2. • Fase 1: Solicitud Ayudas Plan Avanza 2009:
– Convocatoria de Ayudas
– Requisitos
– Importe de las Ayudas
p y
– Planificación Solicitud
• Fase 2: Implantación
– ¿Quién es Itera?
– Definición ISO27001
– Pasos Implantación
– Ventajas Certificación
• F 3 C tifi ió
Fase 3: Certificación
3.
4. 08/05/2009
TODA LA
INFORMACIÓN
INFORMACIÓN
CONSOLIDADA
MAYO JUNIO JULIO AGOSTO SEPTIEMBRE
DECISIÓN GOBIERNO IMPLANTACIÓN
3 a 6 meses aprox.
21/05/2009
Fecha Límite
Presentación
Presentación
Ayudas
5. • Dentro del marco del Plan Avanza II en Proyectos I+D+i para
Dentro del marco del Plan Avanza II en Proyectos I+D+i
modernización de empresas TIC que cumplan con requisitos
modernización de empresas TIC que cumplan con requisitos de
ser Pyme y TIC
ser Pyme y TIC.
• Proyectos de Implantación y Certificación en normas de
Proyectos de Implantación y Certificación en normas de
calidad y seguridad para el sector tecnológico.
• Los proyectos supondrán una Subvención sin solicitud de
Garantías ni avales, que conlleve un COSTE 0 de los trabajos
Garantías ni avales, que conlleve un COSTE 0
subcontratados para las empresas.
• Es un proyecto en cooperación de las siguientes partes:
– C í i 6
Como mínimo 6 empresas para la misma certificación y máximo 20
l i tifi ió á i 20
empresas.
– Se contará con una entidad que actúe como coordinadora de la acción
– ITERA como empresa que gestiona la implantación de la norma.
– Entidad Independiente Certificadora de la norma.
6. • Ser organización Pyme: Persona física (autónomo) o jurídica
Ser organización Pyme: Persona física (autónomo) o jurídica
que cumpla:
– <250 trabajadores,
– Facturación <50 millones euros,
– Balance <43 millones ,
– No estar participada en un 25 % o mas por otra entidad que no sea
py
pyme
• Ser organización TIC:
Ser organización TIC:
Empresas, Asociaciones empresariales Entidades sin animo de lucro,
que presten servicios de asesoramiento y apoyo en Pymes.
t i i d i t P
Que ofrezcan servicios (incluyen formación, asesoramiento, etc...) o
productos tecnológicos que permiten: La adquisición, producción,
almacenamiento, tratamiento, comunicación, registro y presentación
l i t t t i t i ió i t t ió
de informaciones contenidas en señales de naturaleza acústica
(sonidos), óptica (imágenes) o electromagnética (datos
alfanuméricos)
)
• Sólo se podrá implantar y certificar una de las normas por
Sólo se podrá implantar y certificar una de las normas por
empresa: ISO27001 (Seguridad Información), CMMI,
empresa: ISO27001 (Seguridad Información), CMMI,
ISO15504:Spice (Madurez Desarrollo Software), ISO20.000
p ( ),
(Gestión Servicios TI), ISO9001 (Calidad Procesos)
7. • No podrán recibir ayuda a través de este proyecto las
empresas que superen el importe máximo total de Ayuda de
minimis, actualmente establecido en 200 000 (100.000
minimis, actualmente establecido en 200.000€ (100 000€ en el
actualmente establecido en 200.000€ (100.000€
actualmente establecido en 200 000€ 000€
caso de empresas que operen en el sector del transporte por
carretera), durante un periodo de tres ejercicios fiscales
para una misma empresa, ni individualmente ni como resultado
de la acumulación con otras ayudas de minimis concedidas a la
d l
de la acumulación con otras ayudas de minimis
l ió t d d i i i did l
misma empresa, conforme establece el reglamente (CE)
nº1998/2006 de la Comisión.
• La empresa participante deberá estar al corriente en el
cumplimiento de las obligaciones tributarias y frente a la
Seguridad Social.
S id d S i l
• La empresa participante no ha solicitado u obtenido ningún
tipo de ayuda de las administraciones públicas españolas y
comunitarias, en relación con el proyecto que se solicita.
8. • Madurez Desarrollo Software con CMMI ó SPICE:ISO15504
Madurez Desarrollo Software con CMMI
• Calidad Procesos con ISO9001:2000
Calidad Procesos con ISO9001:2000
• Gestión de Servicios TI con ISO20000:2005
Gestión de Servicios TI con ISO20000:2005
• Si t d G tió d S
Sistema de Gestión de Seguridad de la Información con ISO27001:2005
Sistema de Gestión de Seguridad de la Información con ISO27001 2005
id d d l I f ió ISO27001
ISO27001:2005
9.
10. ¿Quién es itera?
Definición ISO 27001
¿Qué es?
¿Qué implica adoptarla?
¿Cuál es su historia?
C ál hi t i ?
Pasos Implantación ISO 27001
1.
1 Divulgación requerimientos
2. Determinación roles‐responsabilidades y Diagnóstico Inicial
3. Determinación resultados SGSI
4. Análisis y Diagnóstico de Riesgos
5. Elaboración y Aplicación Procesos SGSI
y p
6. Desarrollo Competencias Organizacionales
7. Ejecución Auditorías Internas
8. Certificación
Ventajas de Certificarse
11. Itera es líder en implantación de procesos basados en los marcos de
referenciade mejoresprácticas queayudan alnegocio delas empresasa
referencia demejores prácticasque ayudanal negociode lasempresas a
mejorar su competitividad. A través de IT INSTITUTE mantiene alianzas
competitividad.
estratégicas con proveedores de 1º orden de sistemas de capacitación
organizacional que garantizanla i l t ió d hábit enel personal, y
i i l quegarantizan l implantaciónde hábitosen elpersonal,
ti laimplantación dehábitos l l
por último, tiene establecidas sólidas relaciones con fabricantes de
tecnología y software para acompañar a la automatización de los
procesosimplantados,conscientesdeque eslaformade lograrelmáximo
procesosimplantados,conscientesdequeeslaformadelograrelmáximo
ROIparaelnegocio desusclientes.
ROIparaelnegociodesusclientes.
12. ¿Qué es?
La norma ISO/IEC 27001:2005
La norma “ISO/IEC 27001:2005 Information Technology Security Techniques” es la
La norma “ISO/IEC 27001:2005 Information
ISO/IEC 27001:2005 Information Security Techniques” es la
Techniques es la
evolución Certificable del código de buenas prácticas ISO 17799
evolución Certificable del código de buenas prácticas ISO 17799
¿Qué implica adoptarla?
Implica la adecuada implantación, gestión y operación de todo lo relacionado con
la implantación del un SGSI, siendo la norma más completa que existe en la
la implantación del un SGSI, siendo la norma más completa q
p , p
implantación de controles, métricas e indicadores que permiten establecer un
implantación de controles, métricas e indicadores que permiten establecer un
marco adecuado de SGSI en una organización
¿Cuál es su historia?
14. Se divulgará al personal responsable
de la gestión de la implantación del
SGSI de la EMPRESA el objetivo y Periódicamente deberán reunirse para
alcance de la norma, así como las evaluar entre otros:
fases del ciclo de consultoría que 1. Resultados auditorías internas
se llevará a cabo para realizar la
implantación de los 11 dominios del 2. Cambios en el SGSI
plan de SGSI, así como de sus 39 3. Incidentes + Soluciones
objetivos de control y sus 133 4. Compromisos + Fechas
controles. Se realizará el acto de investidura
Se revisará las necesidades y formal de los responsables del SGSI
Objetivo del servicio así como el firmado un acta de compromisos sobre
proceso de gestión del cambio. los plazos generales para conseguir
los objetivos.
los objetivos
Se realizará el Diagnóstico Inicial
Diagnóstico Inicial
de estado de madurez hábitos
actuales
actuales.
15. ROLES PARTICIPANTES
… de la EMPRESA a Certificar
– Comité de Seguridad de la Información
– Responsable Proyecto SGSI
– Propietarios Procesos SGSI
… externos a la EMPRESA a Certificar
… externos a la EMPRESA a Certificar
– Consultor de Implantación SGSI
– Consultor Sistemas y Aplicaciones
– Auditor JEFE Autorizado a Certificar
16. De cara a salvaguardar la Se establecerán los criterios
Confidencialidad, Integridad y según los cuales los riesgos de
Disponibilidad de la la seguridad de información
información escrita, hablada o deben ser evaluados. Las
procesada de la EMPRESA se decisiones en relación a la
apoyará a los responsables de aceptación del riesgo y a los
la gestión del SGSI para controles necesarios deben de
centrar los resultados a estar basadas en alcanzar los
alcanzar por los distintos objetivos de la dirección, de
departamentos de la EMPRESA la organización y de la
mediante un análisis de
di t áli i d estrategia de la EMPRESA.
t t i d l EMPRESA
Brechas. Esto se consolidará a
través de un tablero de control
de compromisos y el cierre de
p y
la declaración de aplicabilidad
¿?
17. Paso 4 (y 2) : Análisis y Diagnóstico de Riesgos.
– 1. Identificación procesos claves de la empresa para SGSI
– 2. Identificación de activos
– 3. Asignación de valor de los activos de información
– 4. Identificación de las amenazas y vulnerabilidades
– 5. Identificación de los riesgos, su impacto y probabilidad
– 6. Identificación de niveles aceptables de riesgo.
– 7. Identificación de los controles, objetivos y medidas
– 8. Identificación del tratamiento de riesgos
– 9. Identificación del riesgo residual.
– 10. Elaboración Proceso de tratamiento de riesgos.
– 11. Generación de informes para el comité de seguridad
– 12. Monitorización y revisión
– 13. Consideraciones sobre Herramientas de apoyo
– 14. Riesgos Aceptables
– 15. Plan de Continuidad
18. Uno de los principios que predominan
Se procederá a la elaboración, en el SGSI es que “la seguridad es
maduración y aplicación gradual de tan fuerte como el eslabón más débil
los procesos resultantes (Manual de la cadena” y aunque la
SGSI) e Implantación Objetivos de infraestructura juega un papel
control. importante la iteración de las
personas con esta y los ámbitos de
De esta fase hay que destacar información internos y externos de
1. Taller gestión acciones la empresa constituyen el principal
correctivas
correctivas ‐ preventivas foco para la gestión del riesgo.
1. Concienciación General
2. Taller gestión auditoría interna
2. Formación actual y futura
3. Verificación dh
3 V ifi ió adherencia SGSI
i SGSI
4. Reunión con la Dirección
Dirección
19. • Se automatizará para obtener …
– Trazabilidad de Acceso a la información.
– Backup de la información crítica
– Gestión de incidentes de seguridad
• Apoyando la fase final de implantación con …
Empresa especializada en la gestión integral de proyectos
informáticos, telecomunicaciones e implantación de nuevas tecnologías.
20. Se desarrollarán las auditorías Un Auditor autorizado a certificar
internas periódicas guiadas por el procederá a realizar la pre‐
responsable de SGSI durante la auditoría y auditoría final externa,
implantación, documentadas y con para certificar el grado de
base en las evidencias del plan de cumplimiento del SGSI de la empresa
control, para garantizar que el SGSI respecto a norma ISO 27001
está implementado de forma efectiva.
está implementado de forma efectiva
1. Fase 1: Pre‐auditoría : Revisión
1. Auditorías internas pre‐ Documentación.
implantación.
2. Fase 2: Auditoría de
Certificiación
‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐
Asesoramiento y apoyo para ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐
preparación auditorías post‐
certificación (opcional)
certificación (opcional). Auditoría de Seguimiento (cada 6
meses ó 1 año) y Auditoría de
Recertificación (cada 3 años).
21.
22. • Se realizará con la colaboración de una
empresa certificadora Internacional de la
Norma seleccionada.
Norma seleccionada
Solicitud Certificación
• La certificación se hace en dos fases:
Designación auditores, Fechas y
– FASE1: Se realiza una auditoría de la Plan d A dit í
Pl de Auditoría
documentación y evidencias del SGSI
Preauditoría (Opcional)
ficación a los 3 años
– FASE2: Se realiza in‐situ y tiene por objeto
certificar la empresa Fase1:
F 1
Revisión Documental
• La entidad certificadora emitirá en ambas
La entidad certificadora emitirá en ambas
fases un documento con las no conformidades
un documento con las no conformidades Fase2:
encontradas al cual habrá que dar respuesta en Auditoría In Situ
Recertif
un periodo máximo de 3meses.
un periodo máximo de 3meses.
¿Noconformidades?
• Cada año se realizará una auditoría centrada
Cada año se realizará una auditoría centrada
sólo sobre las no conformidades
Plan de Acciones
• A los 3 años volverá a realizar una auditoría
A los 3 años volverá a realizar una auditoría Correctivas
completa denominada Auditoría de
Cierre
Recertifiación.
Recertifiación.
Emisión Certificado
‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐
Auditoría Auditoría
Seguimiento Seguimiento
• Adicionalmente se realizará un documento de
Adicionalmente se realizará un documento de
justificación del proyecto exigido por la Auditoría
administración de gobierno para el plan avanza Auditoría Seguimiento
Seguimiento Auditoría
Seguimiento
23. • Obtener un reconocimiento, internacionalmente aceptado como estándar de SGSI
Obtener un reconocimiento, internacionalmente aceptado como estándar
•P t
Proteger las ventajas competitivas de la información empresarial, su modelo de negocio … etc
Proteger las ventajas competitivas de la información empresarial, su modelo de negocio … etc
l t j titi d l i f
d ió i l d l d i t
• Garantizar la eficacia del esfuerzo dedicado a la implantación del un SGSI.
Garantizar la eficacia del esfuerzo dedicado a la implantación del un SGSI.
• Incrementar la confianza y reputación de la imagen de marca de la empresa en el mercado.
Incrementar la confianza y reputación de la imagen de marca de la empresa en el mercado.
• Evitar perdidas, robos, descuidos … etc. de los activos de información organizacionales.
Evitar perdidas, robos, descuidos … etc. de los activos de información organizacionales.
• Garantizar la conformidad de aspectos reglamentarios y legales, pudiendo evidenciarlo.
Garantizar la conformidad de aspectos reglamentarios y legales, pudiendo evidenciarlo.
•M j
Mejorar la gestión del riesgo financiero d l
l tió d l i fi i de la empresa evitando posibles sanciones.
d it d ibl i
Mejorar la gestión del riesgo financiero de la empresa evitando posibles sanciones.
• Eliminación de barreras de entrada mejorando las condiciones para licitaciones.
Eliminación de barreras de entrada mejorando las condiciones para licitaciones.
• Continuidad de las operaciones de negocio tras incidentes graves.
• Riesgos y controles son revisados constantemente.
Riesgos y controles son revisados constantemente.
24. Tel.: +34 918 035 954
Fax: +34 911 260 041
F 34 911 260 041
Tres Cantos (Madrid) 28760 IT Account
IT Account
C/Santiago Grisola 2,
1ª Planta, dpcho: 162 a 163 Silvina Romero
+34 607 342 293
silvina.romero@iteraprocess.com
Skype: silvina_romero
yp
IT Consultant
IT Consultant
it
www.iteraprocess.com Marco Antonio Martínez
Marco Antonio Martínez
+34 661 976 822
marcoantonio.martinez@iteraprocess.com
Skype: marcoantmartinez
Skype: marcoantmartinez
www.it‐institute.org