pass 99
Transcript of pass 99
-
Sistema deGestin IntegralcongPAS99,ISO9001,ISO27001,ISO
20000 COBIT BS 25999 / ISO 2230120000,COBIT,BS25999/ISO22301
O t b 2011October2011
Mario Urea CuateMarioUreaCuateCISA,CISM,CGEIT,CISSP,LABS25999,LAISO27001
-
AgendaAgenda
IntroduccinIntroduccin SistemadeGestinIntegral
l d l Si d ElementoscomunesdelosSistemasdeGestin
AuditorayCertificacin Conclusiones
-
Introduccin 2008Introduccin 2008
Fuente: ISACA Global Status Report 2008Fuente: ISACA Global Status Report 2008
-
Introduccin 2011
Fuente: ISACA Global Status Report 2011Fuente: ISACA Global Status Report 2011.
-
Introduccin
Fuente: ISACA Global Status Report 2011Fuente: ISACA Global Status Report 2011.
-
Introduccin
Fuente: SecureInformationTechnologies Estudio de Percepcin en g p
SI 2011
http://www.slideshare.net/mariourena
-
IntroduccinIntroduccinEstndares originados por BSI (British Standards Institution):
1979 BS 5750 ISO 9001 (Calidad)1979 BS 5750 ISO 9001 (Calidad)
1992 BS 7750 ISO 14001 (Medioambiente)
1995 BS 7799 ISO/IEC 27001 (Seguridad de la Informacin)
1996 BS 8800 OHSAS 18001 (Salud Ocupacional y Seguridad)
2000 BS 8600 ISO 10002 (Satisfaccin de Clientes)
SO/ C (S )2002 BS 15000 ISO/IEC 20000 (Servicios de TI)
2007 BS 25999 ISO/IEC 22301 (Continuidad del Negocio)
2008 BS 25777 ISO/IEC 27031 (Continuidad de las TIC)2008 BS 25777 ISO/IEC 27031 (Continuidad de las TIC)
2009 BS 10012 (Proteccin de Datos Personales)
-
IntroduccinIntroduccin
RiesgoRiesgoReducir interrupciones atravs deuna efectiva gestinderiesgo
SustentabilidadCrearvaloratravsdeprcticassustentables
DesempeoC t j titi t d l j lCrear ventaja competitiva atravs delamejora eneldesempeo
-
Motivadores DesempeoMetasdelnegocio
CumplimientoLFPDPPP,SOX,
BASILEAII,PCI.
Gobiernocorporativo ISO31000
BalancedScorecard ValIT COSO
GobiernodeTI COBIT/ISO38500
N
C
E
2
Estndaresymejores prcticas
M
B
O
K
/
P
R
I
N
ISO9001SGC
ISO20000SGSTI ISO 27001
BS25999/ISO22301/ISO 27031
ISO27005CMMIBS10012SGIP
A
S
9
9
mejoresprcticas
P
MSGC SGSTI ISO27001SGSI
Principios
ISO27031SGCN
Procedimientos
SSECMMSGIP
Practicas
P
A
Procesosyprocedimientos
Procedimientosdecalidad ITIL
PrincipiosdeSeguridad
(OECD)DRII
Procedimientosdedesarrolloymantenimiento
Practicasdeproteccin
dedatos
Fuente: Mario Urea SecureInformationTechnologies 2011.
-
Sistema de Gestin IntegralSistemadeGestinIntegral
Sistema de gestin que integra todos losSistema de gestin que integra todos lossistemas y procesos de una organizacin en unnico marco de referencia permitiendo a lanico marco de referencia, permitiendo a laorganizacin trabajar como una unidad conobjetivos unificadosobjetivos unificados.
-
Sistema de Gestin IntegralSistemadeGestinIntegral
Beneficios:Beneficios: Enfoque de negocio mejorado Enfoque holstico para gestionar riesgos Enfoque holstico para gestionar riesgos Menor conflicto entre sistemasR d i d li i b i Reducir duplicacin y burocracia
Auditoras mas eficientes y efectivas tantoi t tinternas como externas
-
Sistema de Gestin IntegralSistemadeGestinIntegral
Quien puede implementarlo?Quien puede implementarlo?
El Sistema de Gestin Integrado es relevante paraEl Sistema de Gestin Integrado es relevante paracualquier organizacin, independientemente desu tamao o sector en el que opera que busquesu tamao o sector en el que opera, que busqueintegrar dos o ms de sus sistemas en uno solocon un conjunto holstico de documentacin,con un conjunto holstico de documentacin,polticas, procedimientos y procesos.
-
SistemadeGestinIntegral Basado en PDCA
-
Sistema de Gestin IntegralSistemadeGestinIntegral
La organizacin pregunta: La organizacin pregunta:
Nosotros no tenemos procesos, aqut b j f i P dtrabajamos por funciones Puedoimplementar un Sistema de Gestin?
-
Sistema de Gestin IntegralSistemadeGestinIntegral
La organizacin pregunta: La organizacin pregunta:
Debo tener todo documentado eni M l d Si t dun mismo Manual de Sistema de
Gestin Integral?
-
Sistema de Gestin IntegralSistemadeGestinIntegral
-
Sistema de Gestin IntegralSistemadeGestinIntegral
-
Sistema de Gestin IntegralSistemadeGestinIntegral
El Manual del Sistema de GestinEl Manual del Sistema de GestinNO es un requisito comn.q
ManualdelSi t dSistemadeGestinIntegral
-
Sistema de Gestin IntegralSistemadeGestinIntegral
La organizacin pregunta:La organizacin pregunta:
Es mandatorio tener un comit paracada Sistema de Gestin? Ejemplo:cada Sistema de Gestin? Ejemplo:uno para 9000, otro para Seguridad,etc ?etc. ?
-
Sistema de Gestin IntegralSistemadeGestinIntegral
La organizacin pregunta: La organizacin pregunta:
Puedo tener una sola declaracind li bilid d (S A) l Si tde aplicabilidad (SoA) para el Sistemade Gestin Integral?
-
Sistema de Gestin IntegralSistemadeGestinIntegral
La Declaracin de AplicabilidadLa Declaracin de AplicabilidadNO es un requisito comn.q
Declaracindde
Aplicabilidad(SoA)
-
Sistema de Gestin IntegralSistemadeGestinIntegral
-
Sistema de Gestin IntegralSistemadeGestinIntegral
C l l t dCuleselestndarqueestablece los requisitosestablecelosrequisitosdel Sistema de GestindelSistemadeGestin
Integral?Integral?
-
ElementoscomunesdelosSGLespresento:PAS99
-
Elementos comunes de los SGElementoscomunesdelosSG
ISO Guide 72:ISO Guide 72:
Para quienes escriben estndares ePara quienes escriben estndares eincluye un marco de referencia de loselementos comunes de los Sistemas deelementos comunes de los Sistemas deGestin.
-
Elementos comunes de los SGElementoscomunesdelosSG
Estructura de PAS 99:Estructura de PAS 99:1. Alcance2 Referencias Normativas2. Referencias Normativas3. Trminos y definiciones4 Requerimientos comunes de Sistemas de4. Requerimientos comunes de Sistemas de
Gestin5. Anexo A Gua sobre antecedentes y uso de la
publicacin
-
Elementos comunes de los SGElementoscomunesdelosSG
Principales categoras: Principales categoras: Poltica Planeacin Implementar y operar Evaluacin del desempeo Mejora Revisin de la gerencia
-
Elementos comunes de los SGElementoscomunesdelosSG
Fuente: BSI PAS 99:2006Fuente: BSI PAS 99:2006.
-
ElementoscomunesdelosSG
Fuente: BSI PAS 99:2006.
-
Elementos comunes de los SGElementoscomunesdelosSG
4.1 Requerimientos generales. eque e tos ge e a es Alcance del Sistema de Gestin Establecer, documentar, implementar, mantener y mejorarcontinuamente el Sistema de Gestincontinuamente el Sistema de Gestin
Identificar los procesos necesarios Determinar la secuencia e interaccin de estos procesosD i i i d i Determinar criterios y mtodos necesarios
Asegurar la disponibilidad de recursos e informacin parasoportar la operacin y monitoreo
Monitorear, medir y analizar estos procesos
-
Elementos comunes de los SGElementoscomunesdelosSG
4.2 Poltica del Sistema de Gestin Apropiada a las actividades, productos y servicios Incluye un compromiso de cumplimiento cont d l i i t l l l ttodos los requerimientos legales relevantes
Provee la base para establecer y revisar objetivos Es comunicada a todas las personas que trabajanEs comunicada a todas las personas que trabajanen o en nombre de la organizacin
Es revisada continuamente para verificar sud iadecuacin
-
Sistema de Gestin IntegralSistemadeGestinIntegral
P d t lPuedotenerunsolodocumento de polticadocumentodepolticapara todos los SistemasparatodoslosSistemas
de Gestin?deGestin?
-
Elementos comunes de los SGElementoscomunesdelosSG
4.3 Planeacin4.3 Planeacin Identificacin y evaluacin de aspectos, impactos yriesgosId tifi i d i i t l l t Identificacin de requerimientos legales y otros
Planeacin de contingencias ObjetivosObjetivos Estructura organizacional, roles, responsabilidades yautoridadesIdentificar documentar y comunicar roles Identificar, documentar y comunicar roles,responsabilidades y autoridades de los involucrados
-
Elementos comunes de los SGElementoscomunesdelosSG
4 4 Implementacin y operacin 4.4 Implementacin y operacin Control operacional Gestin de recursos (competencias) Requerimientos de documentacin Comunicacin
-
Elementos comunes de los SGElementoscomunesdelosSG
4 4 3 Requerimientos de documentacin4.4.3 Requerimientos de documentacin Alcance Declaracin de poltica y objetivos Declaracin de poltica y objetivos Descripcin de los principales elementos del sistema Procedimientos documentados y registrosProcedimientos documentados y registrosmandatorios
Documentos que la organizacin considere comonecesarios
-
ElementoscomunesdelosSGl d d 4.4.3.3 Control de documentos
Aprobar previo a su usoRevisar actualizar y re aprobar documentos Revisar, actualizar y reaprobar documentos
Asegurar que los cambios y versin actual estnidentificados
Asegurar que las versiones relevantes de losdocumentos se encuentran en los puntos de uso
Asegurar que los documentos se mantienen legibles eg q gidentificables
Asegurar que los documentos de origen externo estnidentificados y su distribucin controladaidentificados y su distribucin controlada
Prevenir el uso no intencionado de documentosobsoletos
-
Sistema de Gestin IntegralSistemadeGestinIntegral
D t i tDocumentosyregistrosSon lo mismo sonSonlomismo,son
cosas diferentes cualescosasdiferentes,cualesson las diferencias?sonlasdiferencias?
-
Elementos comunes de los SGElementoscomunesdelosSG
4 5 Evaluacin del desempeo 4.5 Evaluacin del desempeoMonitoreo y medicinEvaluacin de cumplimientoAuditora internaAuditora interna
Gestin de no conformidades
-
Elementos comunes de los SGElementoscomunesdelosSG
4 6 Mejora 4.6 Mejora General Acciones correctivas, preventivas y de mejora
-
Elementos comunes de los SGElementoscomunesdelosSG
4.6.2 Acciones correctivas, preventivas y de.6. cc o es co ect as, p e e t as y demejoraA) Revisar no conformidades existentes y potencialesB) Determinar las causas de no conformidadesC) Evaluar la necesidad de accin para que no vuelvan
a ocurrira ocurrirD) Determinar e implementar la accin necesariaE) Registrar los resultados de la accin tomadaE) Registrar los resultados de la accin tomadaF) Revisar la efectividad de las acciones tomadas
-
Elementos comunes de los SGElementoscomunesdelosSG
4 7 Revisin de la Gerencia 4.7 Revisin de la GerenciaGeneralEntradasSalidasSalidas
-
ElementoscomunesdelosSG 4.7.2 Entradas
A) Resultados de auditorasB) Retroalimentacin de partes interesadasC) Estatus de acciones correctivas y preventivasD) Acciones de seguimiento para revisiones previasD) Acciones de seguimiento para revisiones previasE) Circunstancias cambiantes, incluyendo aspectos
legales y otros requerimientos, relacionados con lai i l i f torganizacin y los riesgos que enfrenta
F) Recomendaciones de mejoraG) Datos e informacin sobre el desempeo) pH) Resultados de la evaluacin de cumplimiento
-
ElementoscomunesdelosSG
4.7.3 SalidasA) Mejoras en la efectividad del sistemaA) Mejoras en la efectividad del sistema
de gestinB) M j l i d l iB) Mejoras relacionadas con los requeri
mientos de las partes interesadasC) Recursos necesarios para lograr la
mejora al Sistema de Gestin y susprocesos
-
Elementos comunes de los SGElementoscomunesdelosSG
Procedimientos mandatorios: Procedimientos mandatorios :Control de documentos y registrosAuditoraAcciones CorrectivasAcciones Correctivas
Acciones Preventivas
-
ElementoscomunesdelosSG Pasos sugeridos:
Sistemassonutilizadosporseparado1Combinado
Sehanidentificadoloselementoscomunes2Integrable
Sehanidentificadoloselementoscomunesyestnsiendointegrados3Integracin
Unsistemaqueintegratodosloselementoscomnes4Integrado
-
(Parntesis)yquehaydeCOBIT?
-
Sistema de Gestin IntegralSistemadeGestinIntegral
Q t d d fi lQuestndardefinelasguas para auditora deguasparaauditoradeSistemas de gestin?Sistemasdegestin?
-
Auditora y CertificacinAuditorayCertificacin
ISO 19011ISO19011
Guasparalaauditorade
SistemasdeGestinde Calidad y/odeCalidady/oambiental
-
Auditora y CertificacinAuditorayCertificacinIniciodelaAuditora
RevisindeDocumentos
PrepararActividadesenSitiop
EjecutarActividadesenSitio
Preparar,AprobaryDistribuirelInformedelaAuditora
C l t l A dit CompletarlaAuditora
ConducirelSeguimientodelaAuditora
-
Competencia del auditorCompetenciadelauditor Habilidades y atributos personales. Conocimiento y experiencia en la aplicacin deprincipios de: Auditora + Auditora + Sistemas de Gestin + Calidad +S id d d l I f i Seguridad de la Informacin +
Gestin de TI + Continuidad del Negocio +
-
Auditora y CertificacinAuditorayCertificacin
Cumplimiento vsCumplimientovsC f id dConformidad
-
Auditora y CertificacinAuditorayCertificacin
La organizacin pregunta: La organizacin pregunta:
Puedo solicitar la auditora detifi i dif t i tcertificacin para diferentes sistemas
en forma simultnea?
-
ConclusionesConclusiones
-
Motivadores DesempeoMetasdelnegocio
CumplimientoLFPDPPP,SOX,
BASILEAII,PCI.
Gobiernocorporativo ISO31000
BalancedScorecard ValIT COSO
GobiernodeTI COBIT/ISO38500
N
C
E
2
Estndaresymejores prcticas
M
B
O
K
/
P
R
I
N
ISO9001SGC
ISO20000SGSTI ISO 27001
BS25999/ISO22301/ISO 27031
ISO27005CMMIBS10012SGIP
A
S
9
9
mejoresprcticas
P
MSGC SGSTI ISO27001SGSI
Principios
ISO27031SGCN
Procedimientos
SSECMMSGIP
Practicas
P
A
Procesosyprocedimientos
Procedimientosdecalidad ITIL
PrincipiosdeSeguridad
(OECD)DRII
Procedimientosdedesarrolloymantenimiento
Practicasdeproteccin
dedatos
Fuente: Mario Urea SecureInformationTechnologies 2011.
-
Preguntas yrespuestasg y pGracias!
MarioUreaCuateCISA CISM CGEIT CISSP
CISA,CISM,CGEIT,CISSPISO27001LA,BS25999LA
x
@mariourena
www.mariourenacuate.com
www.slideshare.net/mariourena