• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Taller  T I C 090529
 

Taller T I C 090529

on

  • 2,816 views

 

Statistics

Views

Total Views
2,816
Views on SlideShare
2,804
Embed Views
12

Actions

Likes
2
Downloads
0
Comments
0

2 Embeds 12

http://www.slideshare.net 10
http://www.linkedin.com 2

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Taller  T I C 090529 Taller T I C 090529 Presentation Transcript

    • QUEN SOMOS?  Consultora de orixe galego  Vinte anos de experiencia en asesoramento a empresas e organismos públicos e privados  Ámbito de coñecemento en procesos e sistemas de xestión | Sistemas de Xestión | Mellora | Innovación e Tecnoloxía | Requisitos legáis e reglamentarios | Mercantil | Fiscal | Financeira | Consultoría |
    • INDICE
    • Inspección Presentación Proyecto GRADIANT 10 de Julio de 2008 4
    • Control Presentación Proyecto GRADIANT 10 de Julio de 2008 5
    • Aseguramiento Presentación Proyecto GRADIANT 10 de Julio de 2008 6
    • Gestión Presentación Proyecto GRADIANT 10 de Julio de 2008
    • Excelencia Presentación Proyecto GRADIANT 10 de Julio de 2008 8
    • Evolución de los sistemas de gestión Competencia Global, Excelencia Resultados y Sostenibilidad Gestión Prevención y Mejora Continua Aseguramiento Prevención en toda la Organización Detección y Control corrección en el proceso Inspección Detección a posteriori Años 1940 1960 1970 1980 1990 2000
    • Qué entendemos por GESTIÓN? Planificar: Política, Objetivos, Recursos, Procesos, Productos, etc. Hacer: Procedimientos, Operaciones, etc. Comprobar: Inspecciones, ensayos, verificaciones, auditorías, etc. Actuar: Revisión, Análisis de datos, etc.
    • ACREDITACIÓN Procedimiento mediante el cual un Organismo autorizado (en España ENAC) reconoce formalmente que una organización es competente para la realización de una determinada actividad de evaluación de la conformidad. NORMALIZACIÓN acredita Actividad que aporta soluciones para aplicaciones repetitivas que se desenvuelven, CERTIFICACIÓN fundamentalmente, en el Actuación que realiza un organismo reconocido ámbito de la ciencia, la e independiente de las partes interesadas, y que tecnología y la economía, pone de manifiesto que un producto, servicio o con el fin de conseguir proceso está conforme con una norma una ordenación óptima de especifica u otro documento normativo. un determinado contexto. certifica PERSOAS PRODUCTOS SISTEMAS MARCADO CE SERVICIOS N+H
    • AGENCIA PARA LA CERTIFICACIÓN DE LA CALIDAD Y EL MEDIO AMBIENTE, S.L. (ACCM) AIDICO. ASOCIACIÓN DE INVESTIGACIÓN DE LAS INDUSTRIAS DE LA CONSTRUCCIÓN ASOCIAÇAO PORTUGUESA DE CERTIFICAÇAO (APCER) ASOCIACIÓN ESPAÑOLA DE NORMALIZACIÓN Y CERTIFICACIÓN (AENOR) ASOCIACION INSTITUTO DE NORMAS TECNICAS DE COSTA RICA, INTECO BRITISH STANDARS INSTITUTION ESPAÑA, S.A. BUREAU VERITAS QUALITY INTERNATIONAL ESPAÑA, S.A. C. D. Q. ITALIA, S.r.L., SUCURSAL EN ESPAÑA CALITAX CERTIFICACIÓN, S.L. D.QUALITAS CERTIFICACIÓN, S.A. DET NORSKE VERITAS ESPAÑA ECA CERT, Certificación, S.A. EDUQATIA INVESTIGACION Y CERTIFICACIÓN, S.L. EUROPEAN QUALITY ASSURANCE SPAIN, S.L. GERMANISCHER LLOYD CERTIFICATION SPAIN, S.L. INSPECCIÓN AUDITORÍA Y CERTIFICACIÓN, S.L. INSTITUTO VALENCIANO DE CERTIFICACIÓN (IVAC) LGAI TECHNOLOGICAL CENTER, S.A. LLOYD'S REGISTER QUALITY ASSURANCE LTD. (OPERACIONES ESPAÑA) SERVICIO DE CERTIFICACIÓN DE LA CÁMARA OFICIAL DE COMERCIO E INDUSTRIA DE MADRID SGS ICS IBERICA, S.A. SISTEMAS Y PROCESOS DE GESTIÓN, CERTIFICACIÓN, S.L. TÜV INTERNACIONAL GRUPO TÜV RHEINLAND, S.L.
    • ES NECESARIO NORMALIZAR EN EL ÁMBITO DE LAS TIC?
    • ES NECESARIO GESTIONAR EN EL ÁMBITO DE LAS TIC?
    • Gestión de las TIC… .... con criterios de negocio • Informe Penteo (2006): – Sólo un 21% de las organizaciones gestionan el dpto. de SI con criterios de negocio. – 31% gestionan el dpto. de SI sólo con criterios tecnológicos. – 48% gestionan con criterios híbridos. • Conclusiones: – La Dirección de las cías. tiene una percepción más positiva de los CIOs que siguen criterios de Negocio. Les dan el rol de líderes contribuidores de negocio en un 58%. – La Gestión de las TICs mejora el posicionamiento del dpto. de SI y del CIO. – En un futuro los CIOs más gestores y menos tecnólogos. NOTA: Encuesta a 85 Directores de TICs, 36 Dir. Generales y 12 Presidentes.
    • Referentes normativos para el sector TIC
    • • Las organizaciones requieren los servicios de TI • Los usuarios y clientes requieren mayores recursos y servicios avanzados • Amplio rango de tecnologías disponibles • Poco tiempo para la planificación de TI (trabajo reactivo) • Se necesita una gestión de servicios de TI efectiva para cumplir las demandas (p.e. para entregar niveles altos de servicio y satisfacción al cliente)
    • ISO/IEC 20000 • Es el primer estándar mundial para Gestión de servicios de TI (IT service management) y es totalmente compatible y soportado por el marco de ITIL (IT Infrastructure Library). • Referencia: boletín de prensa ―Announcing ISO/IEC 20000, the new International IT Service Management standard‖itsmf2005 • Fue preparado por BSI y fue adoptado bajo un procedimiento especial de ―fast track‖por ISO e IEC.ISO (the International Organization for Standardization) e IEC (the International ElectrotechnicalCommission) forman el sistema especializado para estandarización mundial. • Consiste de dos documentos, bajo el título general Information technology—Service management • Es una especificación que contiene un modelo de gestión de servicios basado en procesos y en las mejores prácticas de la industria, que proporciona una guía para la gestión y auditoría de servicios de TI.
    • ISO/IEC 20000 • ISO/IEC 20000 constituye la primera normativa a nivel internacional para Gestión de Servicios TI • Totalmente alineable con ITIL (de hecho son totalmente complementarias). • Surge a raíz de la entrada a escena de BS 15000, desarrollada por BSI para el Reino Unido. ISO e IEC adoptaron y adaptaron vía fast track BS 15000 como ISO/IEC 20000. Se suele hablar de este estándar en estos términos, pero el mismo incluye dos partes: – ISO 20000-1.- Information Technology - Service Management. Part I: Specification. Es la especificación para la implantación del sistema según dicha norma. – ISO 20000-2.- Information Technology - Service Management. Part II: Code of Practice. Es un código de prácticas que facilitan la implantación del sistema. • Ambas normas siguen una estructura en espíritu similar a BS 7799-1 / BS 7799-2, BS 25999-1 / BS 25999-2, etc. • Totalmente integrable con ISO 27001 e ISO 9001 • Especificación que contiene un modelo de gestión de servicios basado en procesos y en las mejores prácticas de la industria, que proporciona una guía para la gestión y auditoría de servicios de TI.
    • Relacion ITIL / ISO 20000
    • ISO 20000 vs ISO 9001 • ISO 9001 es un estándar de gestión de la calidad de aplicación general que puede ser empleado por todas la organizaciones sin importar su tipo, tamaño y producto/servicio suministrado. No evalúa específicamente los procesos de gestión de servicios de TI. • ISO/IEC 20000 es el primer estándar internacional específico para la Gestión de Servicios de TI • ISO/IEC 20000 integra el enfoque basado en procesos del estándar ISO 9001:2000 incluyendo el ciclo Plan-Do-Check-Act (PDCA) y requerimientos para la mejora continua. Metodología PDCA según ISO/IEC 20000 Metodología PDCA según ISO 9001 Mejora continua del sistema de gestión de la calidad Requisitos del negocio Gestión de Servicio Responsabilidad de la Dirección Requisitos del negocio Requisitos del cliente PLANIFICAR Planificar la Requisitos del cliente Responsabilidad gestión de servicio de la dirección Solicitud de servicios nuevos o modificados Clientes Clientes Solicitud de servicios REALIZAR nuevos o modificados Otros procesos de ACTUAR Implementar la Gestión de los Medición, análisis negocio, proveedor, Mejora continua Satisfacción gestión de servicio recursos y mejora cliente, etc. Otros procesos de negocio, proveedor, Centro de servicio al cliente, etc. usuario Salidas Entradas Realización COMPROBAR Requisitos Producto Centro de servicio al del producto Monitorizar, medir Otros equipos, p.ej. y revisar usuario Seguridad, operaciones de TI, etc. - 25 -
    • ISO/IEC 20000 | ITIL | UNE EN ISO 9001 ISO/IEC 20000-1 ITIL v3 UNE-EN-ISO 9001 6 Procesos de provisión del servicio SD Gestión del nivel de servicio 6.1. Gestión del nivel de servicio SD Gestión del catalogo de servicios 6.2. Generación de informes de servicio SD Gestión del nivel de servicio SD Gestión de la continuidad de los servicios IT 6.3. Gestión de la continuidad y disponibilidad del servicio SD Gestión de la disponibilidad 6.4. Presupuestar y contabilizar servicios TI SS Gestión financiera 6.5. Gestión de la capacidad SS Gestión de la capacidad SS Gestión de la seguridad IT 6.6. Gestión de la seguridad de la información SD Gestión del riesgo 7. Procesos de relación 7.2 Procesos relacionados con el cliente SS Gestión de la cartera de servicios Determinación de los requisitos relacionados con el 7.2.1 7.2. Gestión de relaciones con el negocio SD Gestión del nivel de servicio producto 7.2.2 Revisión de los requisitos relacionados con el producto CSI Mejora Continua del Servicio 7.2.3 Comunicación con el cliente 7.4.1 Proceso de compras 7.3. Gestión de suministradores SD Gestión de proveedores 7.4.2 Información de las compras 7.4.3 Verificación de los productos comprados 8. Procesos de resolución 8.2. Gestión del incidente SO Gestión de incidencias 8.3 Control del producto no conforme 8.3. Gestión del problema SO Gestión de problemas 9. Procesos de control 9.1. Gestión de la configuración ST Gestión de configuraciones y activos 6.3 Infraestructura 9.2. Gestión del cambio ST Gestión del cambio 10. Proceso de entrega 7.5.1 Control de la producción y de la prestación del servicio Gestión de liberaciones de nuevas versiones e ST Validación de los procesos de la producción y prestación implantaciones 7.5.2 10.1. Proceso de gestión de la entrega del servicio 7.5.3 Identificación y trazabilidad ST Validación y prueba del servicio 8.2.1 Satisfacción del cliente
    • Amenazas Errores Errores de configuración Virus de Destrucción del software Revelación de usuarios de la Fallos en las contraseñas de acceso información comunicaciones Divulgación de información confidencial Acceso no autorizado Robo Desastres naturales: fuego, Cortes de No disponibilidad inundación… suministro de Averías de los equipos de información energía clave Abuso de privilegios en el Vulnerabilidades de los acceso a la información programas
    • ISO/IEC 27000 • ISO/IEC 27000 es un conjunto de estándares desarrollados por ISO (International Organization for Standarization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña. • Tiene su origen en la norma BS 7799 de BSI, que es publicada en 1995, con objeto de proporcionar a cualquier empresa un conjunto de buenas prácticas para la gestión de la seguridad de su información. • Las principales normas de esta serie son: • ISO 27000: Términos y definiciones • ISO 27001: Requisitos del sistema de gestión de seguridad de la información. • ISO 27002 (ISO 17799): Guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. • ISO 27003: En desarrollo. Guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los requerimientos de sus diferentes fases. • ISO 27004: En desarrollo. Especificará las métricas y las técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados. • ISO 27005: En desarrollo. Guía para la gestión del riesgo de la seguridad de la información • ISO 27006: Requisitos para la acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información.
    • ISO/IEC 27001:2005. Requisitos para la implantación de un Sistema de Gestión de Seguridad de la Información (SGSI). • No está orientada a despliegues tecnológicos o de infraestructura, sino a aspectos netamente organizativos, es decir, se trata de “Organizar la seguridad de la información”. • Características: • Enfoque a procesos. • Modelo PDCA (Plan-Do-Check-Act) • Planificar: crear el SGSI • Hacer: Implementación y operación del SGSI • Verificar: supervisión y revisión del SGSI • Actuar: mantenimiento y mejora del SGSI • Compatibilidad con otros sistemas de gestión: • Calidad: ISO 9001:2008 • Medio ambiente: ISO 14001:2004 • Aplicabilidad a todas las organizaciones, cualquiera que sea su tipo, tamaño y naturaleza. • El objetivo es preservar la confidencialidad, integridad y disponibilidad de la información.
    • Definiciones • Confidencialidad: La propiedad por la que la información no se pone a disposición o se revela a individuos, entidades o procesos no autorizados. • Integridad: La propiedad de salvaguardar la exactitud y completitud de los activos(*). • Disponibilidad: La propiedad de ser accesible y utilizable por una entidad autorizada. • Activo: Cualquier bien que tiene valor para la organización. Ejemplos de categorías de activos: hardware, software, datos/información, redes de comunicaciones…
    • Implantación • Definición del alcance y límites del SGSI. • Definición de la política del SGSI. • Evaluación de riesgos: • Definir la metodología de evaluación de riesgos (ej. Magerit, Cobit, …). • Establecer criterios de aceptación del riesgo. • Identificar los riesgos: • Identificación de activos: Servicios, Datos/Información, SW, HW, Redes de comunicaciones, Soportes de Información, Equipamiento Auxiliar, Instalaciones, Personal. • Identificación de amenazas: desastres naturales (fuego, inundación…), errores no intencionados (errores de administración de sistemas, errores de monitorización…), ataques intencionados (difusión de software dañino, accesos no autorizados…) • Identificación de vulnerabilidades bajo las que podrían actuar las amenazas: programa antivirus sin actualizar, sistemas configurados incorrectamente…. • Identificación de impactos: daño sobre el activo en caso de materializarse la amenaza (pérdida de disponibilidad, integridad, confidencialidad). Estimación del riesgo: impacto x probabilidad de materialización de la amenaza.
    • Implantación • Tratamiento del riesgo: • Establecer un criterio para la aceptación del riesgo. • Plan de Tratamiento de Riesgos: • Aplicar controles adecuados (según Anexo A). • Aceptar los riesgos. • Transferir el riesgo (contratación de seguros, …). • Evitar el riesgo (dejar de realizar determinadas actividades, …). • Nueva valoración del riesgos tras haber aplicado el Plan de Tratamiento Riesgo residual
    • Objetivos de control y controles (Anexo A ISO/IEC 27001:2005) Objetivo: asegurar que los riesgos se reducen a un nivel aceptable. • Control: medida de seguridad a implantar para el tratamiento de los riesgos identificados. • 11 categorías (A.5-A.15). • 133 controles • A.5. Política de seguridad (2 controles). • A.6. Aspectos organizativos de la seguridad de la información (11 controles). • A.7. Gestión de activos (5 controles). • A.8. Seguridad ligada a los recursos humanos (9 controles). • A.9. Seguridad física y ambiental (13 controles). • A.10. Gestión de comunicaciones y operaciones (32 controles). • A.11. Control de acceso (25 controles). • A.12. Adquisición, desarrollo y mantenimiento de los sistemas de información (16 controles). • A.13. Gestión de incidentes de seguridad de la información (5 controles). • A.14. Gestión de la continuidad del negocio (5 controles). • A.15. Cumplimiento (10 controles).
    • Documentación del SGSI • Política de SGSI. • Objetivos del SGSI. • Definición del alcance. • Descripción de la metodología de análisis de riesgos. • Análisis de riesgos. • Plan de tratamiento de riesgos. • Procedimientos documentados: • Control de la Documentación • Control de los Registros • Competencia y Formación • Auditorías Internas • Revisión del Sistema por la dirección • Acciones Correctivas y Preventivas • Procedimientos que aseguren la correcta planificación, operación y control de los procesos de seguridad de la información. • Declaración de Aplicabilidad: • Es un requisito imprescindible para aquellos SGSI que se quieran certificar. • Proporciona la justificación para la aplicación o no de cada control ISO 27001.
    • Serafín Avendaño, 18 Interior. Oficina 17 36201 · VIGO (Pontevedra) · España  +34 986 22 66 16  +34 986 22 46 93 Parque de San Lázaro nº 8, 3 izquierda 32003 · OURENSE · España  +34 988 51 01 51 / 01  +34 988 21 97 00 Presentación Proyecto GRADIANT Presentación proyecto ISO 9001 COAG 10 de Julio de 2008 de 2008 40 40 17 de Septiembre