Sistema de Gestión Integral con g PAS 99, ISO

Transcription

Sistema de Gestión Integral con g PAS 99, ISO
Sistema de Gestión Integral con g
PAS 99, ISO 9001, ISO 27001, ISO 20000 COBIT BS 25999 / ISO 22301
20000, COBIT, BS 25999 / ISO 22301
O t b 2011
October 2011
Mario Ureña Cuate
Mario Ureña Cuate
CISA, CISM, CGEIT, CISSP, LA BS25999, LA ISO27001
Agenda
• Introducción
• Sistema de Gestión Integral
• Elementos comunes de los Sistemas de l
d l Si
d
Gestión
• Auditoría y Certificación
• Conclusiones
Introducción
Fuente: ISACA Global Status Report 2008
2008
Introducción
Fuente: ISACA Global Status Report 2011.
2011
2011
Introducción
Fuente: ISACA Global Status Report 2011.
2011
Introducción
Fuente: SecureInformationTechnologies
g
– Estudio de Percepción
p
en
SI 2011
http://www.slideshare.net/mariourena
Introducción
Estándares originados por BSI (British Standards Institution):
1979
BS 5750
ISO 9001 (Calidad)
1992
BS 7750
ISO 14001 (Medioambiente)
1995
BS 7799
ISO/IEC 27001 (Seguridad de la Información)
1996
BS 8800
OHSAS 18001 (Salud Ocupacional y Seguridad)
2000
BS 8600
ISO 10002 (Satisfacción de Clientes)
2002
BS 15000
SO/ C 20000 (Servicios
(S
de TI))
ISO/IEC
2007
BS 25999
ISO/IEC 22301 (Continuidad del Negocio)
2008
BS 25777
ISO/IEC 27031 (Continuidad de las TIC)
2009
BS 10012
(Protección de Datos Personales)
Introducción
Riesgo
Reducir interrupciones a través de una efectiva gestión
de riesgo
Sustentabilidad
Crear valor a través de prácticas sustentables Desempeño
Crear ventaja
C
t j competitiva
titi a través
t é de la mejora
d l
j
en el l
desempeño
Motivadores
Gobierno
corporativo
Val IT
ISO 31000
COSO
COBIT / ISO 38500
CMMI
Estándares y mejores prácticas
mejores prácticas
SSE‐CMM
PA
AS 99
Gobierno de TI
Procesos y procedimientos
Cumplimiento
Metas del negocio
Balanced
Scorecard
LFPDPPP, SOX, BASILEAII,
PCI.
Procedimientos
de desarrollo y
mantenimiento
ISO 27005
ISO 9001
SGC
Procedimientos
de calidad
ISO 20000
SGSTI
ITIL
ISO 27001
ISO
27001
SGSI
Principios
Principios de Seguridad
(OECD)
BS 25999 / ISO 22301/
ISO 27031
ISO 27031
SGCN
BS 10012
SGIP
DRII
Practicas
Practicas de protección
de datos
Fuente: Mario Ureña – SecureInformationTechnologies 2011.
PM
MBOK / PRIN
NCE2
Desempeño
Sistema de Gestión Integral
Sistema de Gestión Integral
• Sistema de gestión que integra todos los
sistemas y procesos de una organización en un
único marco de referencia,
referencia permitiendo a la
organización trabajar como una unidad con
objetivos unificados.
unificados
Sistema de Gestión Integral
Sistema de Gestión Integral
•
•
•
•
•
•
Beneficios:
Enfoque de negocio mejorado
Enfoque holístico para gestionar riesgos
Menor conflicto entre sistemas
R d i duplicación
Reducir
d li ió y burocracia
b
i
Auditorías mas eficientes y efectivas tanto
i t
internas
como externas
t
Sistema de Gestión Integral
Sistema de Gestión Integral
• ¿Quien puede implementarlo?
El Sistema de Gestión Integrado es relevante para
cualquier organización, independientemente de
su tamaño o sector en el que opera,
opera que busque
integrar dos o más de sus sistemas en uno solo
con un conjunto holístico de documentación,
políticas, procedimientos y procesos.
Sistema de Gestión Integral
• Basado en P‐D‐C‐A
Sistema de Gestión Integral
Sistema de Gestión Integral
• La organización pregunta:
Nosotros no tenemos procesos, aquí
t b j
trabajamos
por funciones…
f i
¿P d
¿Puedo
implementar un Sistema de Gestión?
Sistema de Gestión Integral
Sistema de Gestión Integral
• La organización pregunta:
¿Debo tener todo documentado en
un mismo
i
M
Manual
l de
d Sistema
Si t
d
de
Gestión Integral?
Sistema de Gestión Integral
Sistema de Gestión Integral
Sistema de Gestión Integral
Sistema de Gestión Integral
Sistema de Gestión Integral
Sistema de Gestión Integral
El Manual del Sistema de Gestión
NO es un requisito
q
común.
Manual del Si t
Sistema de d
Gestión Integral
Sistema de Gestión Integral
Sistema de Gestión Integral
• La organización pregunta:
¿Es mandatorio tener un comité para
cada Sistema de Gestión? Ejemplo:
uno para 9000, otro para Seguridad,
etc ¿?
etc.
Sistema de Gestión Integral
Sistema de Gestión Integral
• La organización pregunta:
¿Puedo tener una sola declaración
d aplicabilidad
de
li bilid d (SoA)
(S A) para ell Sistema
Si t
de Gestión Integral?
Sistema de Gestión Integral
Sistema de Gestión Integral
La Declaración de Aplicabilidad
NO es un requisito
q
común.
Declaración de Aplicabilidad (SoA)
Sistema de Gestión Integral
Sistema de Gestión Integral
Sistema de Gestión Integral
Sistema de Gestión Integral
¿Cuál es el estándar que ¿C
ál
l tá d
establece los requisitos
establece los requisitos del Sistema de Gestión
del Sistema de Gestión Integral?
Elementos comunes de los SG
Les presento: PAS 99
Elementos comunes de los SG
Elementos comunes de los SG
• ISO Guide 72:
–Para
Para quienes escriben estándares e
incluye un marco de referencia de los
elementos comunes de los Sistemas de
Gestión.
Elementos comunes de los SG
Elementos comunes de los SG
• Estructura de PAS 99:
1.
2
2.
3.
4
4.
Alcance
Referencias Normativas
Términos y definiciones
Requerimientos comunes de Sistemas de
Gestión
5. Anexo A – Guía sobre antecedentes y uso de la
publicación
Elementos comunes de los SG
Elementos comunes de los SG
• Principales categorías:
– Política
– Planeación
– Implementar y operar
– Evaluación del desempeño
– Mejora
– Revisión de la gerencia
Elementos comunes de los SG
Elementos comunes de los SG
Fuente: BSI PAS 99:2006.
99:2006
Elementos comunes de los SG
Fuente: BSI PAS 99:2006.
Elementos comunes de los SG
Elementos comunes de los SG
• 4.1
. Requerimientos
eque
e tos ge
generales
e a es
– Alcance del Sistema de Gestión
– Establecer, documentar, implementar, mantener y mejorar
continuamente el Sistema de Gestión
– Identificar los procesos necesarios
– Determinar la secuencia e interacción de estos procesos
– Determinar
D
i
criterios
i i y métodos
é d necesarios
i
– Asegurar la disponibilidad de recursos e información para
soportar la operación y monitoreo
– Monitorear, medir y analizar estos procesos
Elementos comunes de los SG
Elementos comunes de los SG
• 4.2 Política del Sistema de Gestión
– Apropiada a las actividades, productos y servicios
– Incluye un compromiso de cumplimiento con
t d los
todos
l requerimientos
i i t legales
l l relevantes
l
t
– Provee la base para establecer y revisar objetivos
– Es comunicada a todas las personas que trabajan
en o en nombre de la organización
– Es revisada continuamente para verificar su
adecuación
d
ió
Sistema de Gestión Integral
Sistema de Gestión Integral
¿Puedo tener un solo ¿P
d t
l
documento de política
documento de política para todos los Sistemas
para todos los Sistemas de Gestión?
de Gestión?
Elementos comunes de los SG
Elementos comunes de los SG
• 4.3 Planeación
– Identificación y evaluación de aspectos, impactos y
riesgos
– Identificación
Id tifi ió de
d requerimientos
i i t legales
l l y otros
t
– Planeación de contingencias
– Objetivos
– Estructura organizacional, roles, responsabilidades y
autoridades
– Identificar,
Identificar
documentar y comunicar roles,
roles
responsabilidades y autoridades de los involucrados
Elementos comunes de los SG
Elementos comunes de los SG
• 4.4
4 4 Implementación y operación
– Control operacional
– Gestión de recursos (competencias)
– Requerimientos de documentación
– Comunicación
Elementos comunes de los SG
Elementos comunes de los SG
• 4.4.3
4 4 3 Requerimientos de documentación
Alcance
Declaración de política y objetivos
Descripción de los principales elementos del sistema
Procedimientos
documentados
y
registros
mandatorios
– Documentos que la organización considere como
necesarios
–
–
–
–
Elementos comunes de los SG
• 4.4.3.3 Controll de
d documentos
d
– Aprobar previo a su uso
– Revisar,
Revisar actualizar y re‐aprobar
re aprobar documentos
– Asegurar que los cambios y versión actual están
identificados
– Asegurar que las versiones relevantes de los
documentos se encuentran en los puntos de uso
– Asegurar
g
que los documentos se mantienen legibles
q
g
e
identificables
– Asegurar que los documentos de origen externo están
identificados y su distribución controlada
– Prevenir el uso no intencionado de documentos
obsoletos
Sistema de Gestión Integral
Sistema de Gestión Integral
Documentos y registros D
t
it
¿Son lo mismo son
¿Son lo mismo, son cosas diferentes cuales
cosas diferentes, cuales son las diferencias?
son las diferencias?
Elementos comunes de los SG
Elementos comunes de los SG
• 4.5
4 5 Evaluación del desempeño
–Monitoreo y medición
–Evaluación de cumplimiento
–Auditoría
Auditoría interna
–Gestión de no conformidades
Elementos comunes de los SG
Elementos comunes de los SG
• 4.6
4 6 Mejora
– General
– Acciones correctivas, preventivas y de mejora
Elementos comunes de los SG
Elementos comunes de los SG
• 4.6.2
.6. Acciones
cc o es co
correctivas,
ect as, p
preventivas
e e t as y de
mejora
A) Revisar no conformidades existentes y potenciales
B) Determinar las causas de no conformidades
C) Evaluar la necesidad de acción para que no vuelvan
a ocurrir
D) Determinar e implementar la acción necesaria
E) Registrar los resultados de la acción tomada
F) Revisar la efectividad de las acciones tomadas
Elementos comunes de los SG
Elementos comunes de los SG
• 4.7
4 7 Revisión de la Gerencia
–General
–Entradas
–Salidas
Salidas
Elementos comunes de los SG
• 4.7.2 Entradas
A)
B)
C)
D)
E)
Resultados de auditorías
Retroalimentación de partes interesadas
Estatus de acciones correctivas y preventivas
Acciones de seguimiento para revisiones previas
Circunstancias cambiantes, incluyendo aspectos
legales y otros requerimientos, relacionados con la
organización
i ió y los
l riesgos
i
que enfrenta
f t
F) Recomendaciones de mejora
G)) Datos e información sobre el desempeño
p
H) Resultados de la evaluación de cumplimiento
Elementos comunes de los SG
• 4.7.3 Salidas
A) Mejoras en la efectividad del sistema
de gestión
B) Mejoras
M j
relacionadas
l i
d con los
l requeri‐
i
mientos de las partes interesadas
C) Recursos necesarios para lograr la
mejora al Sistema de Gestión y sus
procesos
Elementos comunes de los SG
Elementos comunes de los SG
• Procedimientos “mandatorios”:
mandatorios :
–Control de documentos y registros
–Auditoría
–Acciones
Acciones Correctivas
–Acciones Preventivas
Elementos comunes de los SG
• Pasos sugeridos:
1 Combinado
• Sistemas son utilizados por separado
2 Integrable
• Se han identificado los elementos comunes
3 Integración
• Se han identificado los elementos comunes y están siendo integrados
4 Integrado
• Un sistema que integra todos los elementos comúnes
(Paréntesis)… y que hay de COBIT?
Sistema de Gestión Integral
Sistema de Gestión Integral
¿Qué estándar define las ¿Q
é tá d d fi l
guías para auditoría de
guías para auditoría de Sistemas de gestión?
Sistemas de gestión?
Auditoría y Certificación
Auditoría y Certificación
ISO 19011
ISO 19011
Guías para la auditoría de Sistemas de Gestión de Calidad y/o
de Calidad y/o ambiental…
Auditoría y Certificación
Auditoría y Certificación
Inicio de la Auditoría
Revisión de Documentos
Preparar Actividades en Sitio
p
Ejecutar Actividades en Sitio
Preparar, Aprobar y Distribuir el Informe de la Auditoría
C
Completar la Auditoría
l t l A dit í
Conducir el Seguimiento de la Auditoría
Competencia del auditor
Competencia del auditor
• Habilidades y atributos personales.
• Conocimiento y experiencia en la aplicación de
principios de:
–
–
–
–
–
–
–
Auditoría +
Sistemas de Gestión +
Calidad +
S
Seguridad
id d de
d la
l Información
I f
ió +
Gestión de TI +
Continuidad del Negocio +
…
Auditoría y Certificación
Auditoría y Certificación
Cumplimiento vs Cumplimiento
vs
C f
Conformidad
id d
Auditoría y Certificación
Auditoría y Certificación
• La organización pregunta:
¿Puedo solicitar la auditoría de
certificación
tifi ió para diferentes
dif
t sistemas
it
en forma simultánea?
Conclusiones
Motivadores
Gobierno
corporativo
Val IT
ISO 31000
COSO
COBIT / ISO 38500
CMMI
Estándares y mejores prácticas
mejores prácticas
SSE‐CMM
PA
AS 99
Gobierno de TI
Procesos y procedimientos
Cumplimiento
Metas del negocio
Balanced
Scorecard
LFPDPPP, SOX, BASILEAII,
PCI.
Procedimientos
de desarrollo y
mantenimiento
ISO 27005
ISO 9001
SGC
Procedimientos
de calidad
ISO 20000
SGSTI
ITIL
ISO 27001
ISO
27001
SGSI
Principios
Principios de Seguridad
(OECD)
BS 25999 / ISO 22301/
ISO 27031
ISO 27031
SGCN
BS 10012
SGIP
DRII
Practicas
Practicas de protección
de datos
Fuente: Mario Ureña – SecureInformationTechnologies 2011.
PM
MBOK / PRIN
NCE2
Desempeño
Preguntas
g
yy respuestas
p
¡Gracias!
Mario Ureña Cuate
CISA, CISM, CGEIT, CISSP
CISA
CISM CGEIT CISSP
ISO27001LA, BS25999LA
[email protected]
x
@mariourena
www.mariourenacuate.com
www.slideshare.net/mariour
ena

Similar documents

Sistema de Gestión de Continuidad del Negocio

Sistema de Gestión de Continuidad del Negocio Asegurar el apoyo de la dirección g p y BCM requiere recursos permanentes (d #   $) Roles y responsabilidades claramente establecidos Programa de concientización adecuado Documentación suficienteme...

More information