Sistema de Gestión Integral con g PAS 99, ISO

Transcription

Sistema de Gestión Integral con g
PAS 99, ISO 9001, ISO 27001, ISO 20000 COBIT BS 25999 / ISO 22301
20000, COBIT, BS 25999 / ISO 22301
O t b 2011
October 2011
Mario Ureña Cuate
Mario Ureña Cuate
CISA, CISM, CGEIT, CISSP, LA BS25999, LA ISO27001
Agenda
• Introducción
• Sistema de Gestión Integral
• Elementos comunes de los Sistemas de l
d l Si
d
Gestión
• Auditoría y Certificación
• Conclusiones
Introducción
Fuente: ISACA Global Status Report 2008
2008
Introducción
Fuente: ISACA Global Status Report 2011.
2011
2011
Introducción
Fuente: ISACA Global Status Report 2011.
2011
Introducción
Fuente: SecureInformationTechnologies
g
– Estudio de Percepción
p
en
SI 2011
http://www.slideshare.net/mariourena
Introducción
Estándares originados por BSI (British Standards Institution):
1979
BS 5750
ISO 9001 (Calidad)
1992
BS 7750
ISO 14001 (Medioambiente)
1995
BS 7799
ISO/IEC 27001 (Seguridad de la Información)
1996
BS 8800
OHSAS 18001 (Salud Ocupacional y Seguridad)
2000
BS 8600
ISO 10002 (Satisfacción de Clientes)
2002
BS 15000
SO/ C 20000 (Servicios
(S
de TI))
ISO/IEC
2007
BS 25999
ISO/IEC 22301 (Continuidad del Negocio)
2008
BS 25777
ISO/IEC 27031 (Continuidad de las TIC)
2009
BS 10012
(Protección de Datos Personales)
Introducción
Riesgo
Reducir interrupciones a través de una efectiva gestión
de riesgo
Sustentabilidad
Crear valor a través de prácticas sustentables Desempeño
Crear ventaja
C
t j competitiva
titi a través
t é de la mejora
d l
j
en el l
desempeño
Motivadores
Gobierno
corporativo
Val IT
ISO 31000
COSO
COBIT / ISO 38500
CMMI
Estándares y mejores prácticas
mejores prácticas
SSE‐CMM
PA
AS 99
Gobierno de TI
Procesos y procedimientos
Cumplimiento
Metas del negocio
Balanced
Scorecard
LFPDPPP, SOX, BASILEAII,
PCI.
Procedimientos
de desarrollo y
mantenimiento
ISO 27005
ISO 9001
SGC
Procedimientos
de calidad
ISO 20000
SGSTI
ITIL
ISO 27001
ISO
27001
SGSI
Principios
Principios de Seguridad
(OECD)
BS 25999 / ISO 22301/
ISO 27031
ISO 27031
SGCN
BS 10012
SGIP
DRII
Practicas
Practicas de protección
de datos
Fuente: Mario Ureña – SecureInformationTechnologies 2011.
PM
MBOK / PRIN
NCE2
Desempeño
Sistema de Gestión Integral
• Sistema de gestión que integra todos los
sistemas y procesos de una organización en un
único marco de referencia,
referencia permitiendo a la
organización trabajar como una unidad con
objetivos unificados.
unificados
•
•
•
•
•
•
Beneficios:
Enfoque de negocio mejorado
Enfoque holístico para gestionar riesgos
Menor conflicto entre sistemas
R d i duplicación
Reducir
d li ió y burocracia
b
i
Auditorías mas eficientes y efectivas tanto
i t
internas
como externas
t
• ¿Quien puede implementarlo?
El Sistema de Gestión Integrado es relevante para
cualquier organización, independientemente de
su tamaño o sector en el que opera,
opera que busque
integrar dos o más de sus sistemas en uno solo
con un conjunto holístico de documentación,
políticas, procedimientos y procesos.
• Basado en P‐D‐C‐A
• La organización pregunta:
Nosotros no tenemos procesos, aquí
t b j
trabajamos
por funciones…
f i
¿P d
¿Puedo
implementar un Sistema de Gestión?
¿Debo tener todo documentado en
un mismo
i
M
Manual
l de
d Sistema
Si t
d
de
Gestión Integral?
El Manual del Sistema de Gestión
NO es un requisito
q
común.
Manual del Si t
Sistema de d
Gestión Integral
¿Es mandatorio tener un comité para
cada Sistema de Gestión? Ejemplo:
uno para 9000, otro para Seguridad,
etc ¿?
etc.
¿Puedo tener una sola declaración
d aplicabilidad
de
li bilid d (SoA)
(S A) para ell Sistema
Si t
de Gestión Integral?
La Declaración de Aplicabilidad
NO es un requisito
q
común.
Declaración de Aplicabilidad (SoA)
¿Cuál es el estándar que ¿C
ál
l tá d
establece los requisitos
establece los requisitos del Sistema de Gestión
del Sistema de Gestión Integral?
Elementos comunes de los SG
Les presento: PAS 99
• ISO Guide 72:
–Para
Para quienes escriben estándares e
incluye un marco de referencia de los
elementos comunes de los Sistemas de
Gestión.
• Estructura de PAS 99:
1.
2
2.
3.
4
4.
Alcance
Referencias Normativas
Términos y definiciones
Requerimientos comunes de Sistemas de
Gestión
5. Anexo A – Guía sobre antecedentes y uso de la
publicación
• Principales categorías:
– Política
– Planeación
– Implementar y operar
– Evaluación del desempeño
– Mejora
– Revisión de la gerencia
Fuente: BSI PAS 99:2006.
99:2006
Fuente: BSI PAS 99:2006.
• 4.1
. Requerimientos
eque
e tos ge
generales
e a es
– Alcance del Sistema de Gestión
– Establecer, documentar, implementar, mantener y mejorar
continuamente el Sistema de Gestión
– Identificar los procesos necesarios
– Determinar la secuencia e interacción de estos procesos
– Determinar
D
i
criterios
i i y métodos
é d necesarios
i
– Asegurar la disponibilidad de recursos e información para
soportar la operación y monitoreo
– Monitorear, medir y analizar estos procesos
• 4.2 Política del Sistema de Gestión
– Apropiada a las actividades, productos y servicios
– Incluye un compromiso de cumplimiento con
t d los
todos
l requerimientos
i i t legales
l l relevantes
l
t
– Provee la base para establecer y revisar objetivos
– Es comunicada a todas las personas que trabajan
en o en nombre de la organización
– Es revisada continuamente para verificar su
adecuación
d
ió
¿Puedo tener un solo ¿P
d t
l
documento de política
documento de política para todos los Sistemas
para todos los Sistemas de Gestión?
de Gestión?
• 4.3 Planeación
– Identificación y evaluación de aspectos, impactos y
riesgos
– Identificación
Id tifi ió de
d requerimientos
i i t legales
l l y otros
t
– Planeación de contingencias
– Objetivos
– Estructura organizacional, roles, responsabilidades y
autoridades
– Identificar,
Identificar
documentar y comunicar roles,
roles
responsabilidades y autoridades de los involucrados
• 4.4
4 4 Implementación y operación
– Control operacional
– Gestión de recursos (competencias)
– Requerimientos de documentación
– Comunicación
• 4.4.3
4 4 3 Requerimientos de documentación
Alcance
Declaración de política y objetivos
Descripción de los principales elementos del sistema
Procedimientos
documentados
y
registros
mandatorios
– Documentos que la organización considere como
necesarios
–
–
–
–
• 4.4.3.3 Controll de
d documentos
d
– Aprobar previo a su uso
– Revisar,
Revisar actualizar y re‐aprobar
re aprobar documentos
– Asegurar que los cambios y versión actual están
identificados
– Asegurar que las versiones relevantes de los
documentos se encuentran en los puntos de uso
– Asegurar
g
que los documentos se mantienen legibles
q
g
e
identificables
– Asegurar que los documentos de origen externo están
identificados y su distribución controlada
– Prevenir el uso no intencionado de documentos
obsoletos
Documentos y registros D
t
it
¿Son lo mismo son
¿Son lo mismo, son cosas diferentes cuales
cosas diferentes, cuales son las diferencias?
son las diferencias?
• 4.5
4 5 Evaluación del desempeño
–Monitoreo y medición
–Evaluación de cumplimiento
–Auditoría
Auditoría interna
–Gestión de no conformidades
• 4.6
4 6 Mejora
– General
– Acciones correctivas, preventivas y de mejora
• 4.6.2
.6. Acciones
cc o es co
correctivas,
ect as, p
preventivas
e e t as y de
mejora
A) Revisar no conformidades existentes y potenciales
B) Determinar las causas de no conformidades
C) Evaluar la necesidad de acción para que no vuelvan
a ocurrir
D) Determinar e implementar la acción necesaria
E) Registrar los resultados de la acción tomada
F) Revisar la efectividad de las acciones tomadas
• 4.7
4 7 Revisión de la Gerencia
–General
–Entradas
–Salidas
Salidas
• 4.7.2 Entradas
A)
B)
C)
D)
E)
Resultados de auditorías
Retroalimentación de partes interesadas
Estatus de acciones correctivas y preventivas
Acciones de seguimiento para revisiones previas
Circunstancias cambiantes, incluyendo aspectos
legales y otros requerimientos, relacionados con la
organización
i ió y los
l riesgos
i
que enfrenta
f t
F) Recomendaciones de mejora
G)) Datos e información sobre el desempeño
p
H) Resultados de la evaluación de cumplimiento
• 4.7.3 Salidas
A) Mejoras en la efectividad del sistema
de gestión
B) Mejoras
M j
relacionadas
l i
d con los
l requeri‐
i
mientos de las partes interesadas
C) Recursos necesarios para lograr la
mejora al Sistema de Gestión y sus
procesos
• Procedimientos “mandatorios”:
mandatorios :
–Control de documentos y registros
–Auditoría
–Acciones
Acciones Correctivas
–Acciones Preventivas
• Pasos sugeridos:
1 Combinado
• Sistemas son utilizados por separado
2 Integrable
• Se han identificado los elementos comunes
3 Integración
• Se han identificado los elementos comunes y están siendo integrados
4 Integrado
• Un sistema que integra todos los elementos comúnes
(Paréntesis)… y que hay de COBIT?
¿Qué estándar define las ¿Q
é tá d d fi l
guías para auditoría de
guías para auditoría de Sistemas de gestión?
Sistemas de gestión?
Auditoría y Certificación
ISO 19011
ISO 19011
Guías para la auditoría de Sistemas de Gestión de Calidad y/o
de Calidad y/o ambiental…
Inicio de la Auditoría
Revisión de Documentos
Preparar Actividades en Sitio
p
Ejecutar Actividades en Sitio
Preparar, Aprobar y Distribuir el Informe de la Auditoría
C
Completar la Auditoría
l t l A dit í
Conducir el Seguimiento de la Auditoría
Competencia del auditor
Competencia del auditor
• Habilidades y atributos personales.
• Conocimiento y experiencia en la aplicación de
principios de:
–
–
–
–
–
–
–
Auditoría +
Sistemas de Gestión +
Calidad +
S
Seguridad
id d de
d la
l Información
I f
ió +
Gestión de TI +
Continuidad del Negocio +
…
Cumplimiento vs Cumplimiento
vs
C f
Conformidad
id d
¿Puedo solicitar la auditoría de
certificación
tifi ió para diferentes
dif
t sistemas
it
en forma simultánea?
Conclusiones
Motivadores
Gobierno
corporativo
Val IT
ISO 31000
COSO
COBIT / ISO 38500
CMMI
Estándares y mejores prácticas
mejores prácticas
SSE‐CMM
PA
AS 99
Gobierno de TI
Procesos y procedimientos
Cumplimiento
Metas del negocio
Balanced
Scorecard
LFPDPPP, SOX, BASILEAII,
PCI.
Procedimientos
de desarrollo y
mantenimiento
ISO 27005
ISO 9001
SGC
Procedimientos
de calidad
ISO 20000
SGSTI
ITIL
ISO 27001
ISO
27001
SGSI
Principios
Principios de Seguridad
(OECD)
BS 25999 / ISO 22301/
ISO 27031
ISO 27031
SGCN
BS 10012
SGIP
DRII
Practicas
Practicas de protección
de datos
Fuente: Mario Ureña – SecureInformationTechnologies 2011.
PM
MBOK / PRIN
NCE2
Desempeño
Preguntas
g
yy respuestas
p
¡Gracias!
Mario Ureña Cuate
CISA, CISM, CGEIT, CISSP
CISA
CISM CGEIT CISSP
ISO27001LA, BS25999LA
mario.urena@secureit.com.m
x
@mariourena
www.mariourenacuate.com
www.slideshare.net/mariour
ena

Sistema de Gestión Integral con g PAS 99, ISO

Transcription

Similar documents

FACULTAD: Marketing ASIGNATURA: Ecología TÍTULO: ISO 14000

Presentación de PowerPoint

Curso Risk Manager ISO 31000

Descargar

sistemas integrados de gestiÃ³n iso 9001, iso 14001 y

para ver el catÃ¡logo en PDF

Descárguese el resumen ISO 14001:2015

Curso de: Legionella. Normativa, AnÃ¡lisis y AcreditaciÃ³n. - Chile

se podrán descargar nuestro catálogo de servicios. Para mayor

Descargar Programa: ENAI 2015

Experiencias en la Industria del Software: CertificaciÃ³n del Producto

PC16R-3 - komatsu europe

Válvulas NORGREN y accesorios

Calidad y Gestion

Presentación de la reunión de trabajo de inicio del semestre Agosto

Sistema de Gestión de Continuidad del Negocio

Casino Course En Ligne 32 Vegas Jeux Casino Gratuit Machine A

gq gestiÃ³n de calidad

Revista UES ECP V.indd - Facultad de Ciencias Económicas

Propuesta de un Modelo de Mejora Continua de los procesos en el

Guía sobre seguridad técnica Soluciones neumáticas y

LABORATORIO CONSULTORÍA EXCELENCIA