Capacitación OFIN-DIGETESeguridad de la información Oficial de Seguridad - Ministerio de Educación

1. www.wondershare.com

2. Oficialdeseguridad
Desarrollo y
cumplimiento del
marco normativo
Administración de
riesgos y respuesta
ante incidentes
Soluciones de
seguridad
Recuperación ante
desastres
• Actualmente, sólo una
persona: Oficial de seguridad
• Se recomienda la estructura
representada en la figura,
recomendada por la RM N°
0400-2009-ED, fechada el 23
de diciembre de 2009
• Adicionalmente, por la
envergadura de la
institución, se recomienda
que existan como apoyo
especialistas en seguridad en
las diversas áreas

3. Las organizaciones deberán considerar y usar una
variedad de modelos, estándares
y mejores practicas de TI – por lo tanto asegúrese de
que entiende esto con el fin de
considerar como pueden usarse juntos

4. www.wondershare.com

6. El espíritu de la norma:
• Organización enfocada a los clientes.
• Liderazgo.
• Compromiso de todo el personal.
• Enfoque a procesos.
• Enfoque del sistema hacia la gestión.
• La mejora continua.
• Enfoque objetivo hacia la toma de decisiones.
• Relaciones mutuamente beneficiosas con los
proveedores.
Se centra en todos los elementos de
administración de calidad con los que
una empresa debe contar para tener
un sistema efectivo que le permita
administrar y mejorar la calidad de sus
productos o servicios.
normas9000.com

8. • Calidad, antiguo concepto
 Es el grado de acercamiento a unas especificaciones o patrones que
se consideran ideales.
 La calidad, solo afecta al fabricante, que es quien dictamina las
especificaciones de fabricación.
• Calidad, nuevo concepto
 Es el grado de acercamiento a las necesidades y expectativas de los
consumidores.
 Grado en el que un conjunto de características inherentes de un
producto, proceso o sistema CUMPLE con los requisitos.
La Calidad Total (Ishikawa)
(filosofía, cultura, estrategia).
El Aseguramiento de la Calidad
(sistema de prevención).
El Control de Calidad (Juran)
(inspección y ensayos).
In manufacturing, a measure of excellence or a state of being free from defects,
deficiencies and significant variations. It is brought about by strict and consistent
commitment to certain standards that achieve uniformity of a product in order
to satisfy specific customer or user requirements. ISO 8402-1986 standard
defines quality as "the totality of features and characteristics of a product or
service that bears its ability to satisfy stated or implied needs“.

10. “La reconcepción fundamental
y el rediseño radical de los
procesos de negocios para
lograr mejoras dramáticas en
medidas de desempeño tales
como en costos, calidad,
servicio y rapidez”
Hammer y Champy, “Más allá de la reingeniería”
Concentrarse en lo que una empresa “debe ser”
y no en lo que “es”
Tipos:
• Costo
• Competencia
• Exigencia
• Innovación
Transformación
X
%
Adaptación de Improven Consultores
- Kairu

11. Etiquetado

12. ORIENTACIÓN AL CLIENTE
COMPROMISO DEL
PERSONAL
DOCUMENTACIÓN
ADECUADA
ENFOQUE BASADO EN
PROCESOS
 Identificar requisitos
 Satisfacer requisitos
 Analizar satisfacción
 IDENTIFICAR procesos.
 DETERMINAR su secuencia e
interacción.
 ESTABLECER criterios para
controlarlos.
 REALIZAR seguimiento,
medición y análisis.
 Manual de la calidad
 Procedimientos documentados
(procedimiento establecido,
documentado, implementado y
mantenido)
 Documentos necesarios
 Registros (evidencia de
conformidad)
 Control de documentos
 Control registros
¡ Sin el compromiso del personal
de la organización no es posible el
éxito del Sistema !
Comprensión y el cumplimiento de
los requisitos.
Necesidad de considerar los
procesos en términos que aporten
valor.
Obtención de resultados del
desempeño y eficacia del proceso.
Mejora continua de los procesos
con base en mediciones objetivas.

13. 1. A set of detailed methods, procedures and routines created to carry out a
specific activity, perform a duty, or solve a problem.
2. An organized, purposeful structure that consists of interrelated and
interdependent elements (components, entities, factors, members, parts etc.).
These elements continually influence one another (directly or indirectly)
to maintain their activity and the existence of the system,
in order to achieve the goal of the system.
All systems have (a) inputs, outputs and feedback mechanisms, (b) maintain
an internal steady-state (called homeostasis) despite a changing external
environment, (c) display properties that are different than the whole
(called emergent properties) but are not possessed by any of
the individual elements, and (d) have boundaries that are usually defined by
the system observer. Systems underlie every phenomenon and all are part of a
larger system. Systems stop functioning when an element is removed or
changed significantly. Together, they allow understanding and interpretation
of the universe as a meta-system of interlinked wholes, and organize our
thoughts about the world.
Fuente: businessdictionary.com
Conjunto de elementos mutuamente
relacionados o que interactúan (ISO 9000).

14. • Sequence of interdependent and linked procedures which, at
every stage, consume one or
more resources (employee time, energy, machines, money) to convert
inputs (data, material, parts, etc.) into outputs. These outputs then
serve as inputs for the next stage until a known goal or end result is
reached.
Fuente: businessdictionary.com
Conjunto de actividades mutuamente
relacionadas que interactúan, las cuales
transforman elementos de entrada en
elementos de salida (implementacionsig.com).

15. ATRIBUTOS
• Definidos
• Documentados
• Comunicados
• Entendidos
• Repetibles
• Seguidos consistentemente
• Capacidad de realización
Entradas
PROVEEDOR
PROCESO
(Conjunto de
actividades
mutuamente
relacionadas o que
interactúan, las cuales
transforman
elementos de entrada
en resultados –
ISO9000)
Salidas
CLIENTE
Mecanismos y controles
Recursos
Requisitos Requisitos
• Datos
• Materia prima
• Materiales
• Servicios
• Sistemas de información útil y usable
• Producto terminado
• Servicio implementado
• Hardware instalado y configurado
ATRIBUTOS
• Predecibles
• Estables
• Consistentes
• Medidos
• Controlados
• Alcanzar resultados esperados
En un proceso las cosas deben
hacerse:
- En el momento preciso
- Por quien debe hacerlas
- De manera correcta
–> desde la primera vez
Procesos
anteriores
Procesos
posteriores
necesidad o expectativa
establecida, generalmente
implícita u obligatoria

17. • Diagramas
 De bloques
 De flujo
 Actividades (actores)
6W-2H:
What - Qué (objeto)
• ¿Qué hacer?
• ¿Qué se está haciendo?
• ¿Qué debería hacerse?
• ¿Qué otra cosa puede ser hecha?
• ¿Qué otra cosa debería hacerse?
Why - Por qué (propósito)
• ¿Por qué él/ ella lo hace?
• ¿Por qué lo hace?
• ¿Por qué lo hace allí?
• ¿Por qué de esta manera?
• ¿Por qué en ese momento?
Where - Dónde (localización)
• ¿Dónde hacerlo?
• ¿Dónde está siendo hecho?
• ¿Dónde debería ser hecho?
• ¿Dónde más puede hacerse?
• ¿Dónde más debería hacerse?
• ¿Por qué tiene que hacerse allí?
When - Cuándo (tiempo, secuencia)
• ¿Cuándo hacerlo?
• ¿Cuándo está siendo hecho?
• ¿Cuándo debería hacerse?
• ¿Es necesario hacerlo en ese momento?
Who - Quién (persona)
• ¿Quién hace la tarea?
• ¿Quién la está haciendo?
• ¿Quién debería estarla haciendo?
• ¿Quién más puede hacerla?
• ¿Quién más debería estar haciéndola?
• ¿Por qué soy yo (él/ella) el que hace
esto?
To Whom (a/para quién)
• ¿A quién le sirve?
• ¿Quién se beneficia a
continuación?
• ¿Quién emplea directamente
mi entregable?
How - Cómo (método)
• ¿Cómo hacerlo?
• ¿Cómo es hecho?
• ¿Cómo debería ser hecho?
• ¿Existe otra forma de
hacerlo?
• ¿Es ésta la mejor forma de
hacerlo?
How much - Cuánto (costo)
• ¿Cuánto cuesta?
• ¿Cuánto está costando?
• ¿Cuánto debería costar?
• ¿Cuánto deberíamos ahorrar?
How much - Cuánto (tiempo)
• ¿Cuánto toma?
• ¿Tiene un hito?

18. • Satisfacción del cliente.
• Flexibilidad ante requerimientos del cliente.
• Mayor conocimiento y control.
• Mejor flujo de información y materiales.
• Reducción de tiempos y costos.
• Reducción y/o eliminación de burocracia.
• Economía para la empresa.
• Mayor competitividad.
• Mejora de la cadena de valor.
• Innovación.
• Lograr resultados.

19. 3. NORMA ISO 9001:2000
Tipos de procesos
Estratégicos
“Aquéllos que
constituyen guías y
directrices para los
procesos clave y los
procesos de apoyo”
Ejemplo:
GESTIÓN DEL
SISTEMA DE LA
CALIDAD
Clave
“Aquéllos que tienen
impacto en el cliente
final creando valor
para éste”
Ejemplo:
GESTIÓN DE
RECURSOS DE LA
INFORMACIÓN
Apoyo
“Aquéllos que dan
apoyo a los procesos
clave. Su valor es
indirecto y
generalmente sus
clientes son internos”
Ejemplo:
GESTIÓN DEL
MANTENIMIENTO
DE INSTALACIONES

20. INSUMOS PRODUCTO
EFICIENCIA EFICACIA
LÓGICA PROCESAL LÓGICA DIRECCIONAL
EFECTOS
INDESEADOS
EFECTOS
DESEADOS
EFECTOS
SERENDIPÍTICOS
EFECTOS
ANTIPARÍSTASIS
EFECTIVIDAD
Antiparístasis: interacción de dos opuestos, uno de los
cuales, por su oposición, excita y aumenta la fuerza del
otro.
Serendipia: un descubrimiento científico afortunado e
inesperado que se ha realizado accidentalmente.
BALANCE
RESULTADOS
Capacidad
para lograr un
fin empleando
los mejores
medios
posibles
Capacidad para
lograr el efecto que
se desea o se
espera, sin que
primen para ello los
recursos o los
medios empleados
PROCESO PROCESO Cuantificación
del logro de una
meta
Calidad del producto al presentar el
máximo de efectos deseados y
mínimo de indeseados, reduciendo
así los reprocesos, retrabajos y el
desperdicio
Cantidad,
calidad,
espacio y
tiempo
PROCESO TÉCNICO
ESTRUCTURADO
NORMALIZADO
PROCESO TÉCNICO-
POLÍTICO REQUIERE
CONSTRUCCIÓN DE
VIABILIDAD

22. 3. NORMA ISO 9001:2000
“Pirámide documental”
CONTROL DOCUMENTOS
CONTROL REGISTROS
Documentos
complementarios
del Manual en los
que se da
respuesta a las
preguntas: ¿qué?,
¿quién?, ¿cómo?,
¿cuándo?,
¿dónde?

23. 3. NORMA ISO 9001:2000
Compromiso del personal

24. Fuente: Improven Consultores

27. 2. Clarificar y subdividir el problema Técnicas
Técnicas
Agrupación en 4M / Hoja de Datos
Cuantificación / Selección de causas a atacar / Pareto
Selección
Técnicas
Subdivisión en estratos
Listado de causas
Lista de chequeo / Elección (criterio entre los puntajes)
Subdivisiones posibles / Cuantif. en Pareto / D.Proc.
Diag. de Caracterización
Tormenta de ideas
Técnica de Grupo Nominal (TGN)
Matríz de Selección
3B. Listar las causas para cada subdivisión del estrato
3C. Agrupar en diagramas Causa-Efecto. Cuantificar
3D. Jerarquizar y seleccionar. Recoger soluciones obvias
2B. Sud-dividir el problema
2C. Escoger sub-divisiones y seleccionar estratos
3. Analizar las causas en su raíz
3A. Subdividir los estratos elegidos (si es posible)
1D Jerarquizar los más importantes
1E. Escoger y chequear el problema
1. Seleccionar el problema
1A. Caracterizar la unidad
1B. Listar los problemas
1C. Preseleccionar si es necesario

28. Chequear indicadores
Evaluar impacto de mejoras
Selección de soluciones
Diagrama de Gantt / 5W-H
Técnicas
Implantación de soluciones / verificación / Diagrama Gantt
Graduación de metas / Diagrama de enf. de causas
Técnicas
Listado de posibles soluciones
Técnicas
Definición de meta o nivel exigido
6A. Verificar el cumplimiento del programa
6B. Chequear los niveles alcanzados en los indicad.
6C. Evaluar el impacto de las mejoras incorporadas
5A. Listar las posibles soluciones
5B. Seleccionar las soluciones más factibles
5C. Programar las actividades de cada solución
6. Implantar y verificar las soluciones
4A. Establecer secuencia de ataque a causas raíces
4B. Definir el nivel exigido en el indicador
Presentación en la Feria de Proyectos de Mejora.
5. Definir y programar las soluciones.
4. Establecer niveles exigidos (metas)

29. Entrenamiento
Incorporación ala gestión
Reconocimiento y Difusión
Técnicas
Normalizar prácticas7A. Normalizar prácticas operativas
7B. Entrenamiento en los nuevos métodos
7C. Incorporar al Control de Gestión del Dpto.
7D. Reconocer y difundir resultados.
7. Acciones de garantía

30. • La adopción de un sistema de gestión de la calidad debería ser una decisión estratégica de la organización.
El diseño y la implementación del sistema de gestión de la calidad de una organización, están
influenciados por diferentes necesidades, objetivos particulares, los productos suministrados, los procesos
empleados y el tamaño y estructura de la organización. En general, algunos beneficios obtenidos son:
 Incrementar la satisfacción del cliente.
 Mejorar la productividad.
 Mejorar la posición o margen de maniobra de la organización.
 Orientar la cultura organizacional hacia la calidad.
 Involucrar y responsabilizar al personal.
 Optimizar los procesos.
 Lograr ventajas competitivas verdaderas y duraderas sobre la base de identificar las
oportunidades que permitan cumplir con las necesidades y expectativas de los clientes.
 Lograr confianza en todos los grupos de interés.
 Lograr que todos hagan lo que tienen que hacer.
 Accountability –rendición de cuentas. Una empresa tiene una ventaja competitiva cuando
implementa una estrategia creadora de valor que no
es implementada simultáneamente por sus
competidores. Esta ventaja competitiva es, además,
sostenible, cuando los competidores no pueden
duplicar los beneficios de esta estrategia.

31. • Optimización de los recursos.
• Los más altos niveles de eficiencia.
• Mejora en la producción.
• Estandarización de procesos.
• Reducir las incidencias de producción o prestación de servicios.
• Procesos de calidad garantizada.
• Disminuir re-procesos/re-trabajos.
• Igualdad técnica de productos y/o servicios.
• Elaboración de manuales y procedimientos.
• Estandarización y optimización de los métodos de trabajo.
• Medir y monitorear el desempeño de los procesos.
• Mejores métodos de medición y control.
• Mayor uniformidad en el trabajo.
• Reconocimiento, competencia, propiciador de ventaja competitiva.
• Alineamiento de procesos con objetivos del negocio.
• Gestión por indicadores.
• Menor tiempo de llegada al mercado.
• Mayor satisfacción de los clientes.
• Consistencia en la calidad del producto/servicio que recibe el cliente.
Es prudente que la
empresa defina
primero una cultura
orientada a la
excelencia; esto es,
crear las
condiciones
favorables para que
el nuevo sistema
tenga receptividad
en la
organización.
Necesidad

32. Los resultados
de un sondeo
de la Irwin
Professional
Publishing
demuestran
que:
Copyright www.normas9000.com
¿aplicado al
entorno de
la
institución?

33. www.wondershare.com

34. • Procesos no establecidos/estandarizados
• Servicios no están definidos
• Énfasis en la tecnología/productos
• Área de TI es reactiva
• Falta de alineamiento con el negocio
• Falta de comunicación en el área TI
• Falta de un enfoque de Gestión de Servicios
• El valor de TI al negocio no es visible

35. • Demostrar la contribución de TI en la satisfacción de las necesidades
del negocio.
• Realizar una contribución medible a la cadena de valor del negocio.
• Proporcionar servicios de TI en lugar de productos de TI (Soluciones
de negocio).
• Desarrollar una relación ágil con el negocio que se adapte a los
cambios.
• Entregar servicios de TI estables y consistentes.
• Hacer más efectiva al personal de la organización mediante los
servicios de TI.

36. • Servicio:
• Un servicio es un medio para entregar valor a los clientes facilitándoles un resultado
deseado sin la necesidad de que estos asuman los costes y riesgos específicos
asociados.

44. La especificación
supone un completo
sistema de gestión
(organizado según
ISO 9001) basado en
procesos de gestión
de servicio, políticas,
objetivos y controles.
Fuente: 20000.fwtk.org
La gestión de servicio IT es un enfoque de conducción de negocio "de arriba hacia abajo" de la
gerencia de IT. Específicamente, trata el valor estratégico del negocio generado por IT y la necesidad
de brindar servicios IT de alta calidad - no solamente en el final sino también para los clientes y su
interacción con el sistema
IT. intersek-sc.com (entidad certificadora)

45. • ISO 20000-1: Especificaciones
 Esta parte de la norma ISO 20000 establece los requisitos que
necesitan las empresas para diseñar, implementar y
mantener la gestión de servicios TI. Esta norma ISO 20000
plantea un mapa de procesos que permite ofrecer servicios
de TI con una calidad aceptable para los clientes.
• ISO 20000-2: Código de buenas prácticas
 Describe las mejoras prácticas adoptadas por la industria en
relación con los procesos de gestión del servicio TI, que
permite cubrir las necesidades de negocio del cliente, con los
recursos acordados, así como asumir un riesgo entendido y
aceptable.
• ISO 20000-3: Guía sobre la definición del alcance y
aplicabilidad de la norma ISO/IEC 20000-1
 Proporciona orientación sobre la definición del alcance,
aplicabilidad y la demostración de la conformidad con los
proveedores de servicios orientados a satisfacer los
requisitos de la norma ISO 20000-1, así como los
proveedores de servicios que están planeando mejoras en el
servicio con la intención de utilizar la norma como un
objetivo de negocio.

46. Planificación e Implementación de la gestión del servicio PDCA
Planificación e implementación de servicios, nuevos o modificados
Procesos de provisión de servicios
Procesos de control
Gestión de la configuración
Gestión del cambio
Proceso de
entrega
Gestión de la entrega
Proceso de
resolución
Gestión del incidente
Gestión del problema
Proceso de
relaciones
Gestión de relaciones con el
negocio
Gestión de suministradores
Planeamiento y
mejora a
largo plazo
Tareas
diarias
Gestión de Nivel de Servicio
Generación de Informes del
Servicio
Gestión de la Continuidad y
Disponibilidad del Servicio
Elaboración de Presupuesto y Contabilidad
de los Servicios de TI
Gestión de la Capacidad
Gestión de la Seguridad de la Información

47. ISO/IEC 20000 es aplicable a cualquier
organización, grande o pequeña, de
cualquier sector o parte del mundo,
que se base en servicios de TI

48. Fuente: Institute of IT Service Management

52. OTRAS RELACIONES DE PROCESOS
La conexión entre Incident Management (detección), Problem Management (diagnóstico), Change
Management (tiempo de reparación) y Availability Management se muestra en el siguiente diagrama:

54. Situación previa a la negociación
Valores
pretendidos
por cada
indicador
Usuarios
Negocio
Prestador
El nivel que se
necesita
El nivel que se
quiere
El nivel que se
puede
Situación posterior a la negociación
Valor
pretendido
por cada
indicador
Negocio
Usuarios
Prestador
El nivel que se
espera
(Un único
valor)
El usuario es
quien
determina el
nivel de
calidad en la
prestación del
servicio que
proporciona
cada
proveedor, de
acuerdo con
sus
necesidades y
expectativas

55. • Necesidades de los usuarios:
 Levantamiento de información.
 Consultoría.
• Recursos asignados:
 Cantidad.
 Experiencia.
 Calidad.
• Tiempo asignado:
 Planeamiento.
 Diseño / análisis.
 Coordinaciones.
 Investigación.
 Implementación.
• Alcances.
 Qué sí se hará.
• Exclusiones:
 Qué no se hará.
Costos
• Responsabilidades y límites
compartidos
• Métricas de Soporte
• Indicadores de rendimiento para el
servicio al cliente
• Indicadores de rendimiento para la
organización
• El precio de la no conformidad
Involucra
varias áreas
Aspectos fuera del alcance técnico
Aspectos de posible
resolución directa
Aspectos que
requieren
mayor
experiencia
Escalamiento
Límite
técnico
Límite funcional
Escalamiento

56. • Maximiza la calidad y productividad de los servicios.
• Entramos en un ciclo de mejora continua:
 Estrategia  Diseño  Transición  Operación  Mejora
• Aumenta la eficiencia en la gestión de los servicios TI.
• Reducción de riesgos
• Reducción de costos.
• Aumenta la satisfacción del Cliente.
• Visión clara de la capacidad del departamento de TI.
• Minimiza el tiempo de ciclo de cambios y mejorar resultados en
base a métricas.
• Toma de decisiones con base en indicadores de negocio y de TI.

57. • Alineamiento de TI con el negocio: TI orientada a servicios y no a
tecnología
• Incremento en la competitividad a través de la entrega de mejores
servicios a menor costo.
• Creación de un marco de referencia para el mejoramiento de
servicios.
• Enfoque a la creación de procesos pro-activos en vez de procesos
re-activos.
• Mejoramiento en las interdependencias y operaciones internas de
TI.
• La Gestión de las TIC mejora el posicionamiento del Dpto. de SI y
del CIO.
• En un futuro los CIO, más gestores y menos tecnólogos.

58. www.wondershare.com

59. • Evaluación y tratamiento del riesgo.
• Política de seguridad.
• Aspectos organizativos de la seguridad
de la información.
• Gestión de activos.
• Seguridad ligada a los recursos humanos.
• Seguridad física y ambiental.
• Gestión de comunicaciones y
operaciones.
• Control de acceso.
• Adquisición, desarrollo y mantenimiento
de los sistemas de información.
• Gestión de incidentes de seguridad de la
información.
• Gestión de la continuidad del negocio.
• Cumplimiento.

60. Desarrollo y
mantenimiento de
sistemas
Gestión de
operaciones y
comunicaciones
Gestión de
continuidad del
negocio
Seguridad
lógica
Seguridad
organizativa
Seguridad ligada al
personal
Gestión de
incidentes
Gestión de
activos
Aspectos
organizativos para la
seguridad
Política de seguridad
Seguridad física
Seguridad física y del
medio ambiente
Control de
accesos
Cumplimiento
Seguridad legal
11 dominios
39 categorías de seguridad
133 controles

61. SGSI: Sistema de
gestión de la seguridad
de la información
SOA (Statement of
Applicability): Declaración
de aplicabilidad

62. Línea base sobre la
que empezaremos
las auditorías
internas y externas
Mejora evidente
resultante de
sincerar el
trabajo
necesario para
acortar el GAP
Primer nivel de
madurez
alcanzado
Ámbito de la mejora
continua (madurar
cada vez más)

63. • Establecimiento de una metodología de gestión de la seguridad
clara y estructurada.
• Reducción del riesgo de pérdida, robo o corrupción de
información.
• Los clientes tienen acceso a la información a través medidas de
seguridad.
• Los riesgos y sus controles son continuamente revisados.
• Confianza de clientes y socios estratégicos por la garantía de
calidad y confidencialidad comercial.
• Las auditorías externas ayudan cíclicamente a identificar las
debilidades del sistema y las áreas a mejorar.
• Posibilidad de integrarse con otros sistemas de gestión (ISO 9001,
ISO 14001, OHSAS 18001…).

64. • Continuidad de las operaciones necesarias de negocio tras
incidentes de gravedad.
• Conformidad con la legislación vigente sobre información
personal, propiedad intelectual y otras.
• Imagen de empresa a nivel internacional y elemento diferenciador
de la competencia.
• Confianza y reglas claras para las personas de la organización.
• Reducción de costes y mejora de los procesos y servicio.
• Aumento de la motivación y satisfacción del personal.
• Aumento de la seguridad en base a la gestión de procesos en vez
de en la compra sistemática de productos y tecnologías.

66. • Una mayor concienciación del empleado por la seguridad, que suele ser uno
de los principales objetivos a lograr.
• La celebración de “comités de seguridad” con el objetivo de detectar
eventuales o reales “No conformidades” o acciones de mejora.
• La creación de un sistema de gestión de incidencias que recoja notificaciones
de los usuarios (los incidentes de seguridad deben ser reportados y
analizados).
• Sobre los logros en la seguridad diremos:
• La seguridad absoluta no existe, se trata de reducir el riesgo a niveles más
asumibles.
• No es un producto, debe ser entendida como un proceso.
• Tampoco es un proyecto, es más bien una actividad continua
• Requiere del soporte de la organización para tener éxito.
• Es inherente a los procesos de informática y del negocio.
Fuente: http://www.bureauveritas.es

67. • Demora en los tiempos de implantación, lo que puede reflejarse en un
aumento de los costes
• Temor del personal ante el cambio. Puede encontrar resistencia ante sus
propuestas.
• Pueden darse discrepancias importantes en los comités de seguridad por lo
que es bueno que haya comunicación interna y oportunidades de diálogo.
• Planes de formación inadecuados. Puede que los Planes de Formación no
sean los que necesitaba la organización.
• Establecer un calendario de revisiones que a priori que no se pueda cumplir.
• Encontrarnos con una definición poco clara del alcance.
• Se produce un exceso de medidas técnicas en detrimento de la formación y
concienciación del personal
• Falta de comunicación interna de los progresos al personal de la
organización.
Fuente: http://www.bureauveritas.es

68. • Siempre que sea posible intenta mantener la sencillez y restringirse a un
ámbito manejable y reducido (una entidad, un único centro de datos o un
área sensible concreta) .A partir de ese inicio, extender el modelo
implantado.
• Comprenda al detalle el proceso de implantación. Adquiera experiencia de
otras implantaciones, cursos apropiados de formación o con asesoramiento
de consultores adecuados.
• Asegúrese de gestionar el proyecto fijando los diferentes hitos con sus
objetivos y resultados.
• Cuente con autoridad y el compromiso decidido de la Dirección de la
compañía
• La certificación debe ser el objetivo, ya que asegura un mejor enfoque, un
objetivo más claro y palpable y por lo tanto, mejores opciones de éxito para
la organización.
Fuente: http://www.bureauveritas.es

69. • Aunque el objetivo sea conseguir la certificación ISO27001, aprenda y
recoja la información útil relativa a los procesos de auditoría.
• Sírvase de otros estándares como ISO9001 como estructura del
sistema y forma de trabajo, ahorrando tiempo y esfuerzo.
• Reserve la dedicación necesaria diaria o semanal para afrontar la
certificación. El personal involucrado en el proyecto debe ser capaz
de trabajar con continuidad para evitar indecisiones.
• Registre evidencias: al menos tres meses antes del intento de
certificación para demostrar que el SGSI funciona adecuadamente.
• Control de tests: hay certificaciones que no se logran debido a la
carencia de tests en el plan de recuperación de desastres.
Fuente: http://www.bureauveritas.es