La presentación describe los mitos y verdades sobre la certificación ISO 27001. Explica que la norma no es demasiado complicada y que certificarse no es tan costoso como se cree comúnmente. También destaca que la certificación trae beneficios como eficiencia operacional, seguridad de la información, mejora de imagen y confianza de clientes. El TÜV Rheinland ofrece servicios de certificación y capacitación en ISO 27001 y otras normas.
MAYO 1 PROYECTO día de la madre el amor más grande
ISO 27001 mitos y verdades
1. 10/10/121 Presentation TÜV Rheinland
Acompañamos su compromiso con la calidad,
la seguridad y el medio ambiente
2. Mitos y Verdades
de la Certificación ISO 27001
Congreso de Calidad
19/09/2013 UTN
19/09/20132 Presentación TÜV Rheinland
3. Quienes Somos
19/09/20133 Presentación TÜV Rheinland
• TÜV
• Empresa internacional para la control técnica
• 140 años
• TÜV Rheinland Argentina
• 19 años en Argentina
• Más de 1000 clientes en certificación
• Más de 100 auditores, 4 en ISO 27001
4. Mitos:
19/09/20134 Presentación TÜV Rheinland
• Hay pocos certificados en le mercado
• La norma es demasiado complicado
• Certificar es costoso
• No necesitamos una certificación, no ganamos
5. ¿Pocos Certificados?
• 20
19/09/20135 Presentación TÜV Rheinland
País # Certificados con
acreditación
Argentina 25
México 25
Brasil 24
Colombia 14
Perú 7
Chile 5
Republica Dominicana 4
Ecuador 2
20 del TÜV
7. porque certifican las empresas
19/09/20137 Presentación TÜV Rheinland
Razon Empresa
Clientes Agencia Siete & Media, NOP
Compañía madre Siemens, Bactssa
Confianza Peñaflor
Mejor gestión en IT Telpin, Estudio Jurídico Villanueva
Mercado Boldt, Techno Acción
Evitar auditorías Interbanking, Worldsys, Inworx
8. Los tres pilares básicos de un SGSI
• Confidencialidad
• Previene el acceso no autorizado a la
información, de forma intencional o no.
• Integridad
• Evita modificaciones de la información por
parte de personal no autorizado.
• Disponibilidad
• Proporciona acceso seguro a la
información en el momento en que se
precisa.
19/09/20138 Presentación TÜV Rheinland
9. Información
• La información es un recurso que,
como el resto de los importantes activos comerciales,
tiene valor para la organización y
por consiguiente debe ser debidamente protegida.
• Información como activo de la empresa
• Para todos tipos de información y empresas
• Gestión y certificación de procesos
• Base son los procesos de negocio
• Exige análisis de riesgos y continuidad de negocio
19/09/20139 Presentación TÜV Rheinland
10. La Norma ISO 27001:2005
• Sistema de Gestión:
• Capítulo 4 – 8
• Extensión de su sistema de gestión
• SGSI, Responsabilidades de la dirección, auditorías internas,
revisión por la dirección, mejora del SGSI
• Apéndice A: técnico
• A.5 - A.15 con 133 controles seleccionable
19/09/201310 Presentación TÜV Rheinland
11. Areas del SGSI en las organizaciones (ISO 27001-2005)
Dirección -Política de la seguridad de la información [A.5]
-Seguridad de la organización [A.6]
-Clasificación y control de los activos [A.7]
- Gestión de los incidentes de la seguridad de la información [A.13]
-Cumplimiento (con los requerimientos legales y de la organización) [A.15]
Recursos Humanos
Seguridad personal de los recursos humanos [A.8]
Procesos del Negocio -Gestión de riesgos [4.3.1]
-Gestión de la continuidad del negocio [A.14]
Control de Acceso
Control de acceso [A.11]
Edificio/Medio
Ambiente
Seguridad física y
ambiental [A.9]
Trabajo Diario
Gestión de la
operación y de la
comunicación [A.10]
Planificación/ Proyectos
Desarollo y mantenimiento
de sistemas [A.12]
19/09/201311 Presentación TÜV Rheinland
12. ¿Norma Complicado?
• Esto que tienen en la empresa necesitan gestionar
• El responsable del sistema de gestión provee los datos para la gestión
• Gestión vía procesos documentadas
• Decisiones trazables
• La norma extiende sus sistema de gestión
19/09/201312 Presentación TÜV Rheinland
13. ¿Certificar es costoso?
• Auditoría – consultoriá
• Auditoría
19/09/201313 Presentación TÜV Rheinland
Personas en Proceso Tiempo *
(days)
6 - 10 1.5
26 - 45 3.0
86 - 125 5.5
*Sin costo de acreditación, complejidad bajo
14. ¿Certificar es costoso?
• Implementación: Costo en tiempo
• Otra norma (ISO 9001, SOC, ISO/IEC 20000, ITIL, Cobit etc.)
• Consultores
• Recursos internos
19/09/201314 Presentación TÜV Rheinland
16. ¿No ganamos con la certificación?
• Interno
• Concientización de los empleados
• IT gestionado (Adobe Flash Player 11.6.602, Reader 11.0.02)
• ISMS como seguro contra cyber crime
• Control independiente: menos auditorías de clientes
• Mejora continuo: auditor trae experiencias de otras empresas
• Externos
• Confianza
• Disminución de cuotas de aseguradoras
• Mejor competitividad
19/09/201316 Presentación TÜV Rheinland
17. Servicios del TÜV
• Normas
• ISO/IEC 27001
• ISO 9001
• ISO/IEC 20000
• Capacitación
• Introducción: 1 día
• Auditor interno: 3 días
• IRCA Auditor Líder: 5 días
19/09/201317 Presentación TÜV Rheinland
18. Verdades
• Hay pocos certificados en le mercado?
La ISO 27001 es bien desarrollado en el mercado argentino.
• La norma es demasiado complicado?
Gestiona que tienen en su empresa.
• Certificar es costoso?
La inversión en tiempo y recursos que supone la implantación de
un SGSI se ve ampliamente superada por las ventajas que
resultan de su implementación
• No necesitamos una certificación, no ganamos?
Eficiencia, Seguridad, Imagen, Confianza,
19/09/201318 Presentación TÜV Rheinland
19. Procedimiento de certificación ISO/IEC 27001:2005
Auditoría Certificación
Conformidad y cumplimiento del SGSI
Certificación
Emisión del certificado
Seguimiento
Mejora continua
anualanual
Fase 2Fase 2 Procesos y Control
Auditoría Certificación
Revisión documental
en sitio
Conformidad y cumplimiento del SGSI
Fase 1Fase 1
19/09/201319 Presentación TÜV Rheinland
20. Plazos para llevar adelante una auditoría de certificación
Fase 1
Max 3 meses Ca. 1 mes
tiempo
Fase 1 Evaluación del alcance del SGSI / Chequeo de documentos
Implementación de las acciones correctivas por parte del cliente
Fase 2 Chequeo de documentos / Fase2 Auditoría de certificación
con revisión técnica para asegurar la eficacia
Implementación de las acciones correctivas por parte del cliente
Certificación
Fase 1
Fase 2
Obs/NC
Certificate
Max 3 meses
Observación
Fase 2
No conformidad
19/09/201320 Presentación TÜV Rheinland
21. Paso a paso para alcanzar la eficiencia
TÜV Rheinland ayuda a sus clientes
Harro Osthoff
Auditor ISO 9001,
ISO/IEC 20000, ISO/IEC 27001,
ISO 28000
TÜV Rheinland Argentina S.A.
Gracias por su atención.
19/09/201321 Presentación TÜV Rheinland