ISO 27001, ISO 20000 e ISO 15504, tres certificaciones imprescindibles en el sector TIC

SISTEMAS DE GESTIÓN SEGÚN NORMAS ISO EN EL SECTOR TIC www.seguridadinformacion.com info@seguridadinformacion.com 1

SISTEMAS DE GESTIÓN ISO Definir política de gestión Desarrollar e implantar el sistema Establecer alcance del sistema Formar al personal Definir objetivos “PLAN” “A” “ACT” “DO”Adoptar las acciones correctivasAdoptar las acciones preventivas Revisar internamente el sistema “CHECK” Realizar auditorias internas

NORMAS EN EL SECTOR TIC ISO 38500 Estrategia Gobierno de las TICs ISO 15504 ISO 20000-1 UNE 71599 Modelo de Evaluación, Mejora y Gestión Servicios TI Gestión de la Continuidad del Táctica Capacidad de Software Negocio ISO 12207 UNE-ISO 27001 Ciclo de Vida de Seguridad de la Desarrollo de Software Información Operativa ISO 19770 ISO 24762 Gestión de activos de Recuperación de software desastres

ISO 27001: ¿QUÉ ES? Es el estándar internacionalmente reconocido para la gestión de la seguridad de la información Proporciona el marco para asegurar que la información está protegida frente a la pérdida de: • Confidencialidad • Integridad • Disponibilidad 4

ISO 27001: ¿PARA QUÉ SIRVE? La información es el activo clave de muchos negocios por lo que necesita ser protegido contra los riesgos internos y externos. Crear un sistema de gestión de seguridad de la información es vital para preservar la continuidad del negocio 5

ISO 27001: LAS NORMAS La norma ISO27001 especifica los requisitos que debe cumplir el Sistema de Gestión. Esta norma dice qué se debe hacer y es con la que una empresa puede certificarse. La norma ISO 27002 es una guía de buenas prácticas en seguridad de la información. Esta es la norma que dice cómo deben hacerse las cosas. 6

ELEMENTOS PRINCIPALES INVENTARIO DE ANÁLISIS DE GESTIÓN DE ACTIVOS RIESGOS RIESGOS Equipos Robo Alarmas Aplicaciones Temperaturas Sistemas de Instalaciones elevada refrigeración Datos Errores de usuarios Formación Personal Virus Antivirus 7

ISO 27001: BENEFICIOS Reforzar la ventaja competitiva (ENS, concursos) Anticiparse a las tendencias de los mercados Mejorar los procesos y procedimientos internos Mejorar la imagen de la empresa en el mercado Cumplir con las exigencias legales Reducir costes Evitar multas y/o sanciones 8

ISO 20000-1: ¿QUÉ ES? Es el estándar internacional para la gestión de la calidad de servicios de TI Establece procesos y procedimientos para gestionar eficazmente los servicios prestados por los sistemas de TI 9

ISO 20000-1: ¿PARA QUÉ SIRVE? Internamente, para demostrar de manera independiente que los servicios ofrecidos cumplen con las mejores prácticas y con las necesidades del negocio. Externamente, para demostrar altos niveles de calidad y fiabilidad de los servicios de tecnología de información. 10

ISO 20000-1: LAS NORMAS UNE-ISO/IEC 20000-1. Gestión del servicio. Parte 1: Especificaciones. Es el marco para realizar y gestionar de manera efectiva el suministro de servicios que cumplan con los requisitos del cliente y los del negocio. UNE-ISO/IEC 20000-2 Gestión del servicio. Parte 2: Código de buenas prácticas. Contiene las mejores prácticas de la gestión de servicios, que servirán de guía para el desarrollo de los procedimientos. 11

GESTIÓN DE SERVICIOS Informes Continuidad Gestión Seguridad PROVISIÓN DE Nivel de Gestión SERVICIOS de y de la de la Servicios Disponibilid Financiera Servicio Capacidad Información PROCESOS DE Gestión de las Gestión de los RELACIONES Relaciones con el DE NEGOCIO Proveedores Cliente PROCESOS DE Gestión de los Gestión de RESOLUCIÓN Incidentes Problemas PROCESOS DE Gestión de Gestión de CONTROL Configuración Cambios PROCESO DE Gestión de los LANZAMIENTO Lanzamientos 12

ISO 20000-1: BENEFICIOS Demostrar la capacidad de proveer servicios TI (concursos, grandes empresas) Ventaja competitiva por ser factor diferenciador Mejorar la calidad de los servicios y productos ofrecidos Incrementar la satisfacción del cliente Incrementar la productividad Reducir costes 13

ISO 15504: ¿QUÉ ES? Es la norma internacional para establecer y mejorar la capacidad de los procesos de desarrollo de software Es un modelo de evaluación de la capacidad de los procesos de desarrollo de software y establece criterios de nivel de madurez de la organización. 14

ISO 15504: ¿PARA QUÉ SIRVE? Establece los procesos a implantar y las actividades a desarrollar para mejorar la capacidad y madurez de los procesos de desarrollo de software El nivel de madurez de la organización proporciona garantía de la calidad del software desarrollado 15

ISO 15504: LAS NORMAS ISO/IEC 15504-1 Parte 1. Conceptos y vocabulario ISO/IEC 15504-2 Parte 2. Realización de una evaluación ISO/IEC 15504-3 Parte 3. Guía para realizar una evaluación ISO/IEC 15504-4 Parte 4. Guía de uso para la mejora de procesos y la determinación de la capacidad de los procesos. ISO/IEC 15504-5 Parte 5. Ejemplo de un Modelo de evaluación de procesos 16

ISO 15504: ELEMENTOSID Nivel Atributos de Proceso y Descripción0 Incompleto El proceso no está implementado o no produce resultados.1 Realizado El proposito del proceso se logra habitualmente y hay resultados del mismo. PA Realización del Proceso2 Gestionado El proceso es planificado y gestionado, y los resultados se ajustan a los requisitos de coste, tiempo y calidad. PA Gestión de la Realización/Gestión de los Productos del trabajo3 Establecido Un proceso realizado y gestionado usado un proceso definido, basado en un principios de buenas prácticas de ingeniería del software. PA Definición del Proceso / Despliegue del Proceso4 Predecible El proceso está controlado y enfocado a alcanzar objetivos definidos. El proceso se gestiona y mejora cuantitativamente. PA Medición del Proceso / Control de Proceso5 Optimizado El proceso se mejora continuamente, satisfaciendo los objetivos actuales y preparándose para los futuros. PA Innovación del Proceso / Optimización del proceso 17

ISO 15504: BENEFICIOS Utilización de buenas prácticas específicas del desarrollo de software Potenciar la mejora de procesos Aumenta el grado de satisfacción del cliente Mejora de la productividad Elemento diferenciador frente a otras empresas Integración con el resto de sistemas de gestión ISO 18

EMPRESAS CERTIFICADAS 483 500 400 300 200 100 100 36 0 ISO 27001 ISO 20000-1 ISO 15504 19

EMPRESAS CERTIFICADAS POR START UP START UP 32% 20

NUESTROS CLIENTES 21

NUESTROS CLIENTES 22

Gracias por su atención Dudas y preguntas START-UP S.L. Oviedo - Madrid – Santander - Las Palmas de Gran Canaria - Santa Cruz de Tenerifewww.seguridadinformacion.com - info@seguridadinformacion.com 23

ISO 27001, ISO 20000 e ISO 15504, tres certificaciones imprescindibles en el sector TIC

by AGESTIC - Asociación Gallega Empresas TIC on Apr 15, 2011

Accessibility

Categories

Tags

Upload Details

Usage Rights

1 Embed 1

Statistics

ISO 27001, ISO 20000 e ISO 15504, tres certificaciones imprescindibles en el sector TIC — Presentation Transcript