Implantación de la norma ISO Implantación de la norma ISO en Pymes Españolas. Financiado por:

Transcripción

1 Implantación de la norma ISO Implantación de la norma ISO en Pymes Españolas Financiado por: 1

2 PRESENTACIÓN DEL PROYECTO El proyecto AvanzaSec, liderado por Audisec, nace para dar respuesta a las necesidades que las PYMES Españolas tienen a día de hoy en: Seguridad de lainformación: ISO Gestión de Servicios TI: ISO Para ello, la mejor opción es la implantación y certificación bajo la norma ISO correspondiente a través de las subvenciones concedidas por el PlanAvanza del Ministerio de Industria (MITYC). A lo largo de esta presentación detallaremos los hitos más destacados del proyecto.

3 CASO DE EXITO Audisec, Seguridad de la Información S.L. ha demostrado su saber hacer en lo que a petición, gestión, ejecución y justificación de proyectos subvencionados, participando en: EN 2009 AUDISEC CONSIGUIÓ CASI EL 50% DEL TOTAL DE PROYECTOS ISO ISO QUE CONCEDIO EL MINISTERIO A NIVEL NACIONAL Proyecto INTECO: 148 empresas certificadas Proyectos Avanza: 2008: 48 empresas certificadas con el apoyo de Global SGSI (ISO 27001) 2009: Más de 100 empresas certificadas o en proceso de implantación y certificación con el apoyo de la Suite Global (ISO ISO 20000) 2010: El objetivo es superar el número de empresas de Proyectos INNOEMPRESA REGIONALES: Dos proyectos Innoempresa regionales gestionados y uno en trámite.

4 PLAN AVANZA 2010: ESPECIFICACIONES 4

5 I. Objetivo del Proyecto: CERTIFICACIÓN ISO ISO ISO 27001: Mejorar la Seguridad de la Información ISO 20000: Mejorar la Gestión de Servicios TI Como método de mejora EN SEGURIDAD se ha optado por la implantación y certificación de un sistema de gestión de seguridad de la información (en adelante SGSI) basado en el estándar internacional de seguridad de la información ISO/IEC 27001:2005. Por otro lado, obtendremos la adecuación a la ley orgánica de protección de datos de carácter personal (LOPD). Como método de mejora EN GESTIÓN DE SERVICIOS TI se ha optado por la implantación y certificación de un sistema de gestión de servicios TI (en adelante SGSTI) basado en el estándar internacional de gestión de servicios TI ISO

6 I. Objetivo del Proyecto Beneficios directos : 1. Mejora en la seguridad de la información, en la gestión de servicios, con un sistema certificado por un tercero independiente (ENTIDAD CERTIFICADORA). Beneficios indirectos : 1. Posicionamiento en el mercado. 2. Mejora de la imagen de la empresa. 3. Mejora de la competitividad de la empresa. 4. Depuración de procesos internos. 5. Empleados formados y concienciados en Seguridad. 6. Cumplimiento legal (LOPD). 7. Captación de clientes

7 II. Organización del Proyecto En el proyecto hay CUATRO figuras fundamentales PYME CERTIFICADORA Organismo intermedio Consultora

8 II. Organización del Proyecto En el proyecto hay cuatro figuras fundamentales 1. Organismo intermedio: solicita la subvención en nombre de la PYME para conseguir la máxima intensidad en la subvención. 2. PYME: beneficiaria de una subvención del Plan Avanza 2. Tendrá que establecer un grupo de trabajo para dar soporte a la consultora. 3. Consultora: asesorará a la PYME para cumplir con todo lo dispuesto en el estándar y conseguir así la certificación en dicha norma. Hará labores de OFICINA TÉCNICA DEL PROYECTO. 4. Entidad certificadora: es la encargada de acreditar mediante una auditoría que los trabajos realizados por la PYME en colaboración con la consultora cumplen con todo lo establecido en la norma correspondiente.

9 II. Organización del Proyecto. Oficina técnica Oficina técnica del proyecto, tendrá dos labores principales: 1. Coordinación técnica del proyecto: asegurando la correcta ejecución de los trabajos de consultoría conforme a unos requisitos de calidad y estandarización de procesos. Se harán seguimientos para conocer el avance del proyecto y evitar desviaciones que pusieran en riesgo el buen devenir del mismo. 2. Coordinación económica: se dará soporte a las PYMES para la tramitación de todos los requisitos necesarios para la correcta justificación y obtención de la subvención avanza@audisec.es

10 III. Presupuestos 2010 LA PYME NO TIENE NINGÚN COMPROMISO REAL CON EL PROYECTO HASTA QUE SEPA LA SUBVENCIÓN QUE LE HAN CONCEDIDO. EN ESE MOMENTO DECIDE CONTINUAR O NO ADELANTE. La subvención del Plan Avanza llega hasta un máximo de euros (ISO 27001) y euros (ISO 20000), por lo que en función de la cantidad final concedida por el ministerio el proyecto puede llegar a ser a coste cero. Los conceptos subvencionables incluyen tanto el proceso de consultoría (por parte de AudiSec) como el proceso de auditoría y posterior emisión del certificado, a cargo de una entidad certificadora. El ministerio entregará la subvención una vez concedida por adelantado y sin necesidad de presentar garantías por la PYME..

11 EQUIPO DEL PROYECTO: GRUPO DE TRABAJO Por parte de Audisec, doble perfil técnico-jurídico: 1 Consultor Técnico: 1 Consultor Jurídico: Ingeniero Informático. CISA, CISM, LEAD AUDITOR Experto implantador ISO 27001, ISO Experiencia en proyectos de implantación ISO 27001, ISO Abogado en ejercicio. CISA, CISM, LEAD AUDITOR Experto implantador ISO 27001, ISO Experiencia en proyectos de implantación ISO 27001, ISO Por parte de lapyme beneficiaria: Al menos 1 persona con perfil preferentemente técnico, que se encargue de ser el coordinador entre Audisec y el resto de la empresa, además de ser el encargado de liderar la implantación de los diferentes hitos del proyecto. Resto de equipo designado a elección de la empresa.

12 SOLUCIONES DE ÉXITO EN LA IMPLANTACIÓN El proyecto será desarrollado con la ayuda de la SuiteGlobal: GLOBALSGSI: De apoyo a la implantación de la Norma ISO GLOBAL20000: De apoyo a la implantación de la Norma ISO

13 IV. Hitos y Fases del Proyecto ISO Inicio del proyecto Análisis diferencial Formación Inventario activos Análisis de riesgos Gestión de riesgos Implementación de controles Gestión de riesgos Cuadro de mandos Auditoría interna Plan acciones correctivas Mejora continua Revisión por la dirección El cronograma anterior supone un escenario en el que la implantación se desarrolla en 6 meses incluyendo la certificación del sistema. 13

14 IV. Gestión técnica. Consultoría El proyecto de implantación ISO contempla los siguientes procesos: Procesos de provisión de servicio Gestión de capacidad Gestión de continuidad Procesos de entrega Gestión de capacidad Gestión de continuidad Gestión de nivel de servicio Informes del servicio Procesos de control Gestión de la configuración Gestión de cambios Procesos de resolución Gestión de incidencias Gestión de problemas Gestión de la seguridad de la información Presupuestos y contabilidad Procesos de relación Gestión de relaciones con el negocio Gestión de suministradores

15 IV. Hitos y Fases del Proyecto ISO Inicio del proyecto Alcance y catálogo de servicios. Análisis de riesgos Análisis de impacto en el negocio Gestión de niveles de servicio Relaciones con el negocio Relaciones con suministradores Gestión de incidentes y problemas. Gestión de cambios y entregas. Gestión de la configuración Gestión de la capacidad Gestión de la disponibilidad. Gestión de la continuidad. Gestión de la seguridad Gestión financiera Plan de gestión del servicio Informes del servicio. Plan de mejora del servicio Planificación estratégica Auditoría interna Plan acciones correctivas Mejora continua Revisión por la dirección El cronograma anterior supone un escenario en el que la implantación se desarrolla en 9 meses incluyendo la certificación del sistema. 15

16 IV. Gestión técnica. Certificación. P5: Certificación La auditoría de certificación se dividirá en dos partes: Fase I: documental. Fase II: in situ, en casa de la PYME, para comprobar el cumplimiento de todo lo dispuesto en la documentación que ha sido revisada en fase I. En caso de existir no conformidades se subsanarán, realizando el oportuno plan de acciones correctivas (PAC). Una vez realizado el PAC, obtendremos el certificado

17 V. Plazos del proyecto Los proyectos se realizarán e implantarán de acuerdo con la PYME beneficiaria a lo largo de : Las empresas que opten por la doble certificación comenzarán con ISO y posteriormente ISO El plazo óptimo de implantación de los sistemas oscila entre seis meses a un año.

18 PLAN AVANZA 2010: COMO ADHERIRSE AL PROYECTO 18

19 VI. Adhesión al proyecto Los pasos necesarios para adherirse al proyecto son: FASE I (INICIAL): TOTALMENTE GRATUITA Completar solicitud de adhesión, se puede solicitar en nuestra web o directamente a través de avanza@audisec.es Firmar autorización para solicitar subvención en nombre de la Pyme Solicitud formal ante el Ministerio antes del 7 de junio. FASE II (CONCESIÓN PROVISIONAL): Julio a Diciembre de 2010 Firma de contratos Firma de convenio entre Pymes participantes Envío de documentación al Ministerio (obligatorio estar al corriente de obligaciones tributarias y frente a la seguridad social). Una vez concedida provisionalmente la subvención se constituirá una garantía para seguir adelante con el proyecto, euros, devolución integra una vez justificado. (La constitución de una garantía por las PYMES es una garantía para ellas de que el proyecto llegará al final, puesto que las empresas que sigan adelante estarán comprometidas. (EXISTEN PROYECTOS DE OTRAS ORGANIZACIONES SIN GARANTÍAS EN AÑOS ANTERIORES QUE SE HAN CAÍDO Y AUDISEC NO QUIERE CORRER RIESGOS CON LAS EMPRESAS QUE PRESENTA.)

20 VI. Adhesión al proyecto FASE III (CONCESIÓN DEFINITIVA): Octubre 2010-Febrero Ministerio verifica corrección documentación y concede definitivamente la subvención Puede pedir documentación adicional o corrección de información Ejecución de la implantación FASE IV (JUSTIFICACIÓN DE LA SUBVENCIÓN): A lo largo de La justificación se hace a través del Organismo Intermedio Es necesario justificar gastos de implantación, certificación y trabajo interno por parte de las PYME beneficiarias. Puede ser necesario justificar en dos partes la subvención. Todo el proceso será asistido por Audisec. (Todos los plazos expresados están basados en la convocatoria de 2009 no pudiendo garantizar que será así puesto que depende del Ministerio.)

21 VI. Conclusiones Un proyecto de su empresa, para su empresa