SlideShare una empresa de Scribd logo

Webinar - ISO 27001 22301 20000.pdf

F
FabianaOcchiuzzi2

Este documento presenta una introducción a tres normas ISO: ISO 22301 sobre continuidad del negocio, ISO 27001 sobre seguridad de la información y ISO 20000 sobre gestión de servicios de TI. Explica brevemente los objetivos y requisitos generales de cada una de estas normas.

Tecnología
1 de 46
Descargar para leer sin conexión
Webinar ISO 22301:2019 ISO 27001:2013 ISO 20000:2018 Fabiana Fabiana Occhiuzzi Occhiuzzi MBA MBA - - Universidad Complutense de Madrid Universidad Complutense de Madrid ISO 9001 Lead Auditor ISO 9001 Lead Auditor ISO 27001 ISO 20000 ISO 22301 ISO 37001 ISO 27001 ISO 20000 ISO 22301 ISO 37001 ~ ~ Agosto Agosto 2021 ~ 2021 ~
Objetivo Este seminario basado en Normas ISO tiene como fin plantear pautas para entender cuáles son los requerimientos generales de estas 3 requerimientos generales de estas 3 Normas
Identifica los fundamentos de Continuidad de Negocio, estableciendo el proceso, los principios y la terminología de gestión de continuidad de negocio. Asegura a las partes interesadas clave que su empresa está totalmente preparada y que puede cumplir con los requisitos internos, regulatorios y del cliente. Proporciona una base de entendimiento, desarrollo e implantación de continuidad de negocio dentro de la organización. cliente. Proporciona un marco que asegura que la empresa puede continuar trabajando durante las circunstancias más difíciles e inesperadas. ISO 22301:2019
La norma La norma ISO 22301 ISO 22301 puede ser aplicada a todo puede ser aplicada a todo tipo y tamaño de organizaciones que quieran: tipo y tamaño de organizaciones que quieran: • • Establecer, implantar, mantener y mejorar Establecer, implantar, mantener y mejorar un un SGCN SGCN. . • • Demostrar conformidad con la política Demostrar conformidad con la política establecida de la establecida de la continuidad de negocio continuidad de negocio de la de la organización. organización. • • Dar a las partes interesadas confianza en su Dar a las partes interesadas confianza en su conformidad y compromiso con las buenas conformidad y compromiso con las buenas prácticas reconocidas internacionalmente. prácticas reconocidas internacionalmente.
La principal función es proporcionar un marco de actuación para que las empresas puedan mitigar el daño que una situación de emergencia que una situación de emergencia puede llegar a causar. Un ejemplo muy reciente es la interrupción de la actividad económica en muchos sectores por culpa del Covid-19.
Las organizaciones que ya tenían establecida una política de establecida una política de continuidad, han podido prevenir, responder y operar de nuevo más rápidamente.
Nivel de responsabilidad de la alta dirección frente a la continuidad del negocio frente a imprevistos. Será el órgano que deberá asegurarse de la persistencia de la actividad frente a interrupciones que puedan suceder. La correcta planificación de los recursos y preparación para hacer frente a riesgos que puedan cesar de forma temporal el ejercicio del negocio. Focos de atención de la Norma temporal el ejercicio del negocio. Cómo actuar frente a los proveedores, clientes y otras cadenas de suministro en caso que exista alguna causa de fuerza mayor que impida desarrollar sus operaciones. Homogenización del vocabulario y términos para alcanzar las mismas condiciones en relaciones internacionales comerciales con otras organizaciones.
Un Sistema de Gestión de Continuidad de un Negocio o SGCN identifica los efectos que puede tener una interrupción de la actividad y establece medidas de actuación en caso de que ocurra. Debe ser sensible y tener en cuenta todos los diferentes factores y agentes que deberán actuar ante una situación de riesgo. Si es rígido, seguramente dejará de lado algunas de las amenazas que pueden afectar negativamente a su Qué es un Sistema de Gestión de Continuidad de Negocio las amenazas que pueden afectar negativamente a su funcionamiento. Es muy importante que el modelo de continuidad del negocio basado en la ISO 22301 esté totalmente alineado con la política corporativa de cada organización. Si no está en sintonía con la misión, valores, objetivos y estrategias de la empresa, no cumplirá su función correctamente. Una empresa que tenga un buen Sistema de Continuidad del Negocio establecido asegurará la supervivencia de la organización.
Algunas de las características clave a tener en cuenta para un plan de recuperación operativo y que funcione son: Conocimiento y comprensión de todos los planes de recuperación frente a un desastre por parte de todas las partes implicadas. Presupuesto establecido para poder desarrollar y mejorar los planes de continuidad. Creación de procedimientos fáciles de comprender que estén documentados, como por ejemplo los planes de evacuación en caso de incendio. evacuación en caso de incendio. Realización de simulacros y ejercicios regulares para asegurarse que los procedimientos funcionan de la forma que se han diseñado.
Mejora de la gestión de los riesgos empresariales Reconocimiento por parte de proveedores y clientes Ventajas de implementar Ahorro en costes y tiempo implementar un SGCN Solidez empresarial, que servirá para afrontar cualquier tipo de emergencia o suceso que ocurra
LOS RIESGOS EN ÉPOCAS DE INCERTIDUMBRE INCERTIDUMBRE
* Conceptos ISO 31000:2018
Probabilidad:“Raro” Impacto:”Catastrófico Matriz de Evaluación de Riesgos
Medidas orientadas a proteger la información, indistintamente del formato de la misma, contra cualquier amenaza. Los Objetivos del SGSI son preservar la: Confidencialidad, la Integridad y la Disponibilidad (CID). Sin un marco de gestión de riesgos sólida, las organizaciones se exponen a muchos tipos de amenazas informáticas. (CID). Medidas de control que permitan garantizar en todo momento la continuidad de las actividades de la empresa, identificando y mitigando los riesgos. ISO 27001:2013
Hoy en día, seguridad de la información está constantemente en las noticias con el robo de identidad, las infracciones en las empresas los registros financieros y las amenazas de terrorismo cibernético. amenazas de terrorismo cibernético. Un sistema de gestión de seguridad de la información (SGSI) es un enfoque sistemático para la gestión de la información confidencial de la empresa para que siga siendo seguro. Abarca las personas, procesos y sistemas de TI.
El diseño y la implementación de un SGSI (ISO / IEC 27001:2013) dará confianza a clientes y proveedores que la seguridad de la información se que la seguridad de la información se toma en serio dentro de la organización, estando a la vanguardia en la aplicación de la técnica de procesos para hacer frente a las amenazas de la información y a los problemas de la seguridad.
La norma ISO 27001 es una solución de mejora continua en base a la cual puede desarrollarse un Sistema de Gestión de Seguridad de la Información (SGSI) que permita evaluar todo tipo de riesgos o amenazas susceptibles de poner en peligro Qué es un Sistema de Gestión de Seguridad de la Información amenazas susceptibles de poner en peligro la información de una organización tanto propia como datos de terceros. Por otro lado, también permite establecer los controles y estrategias más adecuadas para eliminar o minimizar dichos peligros.
La información es un activo que, como otros activos importantes del negocio, tiene valor para la organización y requiere en consecuencia una protección adecuada; la información adopta diversas formas. Puede estar impresa o escrita en papel, almacenada ¿Qué entendemos por información información en ISO 27001? estar impresa o escrita en papel, almacenada electrónicamente, transmitida por correo o por medios electrónicos, mostrada en video o hablada en conversación. Debería protegerse adecuadamente cualquiera que sea la forma que tome o los medios por los que se comparta o almacene.
Atendiendo a este concepto, ISO 27001 propone un marco de gestión de la seguridad de toda la información de la empresa, incluso si es información perteneciente al propio conocimiento y experiencia de las personas o sea tratada en reuniones etc. En este sentido las propias personas pueden ser tratadas en el SGSI como activos de información si así se cree conveniente. ¿Qué entendemos por información información en ISO 27001? Por tanto, no debemos centrar la atención solamente en Por tanto, no debemos centrar la atención solamente en los sistemas informáticos por mucho que tengan hoy en los sistemas informáticos por mucho que tengan hoy en día una importancia más que relevante en el tratamiento día una importancia más que relevante en el tratamiento de la información ya que de otra forma, podríamos dejar de la información ya que de otra forma, podríamos dejar sin proteger información que puede ser esencial para la sin proteger información que puede ser esencial para la actividad de la empresa. actividad de la empresa.
Identificación de las amenazas Esta Norma se centra en la identificación y análisis de las principales amenazas para poder establecer una evaluación y planificación de esos riesgos riesgos. . Una amenaza amenaza se puede definir como cualquier evento que puede afectar los activos de información y se relaciona, activos de información y se relaciona, principalmente, con recursos humanos, eventos naturales o fallas técnicas. . Se trata de elaborar una adecuada gestión de riesgos que permita a las organizaciones conocer cuáles son las principales vulnerabilidades de sus activos de información. .
Posibles amenazas • Ataques informáticos internos y externos • Cyberataques • Hackeos • Pishing / Pharming • Infecciones con malware • Inundación, incendio o corte de fluido eléctrico • Vulnerabilidad en los sistemas biométricos • Registros de entrada y salida vulnerables • Cámaras de seguridad obsoletas • Sistemas defectuosos de incendio • Pérdida de activos • Pérdida de activos • Envío de información sensible por mail • Información confidencial no controlada • Errores de configuración • Errores en la gestión de recursos • Errores en los sistemas de validación • Errores que permiten el acceso a directorios • Errores en la gestión y asignación de permisos • Gestión de passwords no eficiente • En ocasiones basta una omisión o despiste por parte del personal de la empresa, como el uso de una simple pulsera imantada, para que se pueda llegar a producir un daño grave, e incluso irreparable, de la información.
Identificar requisitos legales Identificar riesgos Identificar vulnerabilidad y amenazas 2 3 4 PASOS PARA ANALIZAR LAS AMENAZAS Y DARLES TRATAMIENTO Tratamiento del riesgo Identificar activos de información 1 5
ELEMENTOS O FASES PARA LA IMPLEMENTACIÓN DE UN SGSI
CONTROLES A IMPLEMENTAR • Definición de Políticas de Seguridad de la Información • Organización de la seguridad de la información • Gestión de Activos • Criptografía • Seguridad de las operaciones • Seguridad de los recursos humanos • Seguridad de los recursos humanos • Seguridad física • Adquisición, desarrollo y mantenimientos de sistemas • Relación con los proveedores • Seguridad de las comunicaciones • Gestión de incidentes de seguridad de la información • Continuidad del negocio • Requisitos legales
Identificar todos aquellos activos de información que tienen algún valor para la organización Asociar las amenazas relevantes con los activos identificados Un correcto SGSI implica: Determinar las vulnerabilidades que puedan ser aprovechadas por dichas amenaza SGSI implica: Identificar el impacto que podría suponer una pérdida de confidencialidad, integridad y disponibilidad para cada activo
Describe un conjunto de procesos de gestión diseñados para ayudarle a brindar servicios de TI más eficaces (tanto dentro de su empresa como para sus clientes). Está basada en los principios fundamentales de ITIL y es una norma ante la cual puede certificar a su empresa. Proporciona la metodología y el marco que le ayuda a gestionar su IT y, al mismo tiempo, le permite demostrar que su empresa sigue las mejores prácticas. empresa. Los estándares de alta calidad para gestión de servicios de TI son indispensables para tener éxito. ISO 20000:2018
Los sistemas de tecnología de la información desempeñan un papel crítico en todas las empresas. Estos sistemas necesitan una supervisión constante por parte de profesionales para constante por parte de profesionales para mantenerlos actualizados y en condiciones de funcionamiento. Imagine las consecuencias si su departamento de tecnología de la información fuese incapaz de proporcionar los servicios que necesita.
La Norma ISO 20000 establece una implementación efectiva y un planteamiento estructurado para desarrollar servicios de tecnología de desarrollar servicios de tecnología de la información fiables en lo referente a la gestión de servicios de TI. Permite adoptar las buenas prácticas de la gestión de TI.
El objetivo de esta Norma ISO es ofrecer a las empresas una certificación que garantiza que la metodología y buenas garantiza que la metodología y buenas prácticas están correctamente establecidas en sus procesos de gestión de la información. Al implantar ISO 20000 las empresas conseguirán una integración de sus procesos que incluye un sistema de mejora continua en la calidad de sus servicios, tanto a sus clientes como de forma interna.
La norma ISO 20000 permite que se aproveche al máximo su inversión en TI; lo que significa que los servicios de TI deben estar bien planificados, gestionados y brindados. Sin una buena gestión de servicios de TI, los proyectos de Tecnología habitualmente fracasan o exceden los presupuestos. Los gastos corrientes se hacen Qué es un Sistema de Gestión de Servicios de IT presupuestos. Los gastos corrientes se hacen difíciles de administrar y, muchas veces, usted termina viendo fracasar su negocio antes de obtener algún ingreso sobre su inversión. En resumen, los estándares de alta calidad para gestión de servicios de TI son indispensables para tener éxito.
ORGANIZACIÓN DE UN SISTEMA DE GESTIÓN DE SERVICIOS TI
Cuando nos referimos a servicios TI nos estamos refiriendo a servicios cuya provisión depende de las tecnologías de la información y que pueden ser tanto Servicios a Clientes externos o servicios brindados a partes internas de la organización y necesarios para el ¿Qué entendemos por Gestión de TI? internas de la organización y necesarios para el desarrollo de la actividad de su negocio. En el objetivo de mejorar la gestión de servicios TI ISO 20000 nos proporciona un conjunto de procesos de administración de servicios TI, es decir un conjunto de buenas prácticas internacionales
Procesos que se contemplan Procesos ISO 20000 de Provisión del Servicio •Gestión de Nivel de Servicio •Generación de Informes del Servicio •Gestión de la Continuidad y Disponibilidad del Servicio •Elaboración de Presupuesto y Contabilidad de los Servicios •Gestión de la Capacidad •Gestión de la Seguridad de la Información Procesos ISO 20000 de Relación •Gestión de las Relaciones con el Negocio •Gestión de Suministradores Procesos ISO 20000 de Resolución •Gestión de Incidencias y peticiones de servicio •Gestión de Problemas Procesos ISO 20000 de Control •Gestión de la Configuración •Gestión de Cambios •Gestión de la entrega y despliegue
• Elaboración política de gestión del servicio. • Definición de funciones y responsabilidades implicadas en la gestión del servicio. • Análisis del Contexto de la Organización • Realización del análisis de riesgos. • Definición de los parámetros de disponibilidad y características de los servicios. • Formalización de acuerdos de nivel de servicios con los clientes (internos/ externos). • Acuerdos con suministradores. • Regulación de los desacuerdos contractuales. Ejemplos de acciones a implementar • Regulación de los desacuerdos contractuales. • Definición del catálogo del servicios de la organización. • Realización de planes de continuidad. • Planes de prueba: caída de suministro eléctrico, fallos en los servidores, fallo comunicaciones, incendio edificio, …. • Realización de presupuestos y contabilidad por servicios. • Desarrollo de procedimientos para la gestión de la seguridad de la información • Identificación elementos de configuración. • Creación de la base de datos de configuración. • Registro de incidencias, problemas, peticiones de servicio. • Monitorización de los servidores, gestión de alarmas por caídas o incidencias y análisis de la disponibilidad.
Perspectiva clara de la capacidad de los servicios y Reducción de los costes de operación Mejoras en seguridad, precisión, velocidad, disponibilidad Ventajas de un SGSIT Mejora en el tiempo del ciclo de los cambio un SGSIT Sistemas con valores agregados, es decir, mejoras en seguridad, precisión, velocidad, disponibilidad derivados de los niveles de servicio requeridos
Ventajas de Ventajas de SGSIT para SGSIT para Servicios mejor descritos, más entendibles por el cliente y con más detalle. Provisión del servicio está más centrada en el cliente, y los acuerdos sobre la calidad del mismo contribuyen a mejorar la relación 2 1 SGSIT para SGSIT para el Cliente el Cliente cliente y con más detalle. Mejor gestión de la calidad, la disponibilidad, la fiabilidad y el coste de los servicios. 2 3 Mejor comunicación con el prestador del servicio. Mayor información del rendimiento y la tendencia de los servicios.
Resumiendo… Resumiendo…
¿QUÉ CUESTIONES DEBEMOS ABORDAR EN EL CONTEXTO QUE ESTAMOS VIVIENDO? Fuente: Basado en Informe Accenture publicado Abril 2020
¿CUÁLES SON LAS EXPECTATIVAS PARA EL FUTURO? ¿CUÁLES SON LAS EXPECTATIVAS PARA EL FUTURO? Crear ecosistemas basados en la colaboración; mirar más allá de las formas de trabajo tradicionales Fuerza de trabajo que combine personas y máquinas: digitalice más procesos y ponga el foco en lo que le genera más valor  Impulsar la cultura de la resiliencia, trabajando de forma colaborativa; apoyarse en las capacidades digitales Construir entornos de trabajo flexibles mediante la tecnología, los datos, la seguridad y el cloud computing Modelo global de servicios distribuidos para reducir riesgos en un mundo volátil
Las Normas ISO 27001, ISO 22301 e ISO/IEC 20000 mantienen una relación de confluencia en ciertos puntos y, sobre todo, se complementan, logrando en conjunto altos niveles de garantía en lo que respecta a la correcta evaluación, prevención, tratamiento y solución de riesgos para la empresa relacionados con la TI.
La Norma ISO 27001 está muy enfocada en la seguridad de la información que un organización maneja. La ISO 22301 trabaja el tema de la seguridad en la empresa desde una perspectiva mucho más general y global, tratando de asegurar la continuidad del negocio, lo cual influye en aspectos tan diversos como: los activos financieros, la contabilidad, los aspectos legales y todos los factores ligados con la producción y la operativa. La ISO 20000 brinda las buenas prácticas para la gestión de IT de una La ISO 20000 brinda las buenas prácticas para la gestión de IT de una organización.
Preguntas Preguntas
MUCHAS GRACIAS!!! MUCHAS GRACIAS!!! Fabiana Occhiuzzi MBA - Universidad Complutense de Madrid ISO 9001 Lead Auditor ISO 27001 ISO 20000 ISO 22301 ISO 37001 https://www.linkedin.com/in/fabianaocchiuzzi/ ~ Mayo 2021 ~

Recomendados

Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacion
ferd3116
 
Implantacion sgsi iso27001
Implantacion sgsi iso27001Implantacion sgsi iso27001
Implantacion sgsi iso27001
ITsencial
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
Universidad Dominicana OYM
 
ISO 22301, ISO 31000, TIA 942 e ISO 27005
ISO 22301, ISO 31000, TIA 942 e ISO 27005ISO 22301, ISO 31000, TIA 942 e ISO 27005
ISO 22301, ISO 31000, TIA 942 e ISO 27005
Melvin Jáquez
 
PILARES DE SEGURIDAD NIST - ISO-IEC 27000.pdf
PILARES DE SEGURIDAD NIST - ISO-IEC 27000.pdfPILARES DE SEGURIDAD NIST - ISO-IEC 27000.pdf
PILARES DE SEGURIDAD NIST - ISO-IEC 27000.pdf
DIFESAMU
 
Dumar resumen analitico investigativo sobre el iso 27005
Dumar resumen analitico investigativo sobre el iso 27005Dumar resumen analitico investigativo sobre el iso 27005
Dumar resumen analitico investigativo sobre el iso 27005
ffffffffe23
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
karen figueroa hrderera
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
karen figueroa hrderera
 

Recomendados

Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacion
ferd3116
 
Implantacion sgsi iso27001
Implantacion sgsi iso27001Implantacion sgsi iso27001
Implantacion sgsi iso27001
ITsencial
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
Universidad Dominicana OYM
 
ISO 22301, ISO 31000, TIA 942 e ISO 27005
ISO 22301, ISO 31000, TIA 942 e ISO 27005ISO 22301, ISO 31000, TIA 942 e ISO 27005
ISO 22301, ISO 31000, TIA 942 e ISO 27005
Melvin Jáquez
 
PILARES DE SEGURIDAD NIST - ISO-IEC 27000.pdf
PILARES DE SEGURIDAD NIST - ISO-IEC 27000.pdfPILARES DE SEGURIDAD NIST - ISO-IEC 27000.pdf
PILARES DE SEGURIDAD NIST - ISO-IEC 27000.pdf
DIFESAMU
 
Dumar resumen analitico investigativo sobre el iso 27005
Dumar resumen analitico investigativo sobre el iso 27005Dumar resumen analitico investigativo sobre el iso 27005
Dumar resumen analitico investigativo sobre el iso 27005
ffffffffe23
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
karen figueroa hrderera
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
karen figueroa hrderera
 
I S O 27001
I S O 27001I S O 27001
I S O 27001
karen figueroa hrderera
 
Deming
DemingDeming
Deming
Alexander Velasque Rimac
 
S ce i -grupo 11 -t2-deming&si
S ce i -grupo 11 -t2-deming&siS ce i -grupo 11 -t2-deming&si
S ce i -grupo 11 -t2-deming&si
Alexander Velasque Rimac
 
Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióN
martin
 
Present. int. a los sgsi.... isis licona
Present. int. a los sgsi.... isis liconaPresent. int. a los sgsi.... isis licona
Present. int. a los sgsi.... isis licona
Isis Licona
 
Expo informacion final
Expo informacion finalExpo informacion final
Expo informacion final
cc11203942
 
Continuidad negocio iso-22301
Continuidad negocio iso-22301Continuidad negocio iso-22301
Continuidad negocio iso-22301
Mauricio Arenas
 
Gestión de continuidad del negocio
Gestión de continuidad del negocioGestión de continuidad del negocio
Gestión de continuidad del negocio
Protiviti Peru
 
Risk management original
Risk management originalRisk management original
Risk management original
Carlos Escobar
 
seguridad ISO
seguridad ISOseguridad ISO
seguridad ISO
guestf9a7e5
 
ISO 27001_042104.pptx
ISO 27001_042104.pptxISO 27001_042104.pptx
ISO 27001_042104.pptx
RaulMinotta1
 
Sinergia Gestión De Riesgos
Sinergia Gestión De RiesgosSinergia Gestión De Riesgos
Sinergia Gestión De Riesgos
Israel Díaz Ramos
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
paokatherine
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
paokatherine
 
NORMAS ISO
NORMAS ISO NORMAS ISO
NORMAS ISO
paokatherine
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
paokatherine
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio
Fabián Descalzo
 
Nota CXO Seguridad Corporativa
Nota CXO Seguridad CorporativaNota CXO Seguridad Corporativa
Nota CXO Seguridad Corporativa
Fabián Descalzo
 
Guia apoyo sgsi
Guia apoyo sgsiGuia apoyo sgsi
Guia apoyo sgsi
Susana Tan
 
Ensayo normas juan enrique
Ensayo normas juan enriqueEnsayo normas juan enrique
Ensayo normas juan enrique
JUAN ENRIQUE
 
2023 07 Casos prácticos para Realidad aumentada, metaverso y realidad extendida
2023 07 Casos prácticos para Realidad aumentada, metaverso y realidad extendida2023 07 Casos prácticos para Realidad aumentada, metaverso y realidad extendida
2023 07 Casos prácticos para Realidad aumentada, metaverso y realidad extendida
Luis Francisco Reyes Aceves
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
JohnRamos830530
 

Más contenido relacionado

Similar a Webinar - ISO 27001 22301 20000.pdf

Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióN
martin
 
Expo informacion final
Expo informacion finalExpo informacion final
Expo informacion final
cc11203942
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
paokatherine
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
paokatherine
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
paokatherine
 
Ensayo normas juan enrique
Ensayo normas juan enriqueEnsayo normas juan enrique
Ensayo normas juan enrique
JUAN ENRIQUE
 

Similar a Webinar - ISO 27001 22301 20000.pdf (20)

I S O 27001
I S O 27001I S O 27001
I S O 27001
 
Deming
DemingDeming
Deming
 
S ce i -grupo 11 -t2-deming&si
S ce i -grupo 11 -t2-deming&siS ce i -grupo 11 -t2-deming&si
S ce i -grupo 11 -t2-deming&si
 
Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióN
 
Present. int. a los sgsi.... isis licona
Present. int. a los sgsi.... isis liconaPresent. int. a los sgsi.... isis licona
Present. int. a los sgsi.... isis licona
 
Expo informacion final
Expo informacion finalExpo informacion final
Expo informacion final
 
Continuidad negocio iso-22301
Continuidad negocio iso-22301Continuidad negocio iso-22301
Continuidad negocio iso-22301
 
Gestión de continuidad del negocio
Gestión de continuidad del negocioGestión de continuidad del negocio
Gestión de continuidad del negocio
 
Risk management original
Risk management originalRisk management original
Risk management original
 
seguridad ISO
seguridad ISOseguridad ISO
seguridad ISO
 
ISO 27001_042104.pptx
ISO 27001_042104.pptxISO 27001_042104.pptx
ISO 27001_042104.pptx
 
Sinergia Gestión De Riesgos
Sinergia Gestión De RiesgosSinergia Gestión De Riesgos
Sinergia Gestión De Riesgos
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
 
NORMAS ISO
NORMAS ISO NORMAS ISO
NORMAS ISO
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio
 
Nota CXO Seguridad Corporativa
Nota CXO Seguridad CorporativaNota CXO Seguridad Corporativa
Nota CXO Seguridad Corporativa
 
Guia apoyo sgsi
Guia apoyo sgsiGuia apoyo sgsi
Guia apoyo sgsi
 
Ensayo normas juan enrique
Ensayo normas juan enriqueEnsayo normas juan enrique
Ensayo normas juan enrique
 

Último

Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
JohnRamos830530
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
nicho110
 
Editorial. Grupo de 12B de La Salle Margarita.pdf
Editorial. Grupo de 12B de La Salle Margarita.pdfEditorial. Grupo de 12B de La Salle Margarita.pdf
Editorial. Grupo de 12B de La Salle Margarita.pdf
Yanitza28
 
QUINTA SEXTA GENERACION de COMPUTADORAS
QUINTA SEXTA GENERACION de COMPUTADORASQUINTA SEXTA GENERACION de COMPUTADORAS
QUINTA SEXTA GENERACION de COMPUTADORAS
Marc Liust
 

Último (18)

2023 07 Casos prácticos para Realidad aumentada, metaverso y realidad extendida
2023 07 Casos prácticos para Realidad aumentada, metaverso y realidad extendida2023 07 Casos prácticos para Realidad aumentada, metaverso y realidad extendida
2023 07 Casos prácticos para Realidad aumentada, metaverso y realidad extendida
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
Editorial. Grupo de 12B. La Salle Margarita.pdf
Editorial. Grupo de 12B. La Salle Margarita.pdfEditorial. Grupo de 12B. La Salle Margarita.pdf
Editorial. Grupo de 12B. La Salle Margarita.pdf
 
infor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptx
infor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptxinfor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptx
infor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptx
 
presentación del desensamble y ensamble del equipo de computo en base a las n...
presentación del desensamble y ensamble del equipo de computo en base a las n...presentación del desensamble y ensamble del equipo de computo en base a las n...
presentación del desensamble y ensamble del equipo de computo en base a las n...
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
 
AVANCES TECNOLOGICOS DEL SIGLO XXI. 10-08..pptx
AVANCES TECNOLOGICOS DEL SIGLO XXI. 10-08..pptxAVANCES TECNOLOGICOS DEL SIGLO XXI. 10-08..pptx
AVANCES TECNOLOGICOS DEL SIGLO XXI. 10-08..pptx
 
Función del analizador léxico.pdf presentacion
Función del analizador léxico.pdf presentacionFunción del analizador léxico.pdf presentacion
Función del analizador léxico.pdf presentacion
 
presentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdf
presentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdfpresentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdf
presentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdf
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptx
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
10°8 - Avances tecnologicos del siglo XXI 10-8
10°8 - Avances tecnologicos del siglo XXI 10-810°8 - Avances tecnologicos del siglo XXI 10-8
10°8 - Avances tecnologicos del siglo XXI 10-8
 
Guia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosGuia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos Basicos
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
Editorial. Grupo de 12B de La Salle Margarita.pdf
Editorial. Grupo de 12B de La Salle Margarita.pdfEditorial. Grupo de 12B de La Salle Margarita.pdf
Editorial. Grupo de 12B de La Salle Margarita.pdf
 
QUINTA SEXTA GENERACION de COMPUTADORAS
QUINTA SEXTA GENERACION de COMPUTADORASQUINTA SEXTA GENERACION de COMPUTADORAS
QUINTA SEXTA GENERACION de COMPUTADORAS
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXI
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 

Webinar - ISO 27001 22301 20000.pdf

  • 1. Webinar ISO 22301:2019 ISO 27001:2013 ISO 20000:2018 Fabiana Fabiana Occhiuzzi Occhiuzzi MBA MBA - - Universidad Complutense de Madrid Universidad Complutense de Madrid ISO 9001 Lead Auditor ISO 9001 Lead Auditor ISO 27001 ISO 20000 ISO 22301 ISO 37001 ISO 27001 ISO 20000 ISO 22301 ISO 37001 ~ ~ Agosto Agosto 2021 ~ 2021 ~
  • 2. Objetivo Este seminario basado en Normas ISO tiene como fin plantear pautas para entender cuáles son los requerimientos generales de estas 3 requerimientos generales de estas 3 Normas
  • 3.
  • 4. Identifica los fundamentos de Continuidad de Negocio, estableciendo el proceso, los principios y la terminología de gestión de continuidad de negocio. Asegura a las partes interesadas clave que su empresa está totalmente preparada y que puede cumplir con los requisitos internos, regulatorios y del cliente. Proporciona una base de entendimiento, desarrollo e implantación de continuidad de negocio dentro de la organización. cliente. Proporciona un marco que asegura que la empresa puede continuar trabajando durante las circunstancias más difíciles e inesperadas. ISO 22301:2019
  • 5. La norma La norma ISO 22301 ISO 22301 puede ser aplicada a todo puede ser aplicada a todo tipo y tamaño de organizaciones que quieran: tipo y tamaño de organizaciones que quieran: • • Establecer, implantar, mantener y mejorar Establecer, implantar, mantener y mejorar un un SGCN SGCN. . • • Demostrar conformidad con la política Demostrar conformidad con la política establecida de la establecida de la continuidad de negocio continuidad de negocio de la de la organización. organización. • • Dar a las partes interesadas confianza en su Dar a las partes interesadas confianza en su conformidad y compromiso con las buenas conformidad y compromiso con las buenas prácticas reconocidas internacionalmente. prácticas reconocidas internacionalmente.
  • 6. La principal función es proporcionar un marco de actuación para que las empresas puedan mitigar el daño que una situación de emergencia que una situación de emergencia puede llegar a causar. Un ejemplo muy reciente es la interrupción de la actividad económica en muchos sectores por culpa del Covid-19.
  • 7. Las organizaciones que ya tenían establecida una política de establecida una política de continuidad, han podido prevenir, responder y operar de nuevo más rápidamente.
  • 8. Nivel de responsabilidad de la alta dirección frente a la continuidad del negocio frente a imprevistos. Será el órgano que deberá asegurarse de la persistencia de la actividad frente a interrupciones que puedan suceder. La correcta planificación de los recursos y preparación para hacer frente a riesgos que puedan cesar de forma temporal el ejercicio del negocio. Focos de atención de la Norma temporal el ejercicio del negocio. Cómo actuar frente a los proveedores, clientes y otras cadenas de suministro en caso que exista alguna causa de fuerza mayor que impida desarrollar sus operaciones. Homogenización del vocabulario y términos para alcanzar las mismas condiciones en relaciones internacionales comerciales con otras organizaciones.
  • 9. Un Sistema de Gestión de Continuidad de un Negocio o SGCN identifica los efectos que puede tener una interrupción de la actividad y establece medidas de actuación en caso de que ocurra. Debe ser sensible y tener en cuenta todos los diferentes factores y agentes que deberán actuar ante una situación de riesgo. Si es rígido, seguramente dejará de lado algunas de las amenazas que pueden afectar negativamente a su Qué es un Sistema de Gestión de Continuidad de Negocio las amenazas que pueden afectar negativamente a su funcionamiento. Es muy importante que el modelo de continuidad del negocio basado en la ISO 22301 esté totalmente alineado con la política corporativa de cada organización. Si no está en sintonía con la misión, valores, objetivos y estrategias de la empresa, no cumplirá su función correctamente. Una empresa que tenga un buen Sistema de Continuidad del Negocio establecido asegurará la supervivencia de la organización.
  • 10. Algunas de las características clave a tener en cuenta para un plan de recuperación operativo y que funcione son: Conocimiento y comprensión de todos los planes de recuperación frente a un desastre por parte de todas las partes implicadas. Presupuesto establecido para poder desarrollar y mejorar los planes de continuidad. Creación de procedimientos fáciles de comprender que estén documentados, como por ejemplo los planes de evacuación en caso de incendio. evacuación en caso de incendio. Realización de simulacros y ejercicios regulares para asegurarse que los procedimientos funcionan de la forma que se han diseñado.
  • 11. Mejora de la gestión de los riesgos empresariales Reconocimiento por parte de proveedores y clientes Ventajas de implementar Ahorro en costes y tiempo implementar un SGCN Solidez empresarial, que servirá para afrontar cualquier tipo de emergencia o suceso que ocurra
  • 12. LOS RIESGOS EN ÉPOCAS DE INCERTIDUMBRE INCERTIDUMBRE
  • 13. * Conceptos ISO 31000:2018
  • 15.
  • 16. Medidas orientadas a proteger la información, indistintamente del formato de la misma, contra cualquier amenaza. Los Objetivos del SGSI son preservar la: Confidencialidad, la Integridad y la Disponibilidad (CID). Sin un marco de gestión de riesgos sólida, las organizaciones se exponen a muchos tipos de amenazas informáticas. (CID). Medidas de control que permitan garantizar en todo momento la continuidad de las actividades de la empresa, identificando y mitigando los riesgos. ISO 27001:2013
  • 17. Hoy en día, seguridad de la información está constantemente en las noticias con el robo de identidad, las infracciones en las empresas los registros financieros y las amenazas de terrorismo cibernético. amenazas de terrorismo cibernético. Un sistema de gestión de seguridad de la información (SGSI) es un enfoque sistemático para la gestión de la información confidencial de la empresa para que siga siendo seguro. Abarca las personas, procesos y sistemas de TI.
  • 18. El diseño y la implementación de un SGSI (ISO / IEC 27001:2013) dará confianza a clientes y proveedores que la seguridad de la información se que la seguridad de la información se toma en serio dentro de la organización, estando a la vanguardia en la aplicación de la técnica de procesos para hacer frente a las amenazas de la información y a los problemas de la seguridad.
  • 19. La norma ISO 27001 es una solución de mejora continua en base a la cual puede desarrollarse un Sistema de Gestión de Seguridad de la Información (SGSI) que permita evaluar todo tipo de riesgos o amenazas susceptibles de poner en peligro Qué es un Sistema de Gestión de Seguridad de la Información amenazas susceptibles de poner en peligro la información de una organización tanto propia como datos de terceros. Por otro lado, también permite establecer los controles y estrategias más adecuadas para eliminar o minimizar dichos peligros.
  • 20. La información es un activo que, como otros activos importantes del negocio, tiene valor para la organización y requiere en consecuencia una protección adecuada; la información adopta diversas formas. Puede estar impresa o escrita en papel, almacenada ¿Qué entendemos por información información en ISO 27001? estar impresa o escrita en papel, almacenada electrónicamente, transmitida por correo o por medios electrónicos, mostrada en video o hablada en conversación. Debería protegerse adecuadamente cualquiera que sea la forma que tome o los medios por los que se comparta o almacene.
  • 21. Atendiendo a este concepto, ISO 27001 propone un marco de gestión de la seguridad de toda la información de la empresa, incluso si es información perteneciente al propio conocimiento y experiencia de las personas o sea tratada en reuniones etc. En este sentido las propias personas pueden ser tratadas en el SGSI como activos de información si así se cree conveniente. ¿Qué entendemos por información información en ISO 27001? Por tanto, no debemos centrar la atención solamente en Por tanto, no debemos centrar la atención solamente en los sistemas informáticos por mucho que tengan hoy en los sistemas informáticos por mucho que tengan hoy en día una importancia más que relevante en el tratamiento día una importancia más que relevante en el tratamiento de la información ya que de otra forma, podríamos dejar de la información ya que de otra forma, podríamos dejar sin proteger información que puede ser esencial para la sin proteger información que puede ser esencial para la actividad de la empresa. actividad de la empresa.
  • 22. Identificación de las amenazas Esta Norma se centra en la identificación y análisis de las principales amenazas para poder establecer una evaluación y planificación de esos riesgos riesgos. . Una amenaza amenaza se puede definir como cualquier evento que puede afectar los activos de información y se relaciona, activos de información y se relaciona, principalmente, con recursos humanos, eventos naturales o fallas técnicas. . Se trata de elaborar una adecuada gestión de riesgos que permita a las organizaciones conocer cuáles son las principales vulnerabilidades de sus activos de información. .
  • 23. Posibles amenazas • Ataques informáticos internos y externos • Cyberataques • Hackeos • Pishing / Pharming • Infecciones con malware • Inundación, incendio o corte de fluido eléctrico • Vulnerabilidad en los sistemas biométricos • Registros de entrada y salida vulnerables • Cámaras de seguridad obsoletas • Sistemas defectuosos de incendio • Pérdida de activos • Pérdida de activos • Envío de información sensible por mail • Información confidencial no controlada • Errores de configuración • Errores en la gestión de recursos • Errores en los sistemas de validación • Errores que permiten el acceso a directorios • Errores en la gestión y asignación de permisos • Gestión de passwords no eficiente • En ocasiones basta una omisión o despiste por parte del personal de la empresa, como el uso de una simple pulsera imantada, para que se pueda llegar a producir un daño grave, e incluso irreparable, de la información.
  • 24. Identificar requisitos legales Identificar riesgos Identificar vulnerabilidad y amenazas 2 3 4 PASOS PARA ANALIZAR LAS AMENAZAS Y DARLES TRATAMIENTO Tratamiento del riesgo Identificar activos de información 1 5
  • 25. ELEMENTOS O FASES PARA LA IMPLEMENTACIÓN DE UN SGSI
  • 26. CONTROLES A IMPLEMENTAR • Definición de Políticas de Seguridad de la Información • Organización de la seguridad de la información • Gestión de Activos • Criptografía • Seguridad de las operaciones • Seguridad de los recursos humanos • Seguridad de los recursos humanos • Seguridad física • Adquisición, desarrollo y mantenimientos de sistemas • Relación con los proveedores • Seguridad de las comunicaciones • Gestión de incidentes de seguridad de la información • Continuidad del negocio • Requisitos legales
  • 27. Identificar todos aquellos activos de información que tienen algún valor para la organización Asociar las amenazas relevantes con los activos identificados Un correcto SGSI implica: Determinar las vulnerabilidades que puedan ser aprovechadas por dichas amenaza SGSI implica: Identificar el impacto que podría suponer una pérdida de confidencialidad, integridad y disponibilidad para cada activo
  • 28.
  • 29. Describe un conjunto de procesos de gestión diseñados para ayudarle a brindar servicios de TI más eficaces (tanto dentro de su empresa como para sus clientes). Está basada en los principios fundamentales de ITIL y es una norma ante la cual puede certificar a su empresa. Proporciona la metodología y el marco que le ayuda a gestionar su IT y, al mismo tiempo, le permite demostrar que su empresa sigue las mejores prácticas. empresa. Los estándares de alta calidad para gestión de servicios de TI son indispensables para tener éxito. ISO 20000:2018
  • 30. Los sistemas de tecnología de la información desempeñan un papel crítico en todas las empresas. Estos sistemas necesitan una supervisión constante por parte de profesionales para constante por parte de profesionales para mantenerlos actualizados y en condiciones de funcionamiento. Imagine las consecuencias si su departamento de tecnología de la información fuese incapaz de proporcionar los servicios que necesita.
  • 31. La Norma ISO 20000 establece una implementación efectiva y un planteamiento estructurado para desarrollar servicios de tecnología de desarrollar servicios de tecnología de la información fiables en lo referente a la gestión de servicios de TI. Permite adoptar las buenas prácticas de la gestión de TI.
  • 32. El objetivo de esta Norma ISO es ofrecer a las empresas una certificación que garantiza que la metodología y buenas garantiza que la metodología y buenas prácticas están correctamente establecidas en sus procesos de gestión de la información. Al implantar ISO 20000 las empresas conseguirán una integración de sus procesos que incluye un sistema de mejora continua en la calidad de sus servicios, tanto a sus clientes como de forma interna.
  • 33. La norma ISO 20000 permite que se aproveche al máximo su inversión en TI; lo que significa que los servicios de TI deben estar bien planificados, gestionados y brindados. Sin una buena gestión de servicios de TI, los proyectos de Tecnología habitualmente fracasan o exceden los presupuestos. Los gastos corrientes se hacen Qué es un Sistema de Gestión de Servicios de IT presupuestos. Los gastos corrientes se hacen difíciles de administrar y, muchas veces, usted termina viendo fracasar su negocio antes de obtener algún ingreso sobre su inversión. En resumen, los estándares de alta calidad para gestión de servicios de TI son indispensables para tener éxito.
  • 34. ORGANIZACIÓN DE UN SISTEMA DE GESTIÓN DE SERVICIOS TI
  • 35. Cuando nos referimos a servicios TI nos estamos refiriendo a servicios cuya provisión depende de las tecnologías de la información y que pueden ser tanto Servicios a Clientes externos o servicios brindados a partes internas de la organización y necesarios para el ¿Qué entendemos por Gestión de TI? internas de la organización y necesarios para el desarrollo de la actividad de su negocio. En el objetivo de mejorar la gestión de servicios TI ISO 20000 nos proporciona un conjunto de procesos de administración de servicios TI, es decir un conjunto de buenas prácticas internacionales
  • 36. Procesos que se contemplan Procesos ISO 20000 de Provisión del Servicio •Gestión de Nivel de Servicio •Generación de Informes del Servicio •Gestión de la Continuidad y Disponibilidad del Servicio •Elaboración de Presupuesto y Contabilidad de los Servicios •Gestión de la Capacidad •Gestión de la Seguridad de la Información Procesos ISO 20000 de Relación •Gestión de las Relaciones con el Negocio •Gestión de Suministradores Procesos ISO 20000 de Resolución •Gestión de Incidencias y peticiones de servicio •Gestión de Problemas Procesos ISO 20000 de Control •Gestión de la Configuración •Gestión de Cambios •Gestión de la entrega y despliegue
  • 37. • Elaboración política de gestión del servicio. • Definición de funciones y responsabilidades implicadas en la gestión del servicio. • Análisis del Contexto de la Organización • Realización del análisis de riesgos. • Definición de los parámetros de disponibilidad y características de los servicios. • Formalización de acuerdos de nivel de servicios con los clientes (internos/ externos). • Acuerdos con suministradores. • Regulación de los desacuerdos contractuales. Ejemplos de acciones a implementar • Regulación de los desacuerdos contractuales. • Definición del catálogo del servicios de la organización. • Realización de planes de continuidad. • Planes de prueba: caída de suministro eléctrico, fallos en los servidores, fallo comunicaciones, incendio edificio, …. • Realización de presupuestos y contabilidad por servicios. • Desarrollo de procedimientos para la gestión de la seguridad de la información • Identificación elementos de configuración. • Creación de la base de datos de configuración. • Registro de incidencias, problemas, peticiones de servicio. • Monitorización de los servidores, gestión de alarmas por caídas o incidencias y análisis de la disponibilidad.
  • 38. Perspectiva clara de la capacidad de los servicios y Reducción de los costes de operación Mejoras en seguridad, precisión, velocidad, disponibilidad Ventajas de un SGSIT Mejora en el tiempo del ciclo de los cambio un SGSIT Sistemas con valores agregados, es decir, mejoras en seguridad, precisión, velocidad, disponibilidad derivados de los niveles de servicio requeridos
  • 39. Ventajas de Ventajas de SGSIT para SGSIT para Servicios mejor descritos, más entendibles por el cliente y con más detalle. Provisión del servicio está más centrada en el cliente, y los acuerdos sobre la calidad del mismo contribuyen a mejorar la relación 2 1 SGSIT para SGSIT para el Cliente el Cliente cliente y con más detalle. Mejor gestión de la calidad, la disponibilidad, la fiabilidad y el coste de los servicios. 2 3 Mejor comunicación con el prestador del servicio. Mayor información del rendimiento y la tendencia de los servicios.
  • 41. ¿QUÉ CUESTIONES DEBEMOS ABORDAR EN EL CONTEXTO QUE ESTAMOS VIVIENDO? Fuente: Basado en Informe Accenture publicado Abril 2020
  • 42. ¿CUÁLES SON LAS EXPECTATIVAS PARA EL FUTURO? ¿CUÁLES SON LAS EXPECTATIVAS PARA EL FUTURO? Crear ecosistemas basados en la colaboración; mirar más allá de las formas de trabajo tradicionales Fuerza de trabajo que combine personas y máquinas: digitalice más procesos y ponga el foco en lo que le genera más valor  Impulsar la cultura de la resiliencia, trabajando de forma colaborativa; apoyarse en las capacidades digitales Construir entornos de trabajo flexibles mediante la tecnología, los datos, la seguridad y el cloud computing Modelo global de servicios distribuidos para reducir riesgos en un mundo volátil
  • 43. Las Normas ISO 27001, ISO 22301 e ISO/IEC 20000 mantienen una relación de confluencia en ciertos puntos y, sobre todo, se complementan, logrando en conjunto altos niveles de garantía en lo que respecta a la correcta evaluación, prevención, tratamiento y solución de riesgos para la empresa relacionados con la TI.
  • 44. La Norma ISO 27001 está muy enfocada en la seguridad de la información que un organización maneja. La ISO 22301 trabaja el tema de la seguridad en la empresa desde una perspectiva mucho más general y global, tratando de asegurar la continuidad del negocio, lo cual influye en aspectos tan diversos como: los activos financieros, la contabilidad, los aspectos legales y todos los factores ligados con la producción y la operativa. La ISO 20000 brinda las buenas prácticas para la gestión de IT de una La ISO 20000 brinda las buenas prácticas para la gestión de IT de una organización.
  • 46. MUCHAS GRACIAS!!! MUCHAS GRACIAS!!! Fabiana Occhiuzzi MBA - Universidad Complutense de Madrid ISO 9001 Lead Auditor ISO 27001 ISO 20000 ISO 22301 ISO 37001 https://www.linkedin.com/in/fabianaocchiuzzi/ ~ Mayo 2021 ~