Sistema de Gestión Integral con PAS 99, ISO 9001, ISO 27001, ISO

Transcripción

1 Sistema de Gestión Integral con PAS 99, ISO 9001, ISO 27001, ISO 20000, COBIT, BS / ISO Otb October 2011 Mario Ureña Cuate Mario Ureña Cuate CISA, CISM, CGEIT, CISSP, LA BS25999, LA ISO27001

2 Agenda Introducción Sistema de Gestión Integral Elementos comunes de los Sistemas de Gestión Auditoría y Certificación Conclusiones

3 Introducción 2008 Fuente: ISACA Global Status Report 2008

4 Introducción 2011 Fuente: ISACA Global Status Report 2011.

5 Introducción Fuente: ISACA Global Status Report 2011.

6 Introducción Fuente: SecureInformationTechnologies Estudio de Percepción en SI

7 Introducción Estándares originados por BSI (British Standards Institution): 1979 BS 5750 ISO 9001 (Calidad) 1992 BS 7750 ISO (Medioambiente) 1995 BS 7799 ISO/IEC (Seguridad de la Información) 1996 BS 8800 OHSAS (Salud Ocupacional y Seguridad) 2000 BS 8600 ISO (Satisfacción de Clientes) 2002 BS ISO/IEC (Servicios de TI) 2007 BS ISO/IEC (Continuidad del Negocio) 2008 BS ISO/IEC (Continuidad de las TIC) 2009 BS (Protección de Datos Personales)

8 Introducción Riesgo Reducir interrupciones a través de una efectiva gestión de riesgo Sustentabilidad Crear valor a través de prácticas sustentables Desempeño Crear ventajacompetitiva tj titi a través de la mejora en el desempeño

9 Motivadores Desempeño Metas del negocio Cumplimiento LFPDPPP, SOX, BASILEAII, PCI. Gobierno Balanced corporativo Val IT ISO Scorecard COSO Gobierno de TI COBIT / ISO CMMI Estándares y mejores prácticas SSE CMM PA AS 99 ISO ISO 9001 SGC ISO SGSTI ISO SGSI BS / ISO 22301/ ISO SGCN BS SGIP PM MBOK / PRIN NCE2 Procesos y procedimientos Procedimientos de desarrollo y mantenimiento Procedimientos de calidad ITIL Principios de Seguridad (OECD) DRII Practicas de protección de datos Fuente: Mario Ureña SecureInformationTechnologies 2011.

10 Sistema de Gestión Integral Sistema de gestión que integra todos los sistemas y procesos de una organización en un único marco de referencia, permitiendo a la organización trabajar como una unidad con objetivos unificados.

11 Sistema de Gestión Integral Beneficios: Enfoque de negocio mejorado Enfoque holístico para gestionar riesgos Menor conflicto entre sistemas Rd Reducir iduplicación ió yburocracia Auditorías mas eficientes y efectivas tanto internas como externas

12 Sistema de Gestión Integral Quien puede implementarlo? El Sistema de Gestión Integrado es relevante para cualquier organización, independientemente de su tamaño o sector en el que opera, que busque integrardosomásdesussistemasenunosolo con un conjunto holístico de documentación, políticas, procedimientos y procesos.

13 Sistema de Gestión Integral Basado en P D C A

14 Sistema de Gestión Integral La organización pregunta: Nosotros no tenemos procesos, aquí trabajamos por funciones Puedo implementar un Sistema de Gestión?

15 Sistema de Gestión Integral La organización pregunta: Debo tener todo documentado en un mismo Manual de Sistema de Gestión Integral?

16 Sistema de Gestión Integral

17 Sistema de Gestión Integral

18 Sistema de Gestión Integral El Manual del Sistema de Gestión NO es un requisito común. Manual del Sistema de Gestión Integral

19 Sistema de Gestión Integral La organización pregunta: Es mandatorio tener un comité para cada Sistema de Gestión? Ejemplo: uno para 9000, otro para Seguridad, etc.?

20 Sistema de Gestión Integral La organización pregunta: Puedo tener una sola declaración deaplicabilidad d (SoA) para el Sistema de Gestión Integral?

21 Sistema de Gestión Integral La Declaración de Aplicabilidad NO es un requisito común. Declaración de Aplicabilidad (SoA)

22 Sistema de Gestión Integral

23 Sistema de Gestión Integral Cuál es el estándar que establece los requisitos del Sistema de Gestión Integral?

24 Elementos comunes de los SG Les presento: PAS 99

25 Elementos comunes de los SG ISO Guide 72: Para quienes escriben estándares e incluye un marco de referencia de los elementos comunes de los Sistemas de Gestión.

26 Elementos comunes de los SG Estructura de PAS 99: 1. Alcance 2. Referencias Normativas 3. Términos y definiciones 4. Requerimientos comunes de Sistemas de Gestión 5. Anexo A Guía sobre antecedentes y uso de la publicación

27 Elementos comunes de los SG Principales categorías: Política Planeación Implementar y operar Evaluación del desempeño Mejora Revisión de la gerencia

28 Elementos comunes de los SG Fuente: BSI PAS 99:2006.

29 Elementos comunes de los SG Fuente: BSI PAS 99:2006.

30 Elementos comunes de los SG 4.1 Requerimientos e generales e es Alcance del Sistema de Gestión Establecer, documentar, implementar, mantener y mejorar continuamente el Sistema de Gestión Identificar los procesos necesarios Determinar la secuencia e interacción de estos procesos Determinar criterios i y métodos necesarios Asegurar la disponibilidad de recursos e información para soportar la operación y monitoreo Monitorear, medir y analizar estos procesos

31 Elementos comunes de los SG 4.2 Política del Sistema de Gestión Apropiada a las actividades, productos y servicios Incluye un compromiso de cumplimiento con todos los requerimientos i legalesl relevantes Provee la base para establecer y revisar objetivos Es comunicada a todas las personas que trabajan en o en nombre de la organización Es revisada continuamente para verificar su adecuación

32 Sistema de Gestión Integral Puedo tener un solo documento de política para todos los Sistemas de Gestión?

33 Elementos comunes de los SG 4.3 Planeación Identificación y evaluación de aspectos, impactos y riesgos Identificación ió derequerimientos i legalesl y otros Planeación de contingencias Objetivos Estructura organizacional, roles, responsabilidades y autoridades Identificar, documentar y comunicar roles, responsabilidades y autoridades de los involucrados

34 Elementos comunes de los SG 4.44 Implementación y operación Control operacional Gestión de recursos (competencias) Requerimientos de documentación Comunicación

35 Elementos comunes de los SG Requerimientosdedocumentación documentación Alcance Declaración depolítica y objetivos Descripción de los principales elementos del sistema Procedimientos documentados y registros mandatorios Documentos que la organización considere como necesarios

36 Elementos comunes de los SG Control de documentos Aprobar previo a su uso Revisar, actualizar y re aprobar documentos Asegurar que los cambios y versión actual están identificados Asegurar que las versiones relevantes de los documentos se encuentran en los puntos de uso Asegurar que los documentos se mantienen legibles e identificables Asegurar que los documentos de origen externo están identificados y su distribución controlada Prevenir el uso no intencionado de documentos obsoletos

37 Sistema de Gestión Integral Documentos y registros it Son lo mismo, son cosas diferentes, cuales son las diferencias?

38 Elementos comunes de los SG 4.5 Evaluación del desempeño Monitoreo y medición Evaluación de cumplimiento Auditoría interna Gestión de no conformidades

39 Elementos comunes de los SG 4.6 Mejora General Acciones correctivas, preventivas y de mejora

40 Elementos comunes de los SG Acciones correctivas, preventivas e y de mejora A) Revisar no conformidades existentes y potenciales B) Determinar las causas de no conformidades C) Evaluar la necesidad de acción para que no vuelvan a ocurrir D) Determinar e implementar la acción necesaria E) Registrar los resultados dela acción tomada F) Revisar la efectividad de las acciones tomadas

41 Elementos comunes de los SG 4.7 Revisión de la Gerencia General Entradas Salidas

42 Elementos comunes de los SG Entradas A) Resultados de auditorías B) Retroalimentación de partes interesadas C) Estatus de acciones correctivas y preventivas D) Acciones deseguimiento para revisiones previas E) Circunstancias cambiantes, incluyendo aspectos legales y otros requerimientos, relacionados con la organización ió y los riesgos que enfrenta F) Recomendaciones de mejora G) Datos e información sobre el desempeño H) Resultados de la evaluación de cumplimiento

43 Elementos comunes de los SG Salidas A) Mejoras en la efectividad del sistema de gestión B) Mj Mejoras relacionadas con los requerimientos de las partes interesadas C) Recursos necesarios para lograr la mejora al Sistema de Gestión y sus procesos

44 Elementos comunes de los SG Procedimientos mandatorios : Control de documentos y registros Auditoría Acciones Correctivas Acciones Preventivas

45 Elementos comunes de los SG Pasos sugeridos: 1 Combinado Sistemas son utilizados por separado 2 Integrable Se han identificado los elementos comunes 3 Integración Se han identificado los elementos comunes y están siendo integrados 4 Integrado Un sistema que integra todos los elementos comúnes

46 (Paréntesis) y que hay de COBIT?

47 Sistema de Gestión Integral Qué estándar dfi define las guías para auditoría de Sistemas de gestión?

48 Auditoría y Certificación ISO Guías para la auditoría de Sistemas de Gestión de Calidad y/o ambiental

49 Auditoría y Certificación Inicio de la Auditoría Revisión de Documentos Preparar Actividades en Sitio Ejecutar Actividades en Sitio Preparar, Aprobar y Distribuir el Informe de la Auditoría Completar la Auditoría Conducir el Seguimiento de la Auditoría

50 Competencia del auditor Habilidades y atributos personales. Conocimiento y experiencia en la aplicación de principios de: Auditoría + Sistemas de Gestión + Calidad + Seguridad dde la Información+ Gestión de TI + Continuidad del Negocio +

51 Auditoría y Certificación Cumplimiento vs Conformidad d

52 Auditoría y Certificación La organización pregunta: Puedo solicitar la auditoría de certificación ió paradiferentes sistemas it en forma simultánea?

53 Conclusiones

54 Motivadores Desempeño Metas del negocio Cumplimiento LFPDPPP, SOX, BASILEAII, PCI. Gobierno Balanced corporativo Val IT ISO Scorecard COSO Gobierno de TI COBIT / ISO CMMI Estándares y mejores prácticas SSE CMM PA AS 99 ISO ISO 9001 SGC ISO SGSTI ISO SGSI BS / ISO 22301/ ISO SGCN BS SGIP PM MBOK / PRIN NCE2 Procesos y procedimientos Procedimientos de desarrollo y mantenimiento Procedimientos de calidad ITIL Principios de Seguridad (OECD) DRII Practicas de protección de datos Fuente: Mario Ureña SecureInformationTechnologies 2011.

55 Preguntas y respuestas Gracias! Mario Ureña Cuate CISA, CISM, CGEIT, CISSP ISO27001LA, BS25999LA mario.urena@secureit.com.m ena