Victor Gomez Romero, profile picture
Subido porVictor Gomez Romero
660 vistas

Taller T I C 090529

Este documento presenta una consultora gallega con 20 años de experiencia en asesoramiento a empresas y organismos públicos y privados. La consultora tiene conocimientos en procesos y sistemas de gestión en áreas como sistemas de gestión, mejora, innovación tecnológica, requisitos legales y reglamentarios, mercadeo y finanzas.

Incrustar presentación

QUEN SOMOS?  Consultora de orixe galego  Vinte anos de experiencia en asesoramento a empresas e organismos públicos e privados  Ámbito de coñecemento en procesos e sistemas de xestión | Sistemas de Xestión | Mellora | Innovación e Tecnoloxía | Requisitos legáis e reglamentarios | Mercantil | Fiscal | Financeira | Consultoría |
INDICE
Inspección Presentación Proyecto GRADIANT 10 de Julio de 2008 4
Control Presentación Proyecto GRADIANT 10 de Julio de 2008 5
Aseguramiento Presentación Proyecto GRADIANT 10 de Julio de 2008 6
Gestión Presentación Proyecto GRADIANT 10 de Julio de 2008
Excelencia Presentación Proyecto GRADIANT 10 de Julio de 2008 8
Evolución de los sistemas de gestión Competencia Global, Excelencia Resultados y Sostenibilidad Gestión Prevención y Mejora Continua Aseguramiento Prevención en toda la Organización Detección y Control corrección en el proceso Inspección Detección a posteriori Años 1940 1960 1970 1980 1990 2000
Qué entendemos por GESTIÓN? Planificar: Política, Objetivos, Recursos, Procesos, Productos, etc. Hacer: Procedimientos, Operaciones, etc. Comprobar: Inspecciones, ensayos, verificaciones, auditorías, etc. Actuar: Revisión, Análisis de datos, etc.
ACREDITACIÓN Procedimiento mediante el cual un Organismo autorizado (en España ENAC) reconoce formalmente que una organización es competente para la realización de una determinada actividad de evaluación de la conformidad. NORMALIZACIÓN acredita Actividad que aporta soluciones para aplicaciones repetitivas que se desenvuelven, CERTIFICACIÓN fundamentalmente, en el Actuación que realiza un organismo reconocido ámbito de la ciencia, la e independiente de las partes interesadas, y que tecnología y la economía, pone de manifiesto que un producto, servicio o con el fin de conseguir proceso está conforme con una norma una ordenación óptima de especifica u otro documento normativo. un determinado contexto. certifica PERSOAS PRODUCTOS SISTEMAS MARCADO CE SERVICIOS N+H
AGENCIA PARA LA CERTIFICACIÓN DE LA CALIDAD Y EL MEDIO AMBIENTE, S.L. (ACCM) AIDICO. ASOCIACIÓN DE INVESTIGACIÓN DE LAS INDUSTRIAS DE LA CONSTRUCCIÓN ASOCIAÇAO PORTUGUESA DE CERTIFICAÇAO (APCER) ASOCIACIÓN ESPAÑOLA DE NORMALIZACIÓN Y CERTIFICACIÓN (AENOR) ASOCIACION INSTITUTO DE NORMAS TECNICAS DE COSTA RICA, INTECO BRITISH STANDARS INSTITUTION ESPAÑA, S.A. BUREAU VERITAS QUALITY INTERNATIONAL ESPAÑA, S.A. C. D. Q. ITALIA, S.r.L., SUCURSAL EN ESPAÑA CALITAX CERTIFICACIÓN, S.L. D.QUALITAS CERTIFICACIÓN, S.A. DET NORSKE VERITAS ESPAÑA ECA CERT, Certificación, S.A. EDUQATIA INVESTIGACION Y CERTIFICACIÓN, S.L. EUROPEAN QUALITY ASSURANCE SPAIN, S.L. GERMANISCHER LLOYD CERTIFICATION SPAIN, S.L. INSPECCIÓN AUDITORÍA Y CERTIFICACIÓN, S.L. INSTITUTO VALENCIANO DE CERTIFICACIÓN (IVAC) LGAI TECHNOLOGICAL CENTER, S.A. LLOYD'S REGISTER QUALITY ASSURANCE LTD. (OPERACIONES ESPAÑA) SERVICIO DE CERTIFICACIÓN DE LA CÁMARA OFICIAL DE COMERCIO E INDUSTRIA DE MADRID SGS ICS IBERICA, S.A. SISTEMAS Y PROCESOS DE GESTIÓN, CERTIFICACIÓN, S.L. TÜV INTERNACIONAL GRUPO TÜV RHEINLAND, S.L.
ES NECESARIO NORMALIZAR EN EL ÁMBITO DE LAS TIC?
ES NECESARIO GESTIONAR EN EL ÁMBITO DE LAS TIC?
Gestión de las TIC… .... con criterios de negocio • Informe Penteo (2006): – Sólo un 21% de las organizaciones gestionan el dpto. de SI con criterios de negocio. – 31% gestionan el dpto. de SI sólo con criterios tecnológicos. – 48% gestionan con criterios híbridos. • Conclusiones: – La Dirección de las cías. tiene una percepción más positiva de los CIOs que siguen criterios de Negocio. Les dan el rol de líderes contribuidores de negocio en un 58%. – La Gestión de las TICs mejora el posicionamiento del dpto. de SI y del CIO. – En un futuro los CIOs más gestores y menos tecnólogos. NOTA: Encuesta a 85 Directores de TICs, 36 Dir. Generales y 12 Presidentes.
Referentes normativos para el sector TIC
• Las organizaciones requieren los servicios de TI • Los usuarios y clientes requieren mayores recursos y servicios avanzados • Amplio rango de tecnologías disponibles • Poco tiempo para la planificación de TI (trabajo reactivo) • Se necesita una gestión de servicios de TI efectiva para cumplir las demandas (p.e. para entregar niveles altos de servicio y satisfacción al cliente)
ISO/IEC 20000 • Es el primer estándar mundial para Gestión de servicios de TI (IT service management) y es totalmente compatible y soportado por el marco de ITIL (IT Infrastructure Library). • Referencia: boletín de prensa ―Announcing ISO/IEC 20000, the new International IT Service Management standard‖itsmf2005 • Fue preparado por BSI y fue adoptado bajo un procedimiento especial de ―fast track‖por ISO e IEC.ISO (the International Organization for Standardization) e IEC (the International ElectrotechnicalCommission) forman el sistema especializado para estandarización mundial. • Consiste de dos documentos, bajo el título general Information technology—Service management • Es una especificación que contiene un modelo de gestión de servicios basado en procesos y en las mejores prácticas de la industria, que proporciona una guía para la gestión y auditoría de servicios de TI.
ISO/IEC 20000 • ISO/IEC 20000 constituye la primera normativa a nivel internacional para Gestión de Servicios TI • Totalmente alineable con ITIL (de hecho son totalmente complementarias). • Surge a raíz de la entrada a escena de BS 15000, desarrollada por BSI para el Reino Unido. ISO e IEC adoptaron y adaptaron vía fast track BS 15000 como ISO/IEC 20000. Se suele hablar de este estándar en estos términos, pero el mismo incluye dos partes: – ISO 20000-1.- Information Technology - Service Management. Part I: Specification. Es la especificación para la implantación del sistema según dicha norma. – ISO 20000-2.- Information Technology - Service Management. Part II: Code of Practice. Es un código de prácticas que facilitan la implantación del sistema. • Ambas normas siguen una estructura en espíritu similar a BS 7799-1 / BS 7799-2, BS 25999-1 / BS 25999-2, etc. • Totalmente integrable con ISO 27001 e ISO 9001 • Especificación que contiene un modelo de gestión de servicios basado en procesos y en las mejores prácticas de la industria, que proporciona una guía para la gestión y auditoría de servicios de TI.
Relacion ITIL / ISO 20000
ISO 20000 vs ISO 9001 • ISO 9001 es un estándar de gestión de la calidad de aplicación general que puede ser empleado por todas la organizaciones sin importar su tipo, tamaño y producto/servicio suministrado. No evalúa específicamente los procesos de gestión de servicios de TI. • ISO/IEC 20000 es el primer estándar internacional específico para la Gestión de Servicios de TI • ISO/IEC 20000 integra el enfoque basado en procesos del estándar ISO 9001:2000 incluyendo el ciclo Plan-Do-Check-Act (PDCA) y requerimientos para la mejora continua. Metodología PDCA según ISO/IEC 20000 Metodología PDCA según ISO 9001 Mejora continua del sistema de gestión de la calidad Requisitos del negocio Gestión de Servicio Responsabilidad de la Dirección Requisitos del negocio Requisitos del cliente PLANIFICAR Planificar la Requisitos del cliente Responsabilidad gestión de servicio de la dirección Solicitud de servicios nuevos o modificados Clientes Clientes Solicitud de servicios REALIZAR nuevos o modificados Otros procesos de ACTUAR Implementar la Gestión de los Medición, análisis negocio, proveedor, Mejora continua Satisfacción gestión de servicio recursos y mejora cliente, etc. Otros procesos de negocio, proveedor, Centro de servicio al cliente, etc. usuario Salidas Entradas Realización COMPROBAR Requisitos Producto Centro de servicio al del producto Monitorizar, medir Otros equipos, p.ej. y revisar usuario Seguridad, operaciones de TI, etc. - 25 -
ISO/IEC 20000 | ITIL | UNE EN ISO 9001 ISO/IEC 20000-1 ITIL v3 UNE-EN-ISO 9001 6 Procesos de provisión del servicio SD Gestión del nivel de servicio 6.1. Gestión del nivel de servicio SD Gestión del catalogo de servicios 6.2. Generación de informes de servicio SD Gestión del nivel de servicio SD Gestión de la continuidad de los servicios IT 6.3. Gestión de la continuidad y disponibilidad del servicio SD Gestión de la disponibilidad 6.4. Presupuestar y contabilizar servicios TI SS Gestión financiera 6.5. Gestión de la capacidad SS Gestión de la capacidad SS Gestión de la seguridad IT 6.6. Gestión de la seguridad de la información SD Gestión del riesgo 7. Procesos de relación 7.2 Procesos relacionados con el cliente SS Gestión de la cartera de servicios Determinación de los requisitos relacionados con el 7.2.1 7.2. Gestión de relaciones con el negocio SD Gestión del nivel de servicio producto 7.2.2 Revisión de los requisitos relacionados con el producto CSI Mejora Continua del Servicio 7.2.3 Comunicación con el cliente 7.4.1 Proceso de compras 7.3. Gestión de suministradores SD Gestión de proveedores 7.4.2 Información de las compras 7.4.3 Verificación de los productos comprados 8. Procesos de resolución 8.2. Gestión del incidente SO Gestión de incidencias 8.3 Control del producto no conforme 8.3. Gestión del problema SO Gestión de problemas 9. Procesos de control 9.1. Gestión de la configuración ST Gestión de configuraciones y activos 6.3 Infraestructura 9.2. Gestión del cambio ST Gestión del cambio 10. Proceso de entrega 7.5.1 Control de la producción y de la prestación del servicio Gestión de liberaciones de nuevas versiones e ST Validación de los procesos de la producción y prestación implantaciones 7.5.2 10.1. Proceso de gestión de la entrega del servicio 7.5.3 Identificación y trazabilidad ST Validación y prueba del servicio 8.2.1 Satisfacción del cliente
Amenazas Errores Errores de configuración Virus de Destrucción del software Revelación de usuarios de la Fallos en las contraseñas de acceso información comunicaciones Divulgación de información confidencial Acceso no autorizado Robo Desastres naturales: fuego, Cortes de No disponibilidad inundación… suministro de Averías de los equipos de información energía clave Abuso de privilegios en el Vulnerabilidades de los acceso a la información programas
ISO/IEC 27000 • ISO/IEC 27000 es un conjunto de estándares desarrollados por ISO (International Organization for Standarization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña. • Tiene su origen en la norma BS 7799 de BSI, que es publicada en 1995, con objeto de proporcionar a cualquier empresa un conjunto de buenas prácticas para la gestión de la seguridad de su información. • Las principales normas de esta serie son: • ISO 27000: Términos y definiciones • ISO 27001: Requisitos del sistema de gestión de seguridad de la información. • ISO 27002 (ISO 17799): Guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. • ISO 27003: En desarrollo. Guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los requerimientos de sus diferentes fases. • ISO 27004: En desarrollo. Especificará las métricas y las técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados. • ISO 27005: En desarrollo. Guía para la gestión del riesgo de la seguridad de la información • ISO 27006: Requisitos para la acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información.
ISO/IEC 27001:2005. Requisitos para la implantación de un Sistema de Gestión de Seguridad de la Información (SGSI). • No está orientada a despliegues tecnológicos o de infraestructura, sino a aspectos netamente organizativos, es decir, se trata de “Organizar la seguridad de la información”. • Características: • Enfoque a procesos. • Modelo PDCA (Plan-Do-Check-Act) • Planificar: crear el SGSI • Hacer: Implementación y operación del SGSI • Verificar: supervisión y revisión del SGSI • Actuar: mantenimiento y mejora del SGSI • Compatibilidad con otros sistemas de gestión: • Calidad: ISO 9001:2008 • Medio ambiente: ISO 14001:2004 • Aplicabilidad a todas las organizaciones, cualquiera que sea su tipo, tamaño y naturaleza. • El objetivo es preservar la confidencialidad, integridad y disponibilidad de la información.
Definiciones • Confidencialidad: La propiedad por la que la información no se pone a disposición o se revela a individuos, entidades o procesos no autorizados. • Integridad: La propiedad de salvaguardar la exactitud y completitud de los activos(*). • Disponibilidad: La propiedad de ser accesible y utilizable por una entidad autorizada. • Activo: Cualquier bien que tiene valor para la organización. Ejemplos de categorías de activos: hardware, software, datos/información, redes de comunicaciones…
Implantación • Definición del alcance y límites del SGSI. • Definición de la política del SGSI. • Evaluación de riesgos: • Definir la metodología de evaluación de riesgos (ej. Magerit, Cobit, …). • Establecer criterios de aceptación del riesgo. • Identificar los riesgos: • Identificación de activos: Servicios, Datos/Información, SW, HW, Redes de comunicaciones, Soportes de Información, Equipamiento Auxiliar, Instalaciones, Personal. • Identificación de amenazas: desastres naturales (fuego, inundación…), errores no intencionados (errores de administración de sistemas, errores de monitorización…), ataques intencionados (difusión de software dañino, accesos no autorizados…) • Identificación de vulnerabilidades bajo las que podrían actuar las amenazas: programa antivirus sin actualizar, sistemas configurados incorrectamente…. • Identificación de impactos: daño sobre el activo en caso de materializarse la amenaza (pérdida de disponibilidad, integridad, confidencialidad). Estimación del riesgo: impacto x probabilidad de materialización de la amenaza.
Implantación • Tratamiento del riesgo: • Establecer un criterio para la aceptación del riesgo. • Plan de Tratamiento de Riesgos: • Aplicar controles adecuados (según Anexo A). • Aceptar los riesgos. • Transferir el riesgo (contratación de seguros, …). • Evitar el riesgo (dejar de realizar determinadas actividades, …). • Nueva valoración del riesgos tras haber aplicado el Plan de Tratamiento Riesgo residual
Objetivos de control y controles (Anexo A ISO/IEC 27001:2005) Objetivo: asegurar que los riesgos se reducen a un nivel aceptable. • Control: medida de seguridad a implantar para el tratamiento de los riesgos identificados. • 11 categorías (A.5-A.15). • 133 controles • A.5. Política de seguridad (2 controles). • A.6. Aspectos organizativos de la seguridad de la información (11 controles). • A.7. Gestión de activos (5 controles). • A.8. Seguridad ligada a los recursos humanos (9 controles). • A.9. Seguridad física y ambiental (13 controles). • A.10. Gestión de comunicaciones y operaciones (32 controles). • A.11. Control de acceso (25 controles). • A.12. Adquisición, desarrollo y mantenimiento de los sistemas de información (16 controles). • A.13. Gestión de incidentes de seguridad de la información (5 controles). • A.14. Gestión de la continuidad del negocio (5 controles). • A.15. Cumplimiento (10 controles).
Documentación del SGSI • Política de SGSI. • Objetivos del SGSI. • Definición del alcance. • Descripción de la metodología de análisis de riesgos. • Análisis de riesgos. • Plan de tratamiento de riesgos. • Procedimientos documentados: • Control de la Documentación • Control de los Registros • Competencia y Formación • Auditorías Internas • Revisión del Sistema por la dirección • Acciones Correctivas y Preventivas • Procedimientos que aseguren la correcta planificación, operación y control de los procesos de seguridad de la información. • Declaración de Aplicabilidad: • Es un requisito imprescindible para aquellos SGSI que se quieran certificar. • Proporciona la justificación para la aplicación o no de cada control ISO 27001.
Serafín Avendaño, 18 Interior. Oficina 17 36201 · VIGO (Pontevedra) · España  +34 986 22 66 16  +34 986 22 46 93 Parque de San Lázaro nº 8, 3 izquierda 32003 · OURENSE · España  +34 988 51 01 51 / 01  +34 988 21 97 00 Presentación Proyecto GRADIANT Presentación proyecto ISO 9001 COAG 10 de Julio de 2008 de 2008 40 40 17 de Septiembre

Más contenido relacionado

PDF
Iso 20000 1- desayuno espiral-aenor chile
porSIIGroup_CVTeamchile
 
PPTX
Material para el participante
porLandy Delgadillo Pérez
 
PPT
SEMTUR PRESENTACION IBNORCA
porhdbolivia
 
PDF
Normas iso-lectura
porjerapafe
 
DOCX
Cultura de calidad
porFernando Ramirez
 
PDF
I foro de gestión pymes software - Aenor
porEOI Escuela de Organización Industrial
 
PPT
IT360.es. Gestión de servicios IT/ ISO 20000. turisTEC Palma de Mallorca, Abr...
porToni Martin Avila
 
PDF
DIPLOMADO INTERNACIONAL “SISTEMAS INTEGRADOS DE GESTIÓN DE LA CALIDAD, AMBIEN...
porCESAP ALTOS ESTUDIOS
 
Iso 20000 1- desayuno espiral-aenor chile
porSIIGroup_CVTeamchile
 
Material para el participante
porLandy Delgadillo Pérez
 
SEMTUR PRESENTACION IBNORCA
porhdbolivia
 
Normas iso-lectura
porjerapafe
 
Cultura de calidad
porFernando Ramirez
 
I foro de gestión pymes software - Aenor
porEOI Escuela de Organización Industrial
 
IT360.es. Gestión de servicios IT/ ISO 20000. turisTEC Palma de Mallorca, Abr...
porToni Martin Avila
 
DIPLOMADO INTERNACIONAL “SISTEMAS INTEGRADOS DE GESTIÓN DE LA CALIDAD, AMBIEN...
porCESAP ALTOS ESTUDIOS
 

La actualidad más candente

PDF
NORMAS 17021 y 28003
porCONSULTORES & AUDITORES EN GESTION S.A.S
 
PPT
Norma ISO 9000 2000 Como Sistema de Gestión de la Calidad
porJuan Carlos Fernandez
 
DOCX
Servicios sistemas de gestión BBG
porBio Business Group
 
DOCX
Taller Semana 2 Clases De Sistemas De GestióN
porgladysestela
 
PDF
Manual de-calidad-del-it-campeche
porxoan prado
 
PDF
Auditor interno
porOverallhealth En Salud
 
PPTX
Iso 9001 2015 trabajo 2
porenyelmontero
 
PPTX
Ambito 6 REG Gestión de Registros
porYerko Bravo
 
PPT
Presentación Calidad Institución educativa
pormorenocrespo
 
PDF
Malla Diplomado en Sistemas Integrados de Gestión
porCESAP ALTOS ESTUDIOS
 
PPT
Implementación de ISO 9000
porJuan Carlos Fernandez
 
PPT
ISO 9000 Versión 2000
porJuan Carlos Fernandez
 
PDF
Ruta de implementación y principales novedades de la segunda edición de la No...
porInteli
 
PDF
Memorias Aranda webCast Estandarizando la Gestión de Servicios TI con ISO 20000.
porAranda Software
 
PPT
Procesos avanzados de gestión ii
porVideoconferencias UTPL
 
PPT
Procesos normativos en calidad tic
porITsencial
 
PPTX
Iso 20000
porRubén Darío Layme Velásquez
 
PDF
Aspectos generales del Gobierno TI- Calidad TIC
porToni Martin Avila
 
PDF
Proceso de certificación ISO / IEC 20000-1
porNYCE
 
PDF
Iso 9000 2000 (es)
pordulcementefanny
 
NORMAS 17021 y 28003
porCONSULTORES & AUDITORES EN GESTION S.A.S
 
Norma ISO 9000 2000 Como Sistema de Gestión de la Calidad
porJuan Carlos Fernandez
 
Servicios sistemas de gestión BBG
porBio Business Group
 
Taller Semana 2 Clases De Sistemas De GestióN
porgladysestela
 
Manual de-calidad-del-it-campeche
porxoan prado
 
Auditor interno
porOverallhealth En Salud
 
Iso 9001 2015 trabajo 2
porenyelmontero
 
Ambito 6 REG Gestión de Registros
porYerko Bravo
 
Presentación Calidad Institución educativa
pormorenocrespo
 
Malla Diplomado en Sistemas Integrados de Gestión
porCESAP ALTOS ESTUDIOS
 
Implementación de ISO 9000
porJuan Carlos Fernandez
 
ISO 9000 Versión 2000
porJuan Carlos Fernandez
 
Ruta de implementación y principales novedades de la segunda edición de la No...
porInteli
 
Memorias Aranda webCast Estandarizando la Gestión de Servicios TI con ISO 20000.
porAranda Software
 
Procesos avanzados de gestión ii
porVideoconferencias UTPL
 
Procesos normativos en calidad tic
porITsencial
 
Iso 20000
porRubén Darío Layme Velásquez
 
Aspectos generales del Gobierno TI- Calidad TIC
porToni Martin Avila
 
Proceso de certificación ISO / IEC 20000-1
porNYCE
 
Iso 9000 2000 (es)
pordulcementefanny
 

Similar a Taller T I C 090529

PPT
Sistemas de Calidad ISO 9001
porEuQuality
 
PDF
Normas (estándares) ISO relativas a TICs
porEOI Escuela de Organización Industrial
 
PPSX
Certificacion de un sistema de calidad ISO y NICC1
porAudinfor
 
PDF
3º Webinar EXIN en Castellano - ISO20k Y Cloud
porEXIN
 
PDF
Alejandro Debenedet Iso20000 Review Seminario Aepdp Pc Format Spa Jun...
porAlejandro Debenedet
 
PDF
Evolucion de la calidad
porGuido Paul Miniguano Miniguano
 
DOCX
Iso 20000
porRubén Darío Layme Velásquez
 
DOC
Taller tema2fudamentacion
porvanexa25
 
PDF
Dossier empresa ascêndia reingeniería + consultoría
porascêndia reingeniería + consultoría
 
PDF
La Importancia de los procesos de Seguridad en la Información, por Maximilian...
porForo Global Crossing
 
PPTX
ISO 20000 para proveedores internos de TI
porMateos Consultores
 
PPTX
Iso's
porBeto Vega
 
PPTX
ISO
porEinsamkeit Angst
 
PPT
008 alvances y beneficios 29
porMANUEL GARCIA
 
PDF
Webinar iso200000 la_importancia_de_iso20000_en_itsm_v1
porLuis Moran Abad
 
PDF
ISO 20000. GESTIÓN DE SERVICIOS TI
porascêndia reingeniería + consultoría
 
DOC
Sistemas De Gestion
poryajaira mosquera
 
PPT
Pedro Espino Vargas - Calidad total
porDr. Pedro Espino Vargas
 
PDF
19º Webinar EXIN en Castellano: Beneficios de ISO 20000 para la persona y par...
porEXIN
 
PDF
Márcio Viegas, Director General, BSI Iberia/BSI France. IV Conferencia sobre ...
porEOI Escuela de Organización Industrial
 
Sistemas de Calidad ISO 9001
porEuQuality
 
Normas (estándares) ISO relativas a TICs
porEOI Escuela de Organización Industrial
 
Certificacion de un sistema de calidad ISO y NICC1
porAudinfor
 
3º Webinar EXIN en Castellano - ISO20k Y Cloud
porEXIN
 
Alejandro Debenedet Iso20000 Review Seminario Aepdp Pc Format Spa Jun...
porAlejandro Debenedet
 
Evolucion de la calidad
porGuido Paul Miniguano Miniguano
 
Iso 20000
porRubén Darío Layme Velásquez
 
Taller tema2fudamentacion
porvanexa25
 
Dossier empresa ascêndia reingeniería + consultoría
porascêndia reingeniería + consultoría
 
La Importancia de los procesos de Seguridad en la Información, por Maximilian...
porForo Global Crossing
 
ISO 20000 para proveedores internos de TI
porMateos Consultores
 
Iso's
porBeto Vega
 
ISO
porEinsamkeit Angst
 
008 alvances y beneficios 29
porMANUEL GARCIA
 
Webinar iso200000 la_importancia_de_iso20000_en_itsm_v1
porLuis Moran Abad
 
ISO 20000. GESTIÓN DE SERVICIOS TI
porascêndia reingeniería + consultoría
 
Sistemas De Gestion
poryajaira mosquera
 
Pedro Espino Vargas - Calidad total
porDr. Pedro Espino Vargas
 
19º Webinar EXIN en Castellano: Beneficios de ISO 20000 para la persona y par...
porEXIN
 
Márcio Viegas, Director General, BSI Iberia/BSI France. IV Conferencia sobre ...
porEOI Escuela de Organización Industrial
 

Más de Victor Gomez Romero

PDF
Marketing en redes sociales
porVictor Gomez Romero
 
PDF
Conversación digital para captar y fidelizar a nuestros clientes
porVictor Gomez Romero
 
PDF
Gastrorelatos
porVictor Gomez Romero
 
PDF
Marketing para restaurantes. Presentacion Restauraaccion v3
porVictor Gomez Romero
 
PDF
Marketing de contenidos. Estrategias de comunicacion 2.0
porVictor Gomez Romero
 
PDF
#fototapa
porVictor Gomez Romero
 
PDF
Marketing para restaurantes
porVictor Gomez Romero
 
PDF
Presentaciones Zen
porVictor Gomez Romero
 
PDF
Innovaaccion
porVictor Gomez Romero
 
PDF
Innovaaccion
porVictor Gomez Romero
 
PDF
Dossier MeM
porVictor Gomez Romero
 
PDF
Integracion Sistemas 9000 166002
porVictor Gomez Romero
 
PDF
Adv Innovacion 081108
porVictor Gomez Romero
 
PDF
Adv 091023 Herramientas De Mejora
porVictor Gomez Romero
 
PDF
Guia Implantacion Sistema Indicadores
porVictor Gomez Romero
 
Marketing en redes sociales
porVictor Gomez Romero
 
Conversación digital para captar y fidelizar a nuestros clientes
porVictor Gomez Romero
 
Gastrorelatos
porVictor Gomez Romero
 
Marketing para restaurantes. Presentacion Restauraaccion v3
porVictor Gomez Romero
 
Marketing de contenidos. Estrategias de comunicacion 2.0
porVictor Gomez Romero
 
#fototapa
porVictor Gomez Romero
 
Marketing para restaurantes
porVictor Gomez Romero
 
Presentaciones Zen
porVictor Gomez Romero
 
Innovaaccion
porVictor Gomez Romero
 
Innovaaccion
porVictor Gomez Romero
 
Dossier MeM
porVictor Gomez Romero
 
Integracion Sistemas 9000 166002
porVictor Gomez Romero
 
Adv Innovacion 081108
porVictor Gomez Romero
 
Adv 091023 Herramientas De Mejora
porVictor Gomez Romero
 
Guia Implantacion Sistema Indicadores
porVictor Gomez Romero
 

Taller T I C 090529

  • 2.
    QUEN SOMOS?  Consultora de orixe galego  Vinte anos de experiencia en asesoramento a empresas e organismos públicos e privados  Ámbito de coñecemento en procesos e sistemas de xestión | Sistemas de Xestión | Mellora | Innovación e Tecnoloxía | Requisitos legáis e reglamentarios | Mercantil | Fiscal | Financeira | Consultoría |
  • 3.
  • 4.
    Inspección PresentaciónProyecto GRADIANT 10 de Julio de 2008 4
  • 5.
    Control PresentaciónProyecto GRADIANT 10 de Julio de 2008 5
  • 6.
    Aseguramiento PresentaciónProyecto GRADIANT 10 de Julio de 2008 6
  • 7.
    Gestión PresentaciónProyecto GRADIANT 10 de Julio de 2008
  • 8.
    Excelencia PresentaciónProyecto GRADIANT 10 de Julio de 2008 8
  • 9.
    Evolución de lossistemas de gestión Competencia Global, Excelencia Resultados y Sostenibilidad Gestión Prevención y Mejora Continua Aseguramiento Prevención en toda la Organización Detección y Control corrección en el proceso Inspección Detección a posteriori Años 1940 1960 1970 1980 1990 2000
  • 10.
    Qué entendemos porGESTIÓN? Planificar: Política, Objetivos, Recursos, Procesos, Productos, etc. Hacer: Procedimientos, Operaciones, etc. Comprobar: Inspecciones, ensayos, verificaciones, auditorías, etc. Actuar: Revisión, Análisis de datos, etc.
  • 11.
    ACREDITACIÓN Procedimiento mediante el cual un Organismo autorizado (en España ENAC) reconoce formalmente que una organización es competente para la realización de una determinada actividad de evaluación de la conformidad. NORMALIZACIÓN acredita Actividad que aporta soluciones para aplicaciones repetitivas que se desenvuelven, CERTIFICACIÓN fundamentalmente, en el Actuación que realiza un organismo reconocido ámbito de la ciencia, la e independiente de las partes interesadas, y que tecnología y la economía, pone de manifiesto que un producto, servicio o con el fin de conseguir proceso está conforme con una norma una ordenación óptima de especifica u otro documento normativo. un determinado contexto. certifica PERSOAS PRODUCTOS SISTEMAS MARCADO CE SERVICIOS N+H
  • 12.
    AGENCIA PARA LACERTIFICACIÓN DE LA CALIDAD Y EL MEDIO AMBIENTE, S.L. (ACCM) AIDICO. ASOCIACIÓN DE INVESTIGACIÓN DE LAS INDUSTRIAS DE LA CONSTRUCCIÓN ASOCIAÇAO PORTUGUESA DE CERTIFICAÇAO (APCER) ASOCIACIÓN ESPAÑOLA DE NORMALIZACIÓN Y CERTIFICACIÓN (AENOR) ASOCIACION INSTITUTO DE NORMAS TECNICAS DE COSTA RICA, INTECO BRITISH STANDARS INSTITUTION ESPAÑA, S.A. BUREAU VERITAS QUALITY INTERNATIONAL ESPAÑA, S.A. C. D. Q. ITALIA, S.r.L., SUCURSAL EN ESPAÑA CALITAX CERTIFICACIÓN, S.L. D.QUALITAS CERTIFICACIÓN, S.A. DET NORSKE VERITAS ESPAÑA ECA CERT, Certificación, S.A. EDUQATIA INVESTIGACION Y CERTIFICACIÓN, S.L. EUROPEAN QUALITY ASSURANCE SPAIN, S.L. GERMANISCHER LLOYD CERTIFICATION SPAIN, S.L. INSPECCIÓN AUDITORÍA Y CERTIFICACIÓN, S.L. INSTITUTO VALENCIANO DE CERTIFICACIÓN (IVAC) LGAI TECHNOLOGICAL CENTER, S.A. LLOYD'S REGISTER QUALITY ASSURANCE LTD. (OPERACIONES ESPAÑA) SERVICIO DE CERTIFICACIÓN DE LA CÁMARA OFICIAL DE COMERCIO E INDUSTRIA DE MADRID SGS ICS IBERICA, S.A. SISTEMAS Y PROCESOS DE GESTIÓN, CERTIFICACIÓN, S.L. TÜV INTERNACIONAL GRUPO TÜV RHEINLAND, S.L.
  • 13.
    ES NECESARIO NORMALIZAREN EL ÁMBITO DE LAS TIC?
  • 14.
    ES NECESARIO GESTIONAREN EL ÁMBITO DE LAS TIC?
  • 15.
    Gestión de lasTIC… .... con criterios de negocio • Informe Penteo (2006): – Sólo un 21% de las organizaciones gestionan el dpto. de SI con criterios de negocio. – 31% gestionan el dpto. de SI sólo con criterios tecnológicos. – 48% gestionan con criterios híbridos. • Conclusiones: – La Dirección de las cías. tiene una percepción más positiva de los CIOs que siguen criterios de Negocio. Les dan el rol de líderes contribuidores de negocio en un 58%. – La Gestión de las TICs mejora el posicionamiento del dpto. de SI y del CIO. – En un futuro los CIOs más gestores y menos tecnólogos. NOTA: Encuesta a 85 Directores de TICs, 36 Dir. Generales y 12 Presidentes.
  • 17.
  • 20.
    • Las organizacionesrequieren los servicios de TI • Los usuarios y clientes requieren mayores recursos y servicios avanzados • Amplio rango de tecnologías disponibles • Poco tiempo para la planificación de TI (trabajo reactivo) • Se necesita una gestión de servicios de TI efectiva para cumplir las demandas (p.e. para entregar niveles altos de servicio y satisfacción al cliente)
  • 21.
    ISO/IEC 20000 • Es el primer estándar mundial para Gestión de servicios de TI (IT service management) y es totalmente compatible y soportado por el marco de ITIL (IT Infrastructure Library). • Referencia: boletín de prensa ―Announcing ISO/IEC 20000, the new International IT Service Management standard‖itsmf2005 • Fue preparado por BSI y fue adoptado bajo un procedimiento especial de ―fast track‖por ISO e IEC.ISO (the International Organization for Standardization) e IEC (the International ElectrotechnicalCommission) forman el sistema especializado para estandarización mundial. • Consiste de dos documentos, bajo el título general Information technology—Service management • Es una especificación que contiene un modelo de gestión de servicios basado en procesos y en las mejores prácticas de la industria, que proporciona una guía para la gestión y auditoría de servicios de TI.
  • 22.
    ISO/IEC 20000 •ISO/IEC 20000 constituye la primera normativa a nivel internacional para Gestión de Servicios TI • Totalmente alineable con ITIL (de hecho son totalmente complementarias). • Surge a raíz de la entrada a escena de BS 15000, desarrollada por BSI para el Reino Unido. ISO e IEC adoptaron y adaptaron vía fast track BS 15000 como ISO/IEC 20000. Se suele hablar de este estándar en estos términos, pero el mismo incluye dos partes: – ISO 20000-1.- Information Technology - Service Management. Part I: Specification. Es la especificación para la implantación del sistema según dicha norma. – ISO 20000-2.- Information Technology - Service Management. Part II: Code of Practice. Es un código de prácticas que facilitan la implantación del sistema. • Ambas normas siguen una estructura en espíritu similar a BS 7799-1 / BS 7799-2, BS 25999-1 / BS 25999-2, etc. • Totalmente integrable con ISO 27001 e ISO 9001 • Especificación que contiene un modelo de gestión de servicios basado en procesos y en las mejores prácticas de la industria, que proporciona una guía para la gestión y auditoría de servicios de TI.
  • 24.
    Relacion ITIL /ISO 20000
  • 25.
    ISO 20000 vsISO 9001 • ISO 9001 es un estándar de gestión de la calidad de aplicación general que puede ser empleado por todas la organizaciones sin importar su tipo, tamaño y producto/servicio suministrado. No evalúa específicamente los procesos de gestión de servicios de TI. • ISO/IEC 20000 es el primer estándar internacional específico para la Gestión de Servicios de TI • ISO/IEC 20000 integra el enfoque basado en procesos del estándar ISO 9001:2000 incluyendo el ciclo Plan-Do-Check-Act (PDCA) y requerimientos para la mejora continua. Metodología PDCA según ISO/IEC 20000 Metodología PDCA según ISO 9001 Mejora continua del sistema de gestión de la calidad Requisitos del negocio Gestión de Servicio Responsabilidad de la Dirección Requisitos del negocio Requisitos del cliente PLANIFICAR Planificar la Requisitos del cliente Responsabilidad gestión de servicio de la dirección Solicitud de servicios nuevos o modificados Clientes Clientes Solicitud de servicios REALIZAR nuevos o modificados Otros procesos de ACTUAR Implementar la Gestión de los Medición, análisis negocio, proveedor, Mejora continua Satisfacción gestión de servicio recursos y mejora cliente, etc. Otros procesos de negocio, proveedor, Centro de servicio al cliente, etc. usuario Salidas Entradas Realización COMPROBAR Requisitos Producto Centro de servicio al del producto Monitorizar, medir Otros equipos, p.ej. y revisar usuario Seguridad, operaciones de TI, etc. - 25 -
  • 26.
    ISO/IEC 20000 |ITIL | UNE EN ISO 9001 ISO/IEC 20000-1 ITIL v3 UNE-EN-ISO 9001 6 Procesos de provisión del servicio SD Gestión del nivel de servicio 6.1. Gestión del nivel de servicio SD Gestión del catalogo de servicios 6.2. Generación de informes de servicio SD Gestión del nivel de servicio SD Gestión de la continuidad de los servicios IT 6.3. Gestión de la continuidad y disponibilidad del servicio SD Gestión de la disponibilidad 6.4. Presupuestar y contabilizar servicios TI SS Gestión financiera 6.5. Gestión de la capacidad SS Gestión de la capacidad SS Gestión de la seguridad IT 6.6. Gestión de la seguridad de la información SD Gestión del riesgo 7. Procesos de relación 7.2 Procesos relacionados con el cliente SS Gestión de la cartera de servicios Determinación de los requisitos relacionados con el 7.2.1 7.2. Gestión de relaciones con el negocio SD Gestión del nivel de servicio producto 7.2.2 Revisión de los requisitos relacionados con el producto CSI Mejora Continua del Servicio 7.2.3 Comunicación con el cliente 7.4.1 Proceso de compras 7.3. Gestión de suministradores SD Gestión de proveedores 7.4.2 Información de las compras 7.4.3 Verificación de los productos comprados 8. Procesos de resolución 8.2. Gestión del incidente SO Gestión de incidencias 8.3 Control del producto no conforme 8.3. Gestión del problema SO Gestión de problemas 9. Procesos de control 9.1. Gestión de la configuración ST Gestión de configuraciones y activos 6.3 Infraestructura 9.2. Gestión del cambio ST Gestión del cambio 10. Proceso de entrega 7.5.1 Control de la producción y de la prestación del servicio Gestión de liberaciones de nuevas versiones e ST Validación de los procesos de la producción y prestación implantaciones 7.5.2 10.1. Proceso de gestión de la entrega del servicio 7.5.3 Identificación y trazabilidad ST Validación y prueba del servicio 8.2.1 Satisfacción del cliente
  • 28.
    Amenazas Errores Errores de configuración Virus de Destrucción del software Revelación de usuarios de la Fallos en las contraseñas de acceso información comunicaciones Divulgación de información confidencial Acceso no autorizado Robo Desastres naturales: fuego, Cortes de No disponibilidad inundación… suministro de Averías de los equipos de información energía clave Abuso de privilegios en el Vulnerabilidades de los acceso a la información programas
  • 29.
    ISO/IEC 27000 • ISO/IEC 27000 es un conjunto de estándares desarrollados por ISO (International Organization for Standarization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña. • Tiene su origen en la norma BS 7799 de BSI, que es publicada en 1995, con objeto de proporcionar a cualquier empresa un conjunto de buenas prácticas para la gestión de la seguridad de su información. • Las principales normas de esta serie son: • ISO 27000: Términos y definiciones • ISO 27001: Requisitos del sistema de gestión de seguridad de la información. • ISO 27002 (ISO 17799): Guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. • ISO 27003: En desarrollo. Guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los requerimientos de sus diferentes fases. • ISO 27004: En desarrollo. Especificará las métricas y las técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados. • ISO 27005: En desarrollo. Guía para la gestión del riesgo de la seguridad de la información • ISO 27006: Requisitos para la acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información.
  • 30.
    ISO/IEC 27001:2005. Requisitos para la implantación de un Sistema de Gestión de Seguridad de la Información (SGSI). • No está orientada a despliegues tecnológicos o de infraestructura, sino a aspectos netamente organizativos, es decir, se trata de “Organizar la seguridad de la información”. • Características: • Enfoque a procesos. • Modelo PDCA (Plan-Do-Check-Act) • Planificar: crear el SGSI • Hacer: Implementación y operación del SGSI • Verificar: supervisión y revisión del SGSI • Actuar: mantenimiento y mejora del SGSI • Compatibilidad con otros sistemas de gestión: • Calidad: ISO 9001:2008 • Medio ambiente: ISO 14001:2004 • Aplicabilidad a todas las organizaciones, cualquiera que sea su tipo, tamaño y naturaleza. • El objetivo es preservar la confidencialidad, integridad y disponibilidad de la información.
  • 31.
    Definiciones • Confidencialidad: La propiedad por la que la información no se pone a disposición o se revela a individuos, entidades o procesos no autorizados. • Integridad: La propiedad de salvaguardar la exactitud y completitud de los activos(*). • Disponibilidad: La propiedad de ser accesible y utilizable por una entidad autorizada. • Activo: Cualquier bien que tiene valor para la organización. Ejemplos de categorías de activos: hardware, software, datos/información, redes de comunicaciones…
  • 32.
    Implantación • Definición del alcance y límites del SGSI. • Definición de la política del SGSI. • Evaluación de riesgos: • Definir la metodología de evaluación de riesgos (ej. Magerit, Cobit, …). • Establecer criterios de aceptación del riesgo. • Identificar los riesgos: • Identificación de activos: Servicios, Datos/Información, SW, HW, Redes de comunicaciones, Soportes de Información, Equipamiento Auxiliar, Instalaciones, Personal. • Identificación de amenazas: desastres naturales (fuego, inundación…), errores no intencionados (errores de administración de sistemas, errores de monitorización…), ataques intencionados (difusión de software dañino, accesos no autorizados…) • Identificación de vulnerabilidades bajo las que podrían actuar las amenazas: programa antivirus sin actualizar, sistemas configurados incorrectamente…. • Identificación de impactos: daño sobre el activo en caso de materializarse la amenaza (pérdida de disponibilidad, integridad, confidencialidad). Estimación del riesgo: impacto x probabilidad de materialización de la amenaza.
  • 33.
    Implantación • Tratamiento del riesgo: • Establecer un criterio para la aceptación del riesgo. • Plan de Tratamiento de Riesgos: • Aplicar controles adecuados (según Anexo A). • Aceptar los riesgos. • Transferir el riesgo (contratación de seguros, …). • Evitar el riesgo (dejar de realizar determinadas actividades, …). • Nueva valoración del riesgos tras haber aplicado el Plan de Tratamiento Riesgo residual
  • 34.
    Objetivos de controly controles (Anexo A ISO/IEC 27001:2005) Objetivo: asegurar que los riesgos se reducen a un nivel aceptable. • Control: medida de seguridad a implantar para el tratamiento de los riesgos identificados. • 11 categorías (A.5-A.15). • 133 controles • A.5. Política de seguridad (2 controles). • A.6. Aspectos organizativos de la seguridad de la información (11 controles). • A.7. Gestión de activos (5 controles). • A.8. Seguridad ligada a los recursos humanos (9 controles). • A.9. Seguridad física y ambiental (13 controles). • A.10. Gestión de comunicaciones y operaciones (32 controles). • A.11. Control de acceso (25 controles). • A.12. Adquisición, desarrollo y mantenimiento de los sistemas de información (16 controles). • A.13. Gestión de incidentes de seguridad de la información (5 controles). • A.14. Gestión de la continuidad del negocio (5 controles). • A.15. Cumplimiento (10 controles).
  • 35.
    Documentación del SGSI • Política de SGSI. • Objetivos del SGSI. • Definición del alcance. • Descripción de la metodología de análisis de riesgos. • Análisis de riesgos. • Plan de tratamiento de riesgos. • Procedimientos documentados: • Control de la Documentación • Control de los Registros • Competencia y Formación • Auditorías Internas • Revisión del Sistema por la dirección • Acciones Correctivas y Preventivas • Procedimientos que aseguren la correcta planificación, operación y control de los procesos de seguridad de la información. • Declaración de Aplicabilidad: • Es un requisito imprescindible para aquellos SGSI que se quieran certificar. • Proporciona la justificación para la aplicación o no de cada control ISO 27001.
  • 40.
    Serafín Avendaño, 18Interior. Oficina 17 36201 · VIGO (Pontevedra) · España  +34 986 22 66 16  +34 986 22 46 93 Parque de San Lázaro nº 8, 3 izquierda 32003 · OURENSE · España  +34 988 51 01 51 / 01  +34 988 21 97 00 Presentación Proyecto GRADIANT Presentación proyecto ISO 9001 COAG 10 de Julio de 2008 de 2008 40 40 17 de Septiembre