El objetivo del seminario es analizar cómo funcionan las auditorías de primera, segunda y tercera parte de ISO20000/ISO27000 y qué hay que tener en cuenta en cada unade ellas.
3. Con la colaboración de ...
Alhambra Eidos:
C/Albasanz 16, Madrid (España)
+34917872300
www.formaciontic.com
formaciontic@a-e.es
@formacionTIC
Guillermo Hernández
Experto en gestión de servicios de TI y desarrollo.
Ha trabajado y conoce la gestión y organización
de distintas instituciones y empresas, y tiene
conocimiento de distintas herramientas de gestión
como Service Desk o Remedy. Formador desde
hace 5 años, su principal objetivo es el énfasis en
la utilidad real de los pequeños detalles de la
gestión de servicios.
4. Las normas ISO 27000/20000
• 270000: focaliza en la seguridad de la información, gestión de riesgos
y una serie de controles
• 20000: focalize en diseño, transición, provisión y mejora de los
servicios.
8. Esfuerzo continuado
En caso de que se tome la decisión de la certificación de una norma
ISO:
• Comprobar que estamos preparados para el esfuerzo
• Acordar la implicación de todos los afectados por el alcance
9. Riesgos
• Exceso de complicación
• Todo a última hora
• Sin acuerdo en la organización
13. Evidencias
• Trata de que sean fáciles de encontrar
• Si son muy complejas tal vez falta un Sistema o alguna forma de
guardarlas
• Pueden ser simples: correos electrónicos, actas de reuniones,
registros de incidencias
14. Evidencias
¡¡¡CUIDADO CON LAS EVIDENCIAS ANECDÓTICAS!!!
Revisar todos los posibles registros es importante, una anecdota
evidenciara falta de seguimiento
15. No conformidades y observaciones
• En caso de revisión es importante centrarse en ellas primero
• Las no conformidades son prioritarias
• Las observaciones se pueden considerer
• Resolver rápido las incidencias mayores post-auditoría
17. Auditoría interna
• Es obligatoría antes de la auditoría externa
• Si hay tiempo tratar de emular la auditoría externa e involucrar todo el
posibles afectados
• Ser abierto y escuchar todas las recomendaciones
20. Motivos
• Las normas obligan a la consideración y demostración de una serie de
actividades, pero como se realizan esta motivado por negocio
• Es importante poder fundamentar y, si es necesario, mostrar
evidencias de porque se toman o no se toman acciones; por ejemplo,
porque hemos retrasado una plan de acción para hace 2 meses
21. La gente
• No esta mal que cada persona revise que todo su trabajo está en
orden
• Mantener la tranquilidad, a cada uno se le preguntará por lo que sabe
y como trabaja, lo cual debería estar apoyado por la organización
23. Documentación
• Identificar toda la posible documentación física o digital necesaría
• No es necesario tener un registro para cada punto de las normas, pero
si hacer referencia a donde se encuentran las respuestas a los
distintos requisites
• Importante la revision y versionado de los procesos y documentación
24. Otras consideraciones
• Tener en cuenta todos los requisites de las Normas, nada sobra y no
son recomendaciones. Por ejemplo, si se pide un listado que
demuestre acciones en 3 campos, realizar los 3 (o fundamentar
porque no)
• Revisar métricas
25. Otras consideraciones
• Reuniones y cómites de ultima hora
• Tratrar de cuadrar las auditorias con momentos tranquilos o
coordinados a otras revisiones
• Realización de la revisión por la dirección
28. Con la colaboración de ...
Alhambra Eidos:
C/Albasanz 16, Madrid (España)
+34917872300
www.formaciontic.com
formaciontic@a-e.es
@formacionTIC
Guillermo Hernández
Experto en gestión de servicios de TI y desarrollo.
Ha trabajado y conoce la gestión y organización
de distintas instituciones y empresas, y tiene
conocimiento de distintas herramientas de gestión
como Service Desk o Remedy. Formador desde
hace 3 años, su principal objetivo es el énfasis en
la utilidad real de los pequeños detalles de la
gestión de servicios.
29. Con la colaboración de:
@exin_es
¡GRACIAS!
youtube/exinexams
facebook.com/EXINEnCastellano
slideshare.net/EXINEnCastellano