TÜV Rheinland Argentina

Transcripción

1 TÜV Rheinland Argentina Paso a paso para alcanzar la eficiencia Proceso de Certificación ISO Harro Osthoff 1

2 Información La información es un recurso que, como el resto de los importantes activos comerciales, tiene valor para la organización y por consiguiente debe ser debidamente protegida. Información de los clientes Datos personales Información de la compañía 2

3 Estructura de la Norma Información como activo Tratamiento de la información como parte de los activos de una organización Análisis de los riesgos del negocio Es aplicable a todo tipo de organización (sociedades comerciales, sociedades sin fines de lucro, organizaciones estatales, organismos no gubernamentales, etc). Consideración de todos tipos de información: Impresa Escrita a mano Almacenada electrónicamente Transmitida por mail y electrónicamente Comunicada a través de videos o verbalmente e.t.c, 3

4 Los tres pilares básicos de un SGSI Confidencialidad Previene el acceso no autorizado a la información, de forma intencional o no. Integridad Evita modificaciones de la información por parte de personal no autorizado. Disponibilidad Proporciona acceso seguro a la información en el momento en que se precisa. 4

5 Ejemplo Anexo A: Cláusula: Gestión de las comunicaciones y operaciones A.10.5 Resguardo: Objetivo: Mantener la integridad y la disponibilidad de la información y de las instalaciones del procesamiento de la información. A Control: Se deben tomar copias de resguardo de la información y del software y se deben probar regularmente en concordancia con la política acordada de resguardo. 5

6 Areas de la SGSI en las organizaciones (ISO ) Dirección -Política de la seguridad de la información [A.5] -Seguridad de la organización [A.6] -Clasificación y control de los activos [A.7] - Gestión de los incidentes de la seguridad de la información [A.13] -Cumplimiento (con los requerimientos legales y de la organización) [A.15] Procesos del Negocio -Gestión de riesgos [4.3.1] -Gestión de la continuidad del negocio [A.14] Edificio/Medio Ambiente Seguridad física y ambiental [A.9] Trabajo Diario Gestión de la operación y de la comunicación [A.10] Planificación/ Proyectos Desarollo y mantenimiento de sistemas [A.12] Control de Acceso Control de acceso [A.11] Recursos Humanos Seguridad personal de los recursos humanos [A.8] 6

7 Beneficios del SGSI La inversión en tiempo y recursos que supone la implantación de un SGSI se ve ampliamente superada por las ventajas que resultan de su implementación: El SGSI otorga un enfoque global a la gestión de la seguridad. Proporciona una imagen corporativa de compromiso con la seguridad. Puede suponer un incremento de la rentabilidad del negocio. 7

8 Beneficios de certificar el SGSI (1) Norma reconocida mundialmente con gran número de certificados en todo el mundo. Incremento en el conocimiento de la seguridad por parte de los empleados. Evaluación de los procesos de negocio bajo el punto de vista de la seguridad de la información. Disminución de cuotas de las aseguradoras. Estructuras más claras reducción de gastos! Compatibilidad de la norma con la ISO

9 Beneficios de certificar el SGSI (2) Las empresas certificadas son vistas por la opinión pública / cliente como empresas de confianza. Las transacciones futuras pueden llevarse a cabo en la confianza de que los riesgos de la Seguridad de la Información están siendo efectivamente controlados. La Seguridad de la Información es un ingrediente esencial para un crecimiento sostenible y actúa como un diferenciador en el mercado. 9

10 Procedimiento de certificación ISO/IEC 27001:2005 Seguimiento anual Mejora continua Certificación Emisión del certificado Auditoría Certificación Fase 2 Procesos y Control Conformidad y cumplimiento del SGSI Auditoría Certificación Fase 1 Revisión documental en sitio Conformidad y cumplimiento del SGSI 10

11 Plazos para llevar adelante una auditoría de certificación Fase 1 Fase 2 Fase 3 Fase 4 Fase 1 Evaluación del alcance del SGSI / Chequeo de documentos Implementación de las acciones correctivas por parte del cliente Fase 2 Chequeo de documentos / Fase2 Auditoría de certificación con revisión técnica para asegurar la eficacia Implementación de las acciones correctivas por parte del cliente Certificación Fase 1 Observación Fase 2 No conformidad Max 3 meses Max 3 meses Ca. 1 mes tiempo 11

12 Certficados en Argentina Interbanking S.A Servicios de Bancos ETEK Reycom International Holding Soluciones integrales de la seguridad informática ADEA Gestión de documentos Telpin Provisión de servicios de telefonía y de Internet Bactssa Terminal de Contenedores Telefonica Data Center 12

13 Importante La ISO permite certificar un subproceso de la compañía! Establecer el SGSI para un subproceso para implementar los documentos y procesos, y ganar experiencia con la norma. Después extender el SGSI para el resto de la compañía. 13

14 Certificación ADEA Proceso simple, parte de la compañía Mucho experiencia y proceso bien definido (documentación) ISO 9001 Asignación de recursos y consultores Motivación: Cliente 14

15 Aceleradoras: ISO 9001 Gestión de la Calidad ISO Gestión de Servicios de TI ITIL: IT Infrastructure Library Cobit: Control Ojectives for Information and related Technologies SOX: Sarbanes-Oxely 15

16 Algunos de Nuestros Clientes en Alemania 16

17 SGSI certificados mundialmente Diciembre 2004 Se alcanzan los Agosto 2005 (1.689) Número de certificados mundiales: Japón: 964 UK: 212 India: 121 Taiwán: 56 Alemania: 43 Italia: 26 EE.UU.: Ene-99 Ene-00 Ene-01 Ene-02 Ene-03 Ene-04 Ene-05 Ene-06 Ene-07 Ene-08 Ene-09 Agosto 2007 (3.890) Japón: UK: 352 Alemania: 73 EE.UU.: 52 Mayo 2009 (5.333) Japón: UK: 395 Alemania: 124 EE.UU.: 86 17

18 Servicios de TÜV Rheinland Argentina para la norma ISO Auditoría: Pre auditoría Certificación Seguimiento Renovación Capacitación: Sistemas de gestión de la seguridad de la información (SGSI): Introducción a la ISO Auditor Interno Auditor Líder IRCA (24-28 Agosto) 18

19 Ministerio de Producción Ministerio de Producción Programa de Acceso al Crédito y Competitividad para MiPyME -PACC- Préstamo BID 1884/OC-AR 19

20 Ministerio de Producción Ministerio de Producción Proyectos Mejoras de la competitividad de la PYME Innovación tecnológica Certificación de Normas de calidad de producto o de SGC de mayor complejidad Desarrollo, implementación y certificación de normas de calidad Desarrollo e implementación de sistemas informáticos standard o a medida 20

21 Paso a paso para alcanzar la eficiencia TÜV Rheinland ayuda a sus clientes Harro Osthoff Auditor ISO / 9001 TÜV Rheinland Argentina S.A. Gracias por su atención. 21