Congreso Internacional deInfraestructura TIC                                          12 de Mayo 2011            Gestión d...
Agenda• Introducción• Planeación (Plan)• Implementación y operación (Do)• Monitoreo y revisión (Check)• Mejora continua (A...
INTRODUCCIÓN
¿Quiénes somos?…BSI tiene más de 100 años de experiencia liderando elcamino del desarrollo de normas para una gran varieda...
Lo que hacemos ...• Establecer estándares• Proveer toda la información y entrenamiento sobre  estandarización• Apoyar a la...
Estándares renombradosoriginados por BSIPionero en el desarrollo de:1979     BS 5750          ISO 9001 (Calidad)1992     B...
Soluciones y Servicios de Sistemas de Gestión           Riesgo           Reducir interrupciones a través de una efectiva g...
Introducción            San Juan Ixhuatepec. 1984                                            México, D.F. 19 de Septiembre...
Introducción               Fuente: SecureInformationTechnologies – Ejemplo de riesgos e impacto
Introducción               Fuente: SecureInformationTechnologies – Ejemplo de riesgos e impacto
Introducción               Fuente: SecureInformationTechnologies – Ejemplo de riesgos e impacto
Seguridad de la Información - Amenazas            Fuente: JFS / SecureInformationTechnologies – Estudio de Percepción Segu...
14Continuidad del Negocio                BS 25999-2                  SGCN   BS 25999-1                  BS 25777    Código...
15Continuidad del Negocio                ISO 22301                  SGPC   BS 25999-1                  ISO 27031    Código...
16BS 25777 / ISO 27031                                                        2011 / 2012                                 ...
17ISO 27031• Guías para la preparación de  las tecnologías de  información y  comunicaciones para la  continuidad del nego...
18ISO 27031• Aplica a cualquier organización• Cualquier tamaño• Eventos e incidentes de TIC que afecten la  continuidad de...
19Principios de IRBC• Prevención de incidentes• Detección de incidentes• Respuesta• Recuperación• Mejora
20Recuperación
21Elementos clave de IRBC                                         PROCESOS    TECNOLOGIA                   DATOS          ...
22Ciclo de mejora continua - PDCA
23ISO 27031
PLANEACIÓN  (PLAN)
25Planeación (Plan)• Establecer los requerimientos de IRBC• Estrategia• Recursos• Competencias del personal• Definición de...
26Estrategias – Habilidades y conocimiento• Documentación de la forma en que los servicios  críticos de ICT son ejecutados...
27Estrategias – Instalaciones• Instalaciones alternativas dentro de la organización• Instalaciones alternativas provistas ...
28Estrategias – Tecnología (consideraciones)• RTOs y RPOs para servicios críticos• Localización y distancia entre sitios• ...
29Estrategias – Datos (Consideraciones)• Requerimientos RPO• Seguridad de los datos almacenados• Distancia, localización, ...
30Estrategias – Procesos (Consideraciones)• Gestión de incidentes• Seguridad de la Información• Gestión de la capacidad• E...
31Estrategias – Proveedores• Almacenamiento de equipo adicional y copias de  software en otra localidad• Entrega de reempl...
IMPLEMENTACIÓN Y   OPERACIÓN      (DO)
33Implementación y operación (Do)• Procedimientos de gestión de incidentes• Estrategias de IRBC• Concientización y entrena...
MONITOREO Y REVISIÓN      (Check)
35Monitoreo y revisión (Check)• Monitoreo, detección y análisis de  amenazas• Pruebas y ejercicios• Auditoría Interna• Rev...
MEJORA CONTINUA     (Act)
37Mejora continua (Act)• Acciones correctivas• Acciones preventivas
38ISO 27031
OFERTA DE CAPACITACIÓN
Cursos BSI• Interpretación• Implementación• Auditor Interno• Auditor Líder**Con posibilidad de certificación
Gracias!!Mario Ureña CuateCISSP, CISA, CISM, CGEITISO27001LA, BS25999LA   mario.urena@secureit.com.mx   www.mariourenacuat...
42Contáctenos       Nombre:     Informes de Capacitación y Certificación      Dirección:   Oficina Ciudad de México       ...
43Contáctenos       Nombre:     Informes de Capacitación y Certificación BSI      Dirección:   Oficina Monterrey          ...
44    ContáctenosMiembro                                              Mario Ureña,                                  Nombre...
Próxima SlideShare
Cargando en…5
×

Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777

5.787 visualizaciones

Publicado el

Gestion de continuidad de las Tecnologias de informacion y comunicaciones utilizando el estándar ISO 27031 (antes BS 25777) presentada por Mario Ureña Cuate en el Congreso Internacional de Infraestructura TIC 2011.

Publicado en: Empresariales
0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
5.787
En SlideShare
0
De insertados
0
Número de insertados
1.179
Acciones
Compartido
0
Descargas
304
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.

Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777

  1. 1. Congreso Internacional deInfraestructura TIC 12 de Mayo 2011 Gestión de continuidad de las TIC con el estándar ISO27031 (antes BS25777) Por Mario Ureña Cuate, BSI CISSP, CISA, CISM, CGEIT BS25999LA, ISO27001LA
  2. 2. Agenda• Introducción• Planeación (Plan)• Implementación y operación (Do)• Monitoreo y revisión (Check)• Mejora continua (Act)• Conclusiones
  3. 3. INTRODUCCIÓN
  4. 4. ¿Quiénes somos?…BSI tiene más de 100 años de experiencia liderando elcamino del desarrollo de normas para una gran variedadde operaciones de negocio, lo que nos convierte en unorganismo líder proveedor de soluciones en capacitación,certificación y software para la normatividad.Nuestro objetivo…Nuestro objetivo es crear soluciones integrales yprogramas de capacitación que mejoren el desempeñode su compañía y le permitan administrareficientemente sus riesgos.
  5. 5. Lo que hacemos ...• Establecer estándares• Proveer toda la información y entrenamiento sobre estandarización• Apoyar a las organización mejorando la manera en que operan con buenos procesos de gestión y soluciones empresariales• Probar y verificar independientemente productos y servicios para asegurar que están al nivel requerido, en términos de la especificación de desempeño y seguridad
  6. 6. Estándares renombradosoriginados por BSIPionero en el desarrollo de:1979 BS 5750 ISO 9001 (Calidad)1992 BS 7750 ISO 14001 (Medioambiente)1995 BS 7799 ISO/IEC 27001 (Seguridad de la Información)1996 BS 8800 OHSAS 18001 (Salud Ocupacional y Seguridad)2000 BS 8600 ISO 10002 (Satisfacción de Clientes)2002 BS 15000 ISO/IEC 20000 (Servicios de TI)2007 BS 25999 ISO/IEC 22301 (Continuidad del Negocio)2008 BS 25777 ISO/IEC 27031 (Continuidad de las TIC)2009 BS 10012 (Protección de Datos Personales)
  7. 7. Soluciones y Servicios de Sistemas de Gestión Riesgo Reducir interrupciones a través de una efectiva gestión de riesgo Sustentabilidad Crear valor a través de prácticas sustentables Desempeño Crear ventaja competitiva a través de la mejora en el desempeño
  8. 8. Introducción San Juan Ixhuatepec. 1984 México, D.F. 19 de Septiembre de 1985Bomba, México, D.F. 15 de Febrero de 2008 México, D.F. 04 de Noviembre de 2008 Fuente: SecureInformationTechnologies New York, USA. 11 de Septiembre de 2001 Inundación en Veracruz. 1999
  9. 9. Introducción Fuente: SecureInformationTechnologies – Ejemplo de riesgos e impacto
  10. 10. Introducción Fuente: SecureInformationTechnologies – Ejemplo de riesgos e impacto
  11. 11. Introducción Fuente: SecureInformationTechnologies – Ejemplo de riesgos e impacto
  12. 12. Seguridad de la Información - Amenazas Fuente: JFS / SecureInformationTechnologies – Estudio de Percepción Seguridad de la Información 2011
  13. 13. 14Continuidad del Negocio BS 25999-2 SGCN BS 25999-1 BS 25777 Código de Código de Práctica Práctica TIC Continuidad del Negocio
  14. 14. 15Continuidad del Negocio ISO 22301 SGPC BS 25999-1 ISO 27031 Código de Código de Práctica Práctica TIC Continuidad del Negocio
  15. 15. 16BS 25777 / ISO 27031 2011 / 2012 2011 2008 ISO 22301* ISO 27031 2007 BS 25777 BS 25999-2 2006 BS 25999-1 *Por publicarse. A la fecha de ésta presentación se encuentra en la etapa 40.60 (DIS)
  16. 16. 17ISO 27031• Guías para la preparación de las tecnologías de información y comunicaciones para la continuidad del negocio.• Information and communication technology readiness for business continuity (IRBC)
  17. 17. 18ISO 27031• Aplica a cualquier organización• Cualquier tamaño• Eventos e incidentes de TIC que afecten la continuidad de las funciones críticas del negocio• Permite la medición del desempeño• Se encuentra estrechamente vinculada con:  Sistema de Gestión de Seguridad de la Información  Sistema de Gestión de Servicios de TI  Sistema de Gestión de Continuidad del Negocio
  18. 18. 19Principios de IRBC• Prevención de incidentes• Detección de incidentes• Respuesta• Recuperación• Mejora
  19. 19. 20Recuperación
  20. 20. 21Elementos clave de IRBC PROCESOS TECNOLOGIA DATOS INSTALACIONES PERSONAS PROVEEDORES
  21. 21. 22Ciclo de mejora continua - PDCA
  22. 22. 23ISO 27031
  23. 23. PLANEACIÓN (PLAN)
  24. 24. 25Planeación (Plan)• Establecer los requerimientos de IRBC• Estrategia• Recursos• Competencias del personal• Definición de requerimientos  Entendimiento de servicios críticos de ICT  Identificar brechas entre IRBC y BC
  25. 25. 26Estrategias – Habilidades y conocimiento• Documentación de la forma en que los servicios críticos de ICT son ejecutados.• Entrenamiento en múltiples habilidades del personal y contratistas para asegurar redundancia.
  26. 26. 27Estrategias – Instalaciones• Instalaciones alternativas dentro de la organización• Instalaciones alternativas provistas por otras organizaciones• Instalaciones alternativas provistas por terceras partes especializadas• Trabajo desde casa u otras localidades remotas• Otros acuerdos de uso de instalaciones• Uso de una fuerza de trabajo alterno en un sito establecido• Instalaciones alternativas móviles
  27. 27. 28Estrategias – Tecnología (consideraciones)• RTOs y RPOs para servicios críticos• Localización y distancia entre sitios• Número de sitios de tecnología• Acceso remoto a sistemas• Requerimientos de enfriamiento• Requerimientos de energía• Utilizar instalaciones sin personal• Conectividad y redundancia• Naturaleza de proceso de activación (manual / automático)• Nivel de automatización requerido• Obsolescencia tecnológica• Conectividad con proveedores y otros externos
  28. 28. 29Estrategias – Datos (Consideraciones)• Requerimientos RPO• Seguridad de los datos almacenados• Distancia, localización, medios de acceso y tiempos para su recuperación• Procedimientos de almacenamiento• Complejidad técnica del proceso de restauración• Requerimientos de usuario y necesidades organizacionales
  29. 29. 30Estrategias – Procesos (Consideraciones)• Gestión de incidentes• Seguridad de la Información• Gestión de la capacidad• Etc.• Competencias y habilidades, datos críticos, tecnológicas clave, equipo crítico
  30. 30. 31Estrategias – Proveedores• Almacenamiento de equipo adicional y copias de software en otra localidad• Entrega de reemplazos de equipo en corto tiempo• Reparación rápida y/o reemplazo de partes que presenten fallas y/o malfuncionamiento• Provisión dual de servicios como energía eléctrica y telecomunicaciones• Equipo de emergencia• Identificación de proveedores alternativos / sustitutos
  31. 31. IMPLEMENTACIÓN Y OPERACIÓN (DO)
  32. 32. 33Implementación y operación (Do)• Procedimientos de gestión de incidentes• Estrategias de IRBC• Concientización y entrenamiento• Instalaciones• Tecnología• Datos• Procesos• Proveedores• Documentación de planes
  33. 33. MONITOREO Y REVISIÓN (Check)
  34. 34. 35Monitoreo y revisión (Check)• Monitoreo, detección y análisis de amenazas• Pruebas y ejercicios• Auditoría Interna• Revisión de la dirección• Medición del desempeño
  35. 35. MEJORA CONTINUA (Act)
  36. 36. 37Mejora continua (Act)• Acciones correctivas• Acciones preventivas
  37. 37. 38ISO 27031
  38. 38. OFERTA DE CAPACITACIÓN
  39. 39. Cursos BSI• Interpretación• Implementación• Auditor Interno• Auditor Líder**Con posibilidad de certificación
  40. 40. Gracias!!Mario Ureña CuateCISSP, CISA, CISM, CGEITISO27001LA, BS25999LA mario.urena@secureit.com.mx www.mariourenacuate.com @mariourena @mariourena
  41. 41. 42Contáctenos Nombre: Informes de Capacitación y Certificación Dirección: Oficina Ciudad de México Torre Mayor Paseo de la Reforma No.505 Piso 41 Suite C México, Distrito Federal Teléfono: +52 (55) 5241 1370 Fax: +52 (55) 5241 1371 Email: informacion.msmexico@bsigroup.com Links: www.bsigroup.com.mx
  42. 42. 43Contáctenos Nombre: Informes de Capacitación y Certificación BSI Dirección: Oficina Monterrey Torre Capitel Av. Lázaro Cárdenas No.1801 Piso 9 Suite 908 Monterrey, Nuevo León Teléfono: +52 (81) 8155 6100 Fax: +52 (81) 8155 6105 Email: informacion.msmexico@bsigroup.com Links: www.bsigroup.com.mx
  43. 43. 44 ContáctenosMiembro Mario Ureña, Nombre: CISSP, CISA, CISM, CGEIT, BS25999LA, ISO27001LA Posición: PresidenteAssociated Consultant Program Empresa: Secure Information Technologies Teléfono 1: (5255) 5524 8091 y 5524 7582 Celular: (5255) 1798-8155 Email: mario.urena@secureit.com.mx Web: www.secureit.com.mx Blog: www.mariourenacuate.com

×