Sistema de Gestión Integral con PAS 99, ISO 9001, ISO 27001, ISO

(1)

Sistema de Gestión Integralg con

PAS 99, ISO 9001, ISO 27001, ISO

20000 COBIT BS 25999 / ISO 22301 20000, COBIT, BS 25999 / ISO 22301

O t b 2011 October 2011

Mario Ureña Cuate Mario Ureña Cuate

(2)

Agenda Agenda

• IntroducciónIntroducción

• Sistema de Gestión Integral

l d l Si d

• _Elementos_comunes_de_los_Sistemas_de

Gestión

• Auditoría y Certificación

(3)

Introducción

2008

Introducción

2008

Fuente: ISACA Global Status Report 2008 Fuente: ISACA Global Status Report 2008

(4)

Introducción

₂₀₁₁

Fuente: ISACA Global Status Report 2011 Fuente: ISACA Global Status Report 2011.

(5)

Introducción

Fuente: ISACA Global Status Report 2011 Fuente: ISACA Global Status Report 2011.

(6)

Introducción

Fuente: SecureInformationTechnologies – Estudio de Percepción en g p SI 2011

(7)

Introducción Introducción

Estándares originados por BSI (British Standards Institution): 1979 BS 5750 ISO 9001 (Calidad)

1979 BS 5750 ISO 9001 (Calidad)

1992 BS 7750 ISO 14001 (Medioambiente)

1995 BS 7799 ISO/IEC 27001 (Seguridad de la Información)

1996 BS 8800 OHSAS 18001 (Salud Ocupacional y Seguridad) 2000 BS 8600 ISO 10002 (Satisfacción de Clientes)

SO/ C (S )

2002 BS 15000 ISO/IEC 20000 (Servicios de TI)

2007 BS 25999 ISO/IEC 22301 (Continuidad del Negocio)

2008 BS 25777 ISO/IEC 27031 (Continuidad de las TIC)

(8)

Introducción Introducción

Riesgo Riesgo

Reducir interrupciones a través de una efectiva gestión de riesgo

Sustentabilidad

Crear valor a través de prácticas sustentables

Desempeño

C t j titi t é d l j l

Crear ventaja competitiva a través de la mejora en el

(9)

Motivadores Desempeño

Metas del negocio Cumplimiento

LFPDPPP, SOX, BASILEAII, PCI. Gobierno corporativo ISO 31000 Balanced

Scorecard Val IT COSO

Gobierno de TI COBIT / ISO 38500

N

CE2

Estándares y

mejores prácticas _MBOK

/ PRI N ISO 9001 SGC ISO 20000 SGSTI ISO 27001 BS 25999 / ISO 22301/ ISO 27031 ISO 27005 CMMI BS 10012 SGIP A S 99 mejores prácticas P M SGC SGSTI ISO 27001 SGSI Principios ISO 27031 SGCN Procedimientos SSE‐CMM SGIP Practicas PA Procesos y procedimientos Procedimientos de calidad ITIL Principios de Seguridad (OECD) DRII Procedimientos de desarrollo y mantenimiento Practicas de protección de datos

(10)

Sistema de Gestión Integral Sistema de Gestión Integral

• Sistema de gestión que integra todos losSistema de gestión que integra todos los sistemas y procesos de una organización en un único marco de referencia permitiendo a la único marco de referencia, permitiendo a la organización trabajar como una unidad con objetivos unificados

(11)

• _Beneficios:_Beneficios:

• _{Enfoque de negocio mejorado}

• Enfoque holístico para gestionar riesgos

• _{Menor conflicto entre sistemas}

R d i d li ió b i

• Reducir duplicación y burocracia

• Auditorías mas eficientes y efectivas tanto

i t t

(12)

• ¿Quien puede implementarlo?¿Quien puede implementarlo?

El Sistema de Gestión Integrado es relevante para El Sistema de Gestión Integrado es relevante para cualquier organización, independientemente de su tamaño o sector en el que opera que busque su tamaño o sector en el que opera, que busque integrar dos o más de sus sistemas en uno solo con un conjunto holístico de documentación, con un conjunto holístico de documentación, políticas, procedimientos y procesos.

(13)

Sistema de Gestión Integral

(14)

• _{La organización pregunta:} • _{La organización pregunta:}

Nosotros no tenemos procesos, aquí

t b j f i ¿P d

trabajamos por funciones… ¿Puedo implementar un Sistema de Gestión?

(15)

¿Debo tener todo documentado en

i M l d Si t d

un mismo Manual de Sistema de Gestión Integral?

(16)

(17)

(18)

El Manual del Sistema de Gestión El Manual del Sistema de Gestión

NO es un requisito común.q Manual del Si t d Sistema de Gestión Integral

(19)

• La organización pregunta:La organización pregunta:

¿Es mandatorio tener un comité para cada Sistema de Gestión? Ejemplo: cada Sistema de Gestión? Ejemplo: uno para 9000, otro para Seguridad, etc ¿?

(20)

¿Puedo tener una sola declaración d li bilid d (S A) l Si t

de aplicabilidad (SoA) para el Sistema de Gestión Integral?

(21)

La Declaración de Aplicabilidad La Declaración de Aplicabilidad NO es un requisito común.q Declaración d de Aplicabilidad (SoA)

(22)

(23)

¿C ál

l

tá d

¿Cuál es el estándar que

establece los requisitos

del Sistema de Gestión

Integral?

(24)

Elementos comunes de los SG

(25)

Elementos comunes de los SG Elementos comunes de los SG

• ISO Guide 72:ISO Guide 72:

–Para quienes escriben estándares ePara quienes escriben estándares e incluye un marco de referencia de los elementos comunes de los Sistemas de elementos comunes de los Sistemas de Gestión.

(26)

• Estructura de PAS 99:Estructura de PAS 99:

1. Alcance

2 Referencias Normativas 2. Referencias Normativas 3. Términos y definiciones

4 Requerimientos comunes de Sistemas de 4. Requerimientos comunes de Sistemas de

Gestión

5. Anexo A – Guía sobre antecedentes y uso de la publicación

(27)

• _{Principales categorías:} • _{Principales categorías:}

– Política

– Planeación

– Implementar y operar

– Evaluación del desempeño

– Mejora

(28)

Fuente: BSI PAS 99:2006 Fuente: BSI PAS 99:2006.

(29)

(30)

• _{4.1 Requerimientos generales}_. _eque _{e tos ge e a es}

– Alcance del Sistema de Gestión

– Establecer, documentar, implementar, mantener y mejorar continuamente el Sistema de Gestión

continuamente el Sistema de Gestión

– Identificar los procesos necesarios

– Determinar la secuencia e interacción de estos procesos

D i i i é d i

– Determinar criterios y métodos necesarios

– Asegurar la disponibilidad de recursos e información para soportar la operación y monitoreo

(31)

• _{4.2 Política del Sistema de Gestión}

– Apropiada a las actividades, productos y servicios

– Incluye un compromiso de cumplimiento con

t d l i i t l l l t

todos los requerimientos legales relevantes

– Provee la base para establecer y revisar objetivos

– Es comunicada a todas las personas que trabajanEs comunicada a todas las personas que trabajan en o en nombre de la organización

– Es revisada continuamente para verificar su

d ió

(32)

¿P

d t

l

¿Puedo tener un solo

documento de política

para todos los Sistemas

de Gestión?

(33)

• _{4.3 Planeación}_{4.3 Planeación}

– Identificación y evaluación de aspectos, impactos y

riesgos

Id tifi ió d i i t l l t

– Identificación de requerimientos legales y otros

– Planeación de contingencias

– ObjetivosObjetivos

– Estructura organizacional, roles, responsabilidades y

autoridades

Identificar documentar y comunicar roles

– Identificar, documentar y comunicar roles,

(34)

• _{4 4 Implementación y operación} • _{4.4 Implementación y operación}

– Control operacional

– Gestión de recursos (competencias)

– Requerimientos de documentación

(35)

• _{4 4 3 Requerimientos de documentación}_{4.4.3 Requerimientos de documentación}

– Alcance

– Declaración de política y objetivos

– Descripción de los principales elementos del sistema

– ProcedimientosProcedimientos documentadosdocumentados yy registrosregistros mandatorios

– Documentos que la organización considere como

(36)

l d d

• _{4.4.3.3 Control de documentos}

– Aprobar previo a su uso

Revisar actualizar y re aprobar documentos

– Revisar, actualizar y re‐aprobar documentos

– Asegurar que los cambios y versión actual están

identificados

– Asegurar que las versiones relevantes de los

documentos se encuentran en los puntos de uso

– Asegurar que los documentos se mantienen legibles eg q g

identificables

– Asegurar que los documentos de origen externo están

identificados y su distribución controlada identificados y su distribución controlada

– Prevenir el uso no intencionado de documentos

(37)

D

t

i t

Documentos y registros

¿Son lo mismo son

¿Son lo mismo, son

cosas diferentes cuales

cosas diferentes, cuales

son las diferencias?

(38)

• _{4 5 Evaluación del desempeño} • _{4.5 Evaluación del desempeño}

–Monitoreo y medición

–Evaluación de cumplimiento Auditoría interna

–Auditoría interna

(39)

• _{4 6 Mejora} • _{4.6 Mejora}

– General

(40)

• 4.6.2 Acciones correctivas, preventivas y de.6. cc o es co ect as, p e e t as y de mejora

A) Revisar no conformidades existentes y potenciales B) Determinar las causas de no conformidades

C) Evaluar la necesidad de acción para que no vuelvan a ocurrir

a ocurrir

D) Determinar e implementar la acción necesaria E) Registrar los resultados de la acción tomada E) Registrar los resultados de la acción tomada F) Revisar la efectividad de las acciones tomadas

(41)

• _{4 7 Revisión de la Gerencia} • _{4.7 Revisión de la Gerencia} –General –Entradas Salidas –Salidas

(42)

• _{4.7.2 Entradas}

A) Resultados de auditorías

B) Retroalimentación de partes interesadas

C) Estatus de acciones correctivas y preventivas

D) Acciones de seguimiento para revisiones previas D) Acciones de seguimiento para revisiones previas

E) Circunstancias cambiantes, incluyendo aspectos legales y otros requerimientos, relacionados con la

i ió l i f t

organización y los riesgos que enfrenta F) Recomendaciones de mejora

G) Datos e información sobre el desempeño) p

(43)

• 4.7.3 Salidas

A) Mejoras en la efectividad del sistema A) Mejoras en la efectividad del sistema

de gestión

B) M j l i d l i

B) Mejoras relacionadas con los requeri‐

mientos de las partes interesadas

C) Recursos necesarios para lograr la

mejora al Sistema de Gestión y sus procesos

(44)

• _{Procedimientos “mandatorios”:} • _{Procedimientos mandatorios :}

–Control de documentos y registros

–Auditoría

Acciones Correctivas

–Acciones Correctivas

(45)

• Pasos sugeridos:

• Sistemas son utilizados por

separado

1 Combinado

• Se han identificado los elementos

comunes

2 Integrable

• Se han identificado los elementos

comunes y están siendo integrados

3 Integración

• Un sistema que integra todos los

elementos comúnes

(46)

(47)

¿Q é

tá d

d fi

l

¿Qué estándar define las

guías para auditoría de

Sistemas de gestión?

(48)

Auditoría y Certificación Auditoría y Certificación

ISO 19011

ISO

19011

Guías para la auditoría de Sistemas de Gestión de Calidad y/o de Calidad y/o ambiental…

(49)

Inicio de la Auditoría Revisión de Documentos Prepararp Actividades en Sitio

Ejecutar Actividades en Sitio

Preparar, Aprobar y Distribuir el Informe de la Auditoría C l t l A dit í

Completar la Auditoría

(50)

Competencia del auditor Competencia del auditor

• _{Habilidades y atributos personales.}

• _{Conocimiento y experiencia en la aplicación de}

principios de: – Auditoría + – Auditoría + – Sistemas de Gestión + – Calidad + S id d d l I f ió – Seguridad de la Información + – Gestión de TI +

– Continuidad del Negocio +

(51)

Cumplimiento vs

Cumplimiento

vs

C

f

id d

Conformidad

(52)

¿Puedo solicitar la auditoría de tifi ió dif t i t

certificación para diferentes sistemas en forma simultánea?

(53)

Conclusiones

(54)

Motivadores Desempeño

Metas del negocio Cumplimiento

LFPDPPP, SOX, BASILEAII, PCI. Gobierno corporativo ISO 31000 Balanced

Scorecard Val IT COSO

Gobierno de TI COBIT / ISO 38500

N

CE2

Estándares y

mejores prácticas _MBOK

/ PRI N ISO 9001 SGC ISO 20000 SGSTI ISO 27001 BS 25999 / ISO 22301/ ISO 27031 ISO 27005 CMMI BS 10012 SGIP A S 99 mejores prácticas P M SGC SGSTI ISO 27001 SGSI Principios ISO 27031 SGCN Procedimientos SSE‐CMM SGIP Practicas PA Procesos y procedimientos Procedimientos de calidad ITIL Principios de Seguridad (OECD) DRII Procedimientos de desarrollo y mantenimiento Practicas de protección de datos

(55)

Preguntas y

g

y

respuestas

p

¡Gracias!

Mario Ureña Cuate

CISA CISM CGEIT CISSP

[email protected]

CISA, CISM, CGEIT, CISSP ISO27001LA, BS25999LA x @mariourena www.mariourenacuate.com www.slideshare.net/mariour ena