuente: BSI PAS 99:2006. 99:2006 Elementos comunes de los SG Fuente: BSI PAS 99:2006. Elementos comunes de los SG Elementos comunes de los SG • 4.1 . Requerimientos eque e tos ge generales e a es – Alcance del Sistema de Gestión – Establecer, documentar, implementar, mantener y mejorar continuamente el Sistema de Gestión – Identificar los procesos necesarios – Determinar la secuencia e interacción de estos procesos – Determinar D i criterios i i y métodos é d necesarios i – Asegurar la disponibilidad de recursos e información para soportar la operación y monitoreo – Monitorear, medir y analizar estos procesos Elementos comunes de los SG Elementos comunes de los SG • 4.2 Política del Sistema de Gestión – Apropiada a las actividades, productos y servicios – Incluye un compromiso de cumplimiento con t d los todos l requerimientos i i t legales l l relevantes l t – Provee la base para establecer y revisar objetivos – Es comunicada a todas las personas que trabajan en o en nombre de la organización – Es revisada continuamente para verificar su adecuación d ió Sistema de Gestión Integral Sistema de Gestión Integral ¿Puedo tener un solo ¿P d t l documento de política documento de política para todos los Sistemas para todos los Sistemas de Gestión? de Gestión? Elementos comunes de los SG Elementos comunes de los SG • 4.3 Planeación – Identificación y evaluación de aspectos, impactos y riesgos – Identificación Id tifi ió de d requerimientos i i t legales l l y otros t – Planeación de contingencias – Objetivos – Estructura organizacional, roles, responsabilidades y autoridades – Identificar, Identificar documentar y comunicar roles, roles responsabilidades y autoridades de los involucrados Elementos comunes de los SG Elementos comunes de los SG • 4.4 4 4 Implementación y operación – Control operacional – Gestión de recursos (competencias) – Requerimientos de documentación – Comunicación Elementos comunes de los SG Elementos comunes de los SG • 4.4.3 4 4 3 Requerimientos de documentación Alcance Declaración de política y objetivos Descripción de los principales elementos del sistema Procedimientos documentados y registros mandatorios – Documentos que la organización considere como necesarios – – – – Elementos comunes de los SG • 4.4.3.3 Controll de d documentos d – Aprobar previo a su uso – Revisar, Revisar actualizar y re‐aprobar re aprobar documentos – Asegurar que los cambios y versión actual están identificados – Asegurar que las versiones relevantes de los documentos se encuentran en los puntos de uso – Asegurar g que los documentos se mantienen legibles q g e identificables – Asegurar que los documentos de origen externo están identificados y su distribución controlada – Prevenir el uso no intencionado de documentos obsoletos Sistema de Gestión Integral Sistema de Gestión Integral Documentos y registros D t it ¿Son lo mismo son ¿Son lo mismo, son cosas diferentes cuales cosas diferentes, cuales son las diferencias? son las diferencias? Elementos comunes de los SG Elementos comunes de los SG • 4.5 4 5 Evaluación del desempeño –Monitoreo y medición –Evaluación de cumplimiento –Auditoría Auditoría interna –Gestión de no conformidades Elementos comunes de los SG Elementos comunes de los SG • 4.6 4 6 Mejora – General – Acciones correctivas, preventivas y de mejora Elementos comunes de los SG Elementos comunes de los SG • 4.6.2 .6. Acciones cc o es co correctivas, ect as, p preventivas e e t as y de mejora A) Revisar no conformidades existentes y potenciales B) Determinar las causas de no conformidades C) Evaluar la necesidad de acción para que no vuelvan a ocurrir D) Determinar e implementar la acción necesaria E) Registrar los resultados de la acción tomada F) Revisar la efectividad de las acciones tomadas Elementos comunes de los SG Elementos comunes de los SG • 4.7 4 7 Revisión de la Gerencia –General –Entradas –Salidas Salidas Elementos comunes de los SG • 4.7.2 Entradas A) B) C) D) E) Resultados de auditorías Retroalimentación de partes interesadas Estatus de acciones correctivas y preventivas Acciones de seguimiento para revisiones previas Circunstancias cambiantes, incluyendo aspectos legales y otros requerimientos, relacionados con la organización i ió y los l riesgos i que enfrenta f t F) Recomendaciones de mejora G)) Datos e información sobre el desempeño p H) Resultados de la evaluación de cumplimiento Elementos comunes de los SG • 4.7.3 Salidas A) Mejoras en la efectividad del sistema de gestión B) Mejoras M j relacionadas l i d con los l requeri‐ i mientos de las partes interesadas C) Recursos necesarios para lograr la mejora al Sistema de Gestión y sus procesos Elementos comunes de los SG Elementos comunes de los SG • Procedimientos “mandatorios”: mandatorios : –Control de documentos y registros –Auditoría –Acciones Acciones Correctivas –Acciones Preventivas Elementos comunes de los SG • Pasos sugeridos: 1 Combinado • Sistemas son utilizados por separado 2 Integrable • Se han identificado los elementos comunes 3 Integración • Se han identificado los elementos comunes y están siendo integrados 4 Integrado • Un sistema que integra todos los elementos comúnes (Paréntesis)… y que hay de COBIT? Sistema de Gestión Integral Sistema de Gestión Integral ¿Qué estándar define las ¿Q é tá d d fi l guías para auditoría de guías para auditoría de Sistemas de gestión? Sistemas de gestión? Auditoría y Certificación Auditoría y Certificación ISO 19011 ISO 19011 Guías para la auditoría de Sistemas de Gestión de Calidad y/o de Calidad y/o ambiental… Auditoría y Certificación Auditoría y Certificación Inicio de la Auditoría Revisión de Documentos Preparar Actividades en Sitio p Ejecutar Actividades en Sitio Preparar, Aprobar y Distribuir el Informe de la Auditoría C Completar la Auditoría l t l A dit í Conducir el Seguimiento de la Auditoría Competencia del auditor Competencia del auditor • Habilidades y atributos personales. • Conocimiento y experiencia en la aplicación de principios de: – – – – – – – Auditoría + Sistemas de Gestión + Calidad + S Seguridad id d de d la l Información I f ió + Gestión de TI + Continuidad del Negocio + … Auditoría y Certificación Auditoría y Certificación Cumplimiento vs Cumplimiento vs C f Conformidad id d Auditoría y Certificación Auditoría y Certificación • La organización pregunta: ¿Puedo solicitar la auditoría de certificación tifi ió para diferentes dif t sistemas it en forma simultánea? Conclusiones Motivadores Gobierno corporativo Val IT ISO 31000 COSO COBIT / ISO 38500 CMMI Estándares y mejores prácticas mejores prácticas SSE‐CMM PA AS 99 Gobierno de TI Procesos y procedimientos Cumplimiento Metas del negocio Balanced Scorecard LFPDPPP, SOX, BASILEAII, PCI. Procedimientos de desarrollo y mantenimiento ISO 27005 ISO 9001 SGC Procedimientos de calidad ISO 20000 SGSTI ITIL ISO 27001 ISO 27001 SGSI Principios Principios de Seguridad (OECD) BS 25999 / ISO 22301/ ISO 27031 ISO 27031 SGCN BS 10012 SGIP DRII Practicas Practicas de protección de datos Fuente: Mario Ureña – SecureInformationTechnologies 2011. PM MBOK / PRIN NCE2 Desempeño Preguntas g yy respuestas p ¡Gracias! Mario Ureña Cuate CISA, CISM, CGEIT, CISSP CISA CISM CGEIT CISSP ISO27001LA, BS25999LA [email protected] x @mariourena www.mariourenacuate.com www.slideshare.net/mariour ena
Similar documents
Sistema de Gestión de Continuidad del Negocio
Asegurar el apoyo de la dirección g p y BCM requiere recursos permanentes (d # $) Roles y responsabilidades claramente establecidos Programa de concientización adecuado Documentación suficienteme...
More information