10º Webinar - 2ª Ed. EXIN en Castellano: Auditorías de ISO20000/ISO27000, ¿cómo actuar ante...
-
Upload
exin -
Category
Technology
-
view
239 -
download
3
Transcript of 10º Webinar - 2ª Ed. EXIN en Castellano: Auditorías de ISO20000/ISO27000, ¿cómo actuar ante...
Con la colaboración de ...Alhambra Eidos:
C/Albasanz 16, Madrid (España)
+34917872300
www.formaciontic.com
@formacionTIC
Guillermo Hernández
Experto en gestión de servicios de TI y desarrollo.
Ha trabajado y conoce la gestión y organización
de distintas instituciones y empresas, y tiene
conocimiento de distintas herramientas de gestión
como Service Desk o Remedy. Formador desde
hace 5 años, su principal objetivo es el énfasis en
la utilidad real de los pequeños detalles de la
gestión de servicios.
Las normas ISO 27000/20000
• 270000: focaliza en la seguridad de la información, gestión de riesgos
y una serie de controles
• 20000: focalize en diseño, transición, provisión y mejora de los
servicios.
Esfuerzo continuado
En caso de que se tome la decisión de la certificación de una norma
ISO:
• Comprobar que estamos preparados para el esfuerzo
• Acordar la implicación de todos los afectados por el alcance
Situación
Certificación
• Varios días
• Exhaustiva
• Gran cantidad de No
conformidades
Revisión
• Corta
• Observaciones y no
conformidades
• Aleatoria
Evidencias
• Trata de que sean fáciles de encontrar
• Si son muy complejas tal vez falta un Sistema o alguna forma de
guardarlas
• Pueden ser simples: correos electrónicos, actas de reuniones,
registros de incidencias
Evidencias
¡¡¡CUIDADO CON LAS EVIDENCIAS ANECDÓTICAS!!!
Revisar todos los posibles registros es importante, una anecdota
evidenciara falta de seguimiento
No conformidades y observaciones
• En caso de revisión es importante centrarse en ellas primero
• Las no conformidades son prioritarias
• Las observaciones se pueden considerer
• Resolver rápido las incidencias mayores post-auditoría
Auditoría interna
• Es obligatoría antes de la auditoría externa
• Si hay tiempo tratar de emular la auditoría externa e involucrar todo el
posibles afectados
• Ser abierto y escuchar todas las recomendaciones
Motivos
• Las normas obligan a la consideración y demostración de una serie de
actividades, pero como se realizan esta motivado por negocio
• Es importante poder fundamentar y, si es necesario, mostrar
evidencias de porque se toman o no se toman acciones; por ejemplo,
porque hemos retrasado una plan de acción para hace 2 meses
La gente
• No esta mal que cada persona revise que todo su trabajo está en
orden
• Mantener la tranquilidad, a cada uno se le preguntará por lo que sabe
y como trabaja, lo cual debería estar apoyado por la organización
Documentación
• Identificar toda la posible documentación física o digital necesaría
• No es necesario tener un registro para cada punto de las normas, pero
si hacer referencia a donde se encuentran las respuestas a los
distintos requisites
• Importante la revision y versionado de los procesos y documentación
Otras consideraciones
• Tener en cuenta todos los requisites de las Normas, nada sobra y no
son recomendaciones. Por ejemplo, si se pide un listado que
demuestre acciones en 3 campos, realizar los 3 (o fundamentar
porque no)
• Revisar métricas
Otras consideraciones
• Reuniones y cómites de ultima hora
• Tratrar de cuadrar las auditorias con momentos tranquilos o
coordinados a otras revisiones
• Realización de la revisión por la dirección
Con la colaboración de ...Alhambra Eidos:
C/Albasanz 16, Madrid (España)
+34917872300
www.formaciontic.com
@formacionTIC
Guillermo Hernández
Experto en gestión de servicios de TI y desarrollo.
Ha trabajado y conoce la gestión y organización
de distintas instituciones y empresas, y tiene
conocimiento de distintas herramientas de gestión
como Service Desk o Remedy. Formador desde
hace 3 años, su principal objetivo es el énfasis en
la utilidad real de los pequeños detalles de la
gestión de servicios.