Este documento presenta una introducción a tres normas ISO: ISO 22301 sobre continuidad del negocio, ISO 27001 sobre seguridad de la información y ISO 20000 sobre gestión de servicios de TI. Explica brevemente los objetivos y requisitos generales de cada una de estas normas.
1. Webinar
ISO 22301:2019
ISO 27001:2013
ISO 20000:2018
Fabiana
Fabiana Occhiuzzi
Occhiuzzi
MBA
MBA -
- Universidad Complutense de Madrid
Universidad Complutense de Madrid
ISO 9001 Lead Auditor
ISO 9001 Lead Auditor
ISO 27001 ISO 20000 ISO 22301 ISO 37001
ISO 27001 ISO 20000 ISO 22301 ISO 37001
~
~ Agosto
Agosto 2021 ~
2021 ~
2. Objetivo
Este seminario basado en Normas
ISO tiene como fin plantear pautas
para entender cuáles son los
requerimientos generales de estas 3
requerimientos generales de estas 3
Normas
3.
4. Identifica los fundamentos de Continuidad de
Negocio, estableciendo el proceso, los principios y la
terminología de gestión de continuidad de negocio.
Asegura a las partes interesadas clave que su
empresa está totalmente preparada y que puede
cumplir con los requisitos internos, regulatorios y del
cliente.
Proporciona una base de entendimiento, desarrollo e
implantación de continuidad de negocio dentro de la
organización.
cliente.
Proporciona un marco que asegura que la empresa
puede continuar trabajando durante las
circunstancias más difíciles e inesperadas.
ISO 22301:2019
5. La norma
La norma ISO 22301
ISO 22301 puede ser aplicada a todo
puede ser aplicada a todo
tipo y tamaño de organizaciones que quieran:
tipo y tamaño de organizaciones que quieran:
•
• Establecer, implantar, mantener y mejorar
Establecer, implantar, mantener y mejorar
un
un SGCN
SGCN.
.
•
• Demostrar conformidad con la política
Demostrar conformidad con la política
establecida de la
establecida de la continuidad de negocio
continuidad de negocio de la
de la
organización.
organización.
•
• Dar a las partes interesadas confianza en su
Dar a las partes interesadas confianza en su
conformidad y compromiso con las buenas
conformidad y compromiso con las buenas
prácticas reconocidas internacionalmente.
prácticas reconocidas internacionalmente.
6. La principal función es proporcionar
un marco de actuación para que las
empresas puedan mitigar el daño
que una situación de emergencia
que una situación de emergencia
puede llegar a causar.
Un ejemplo muy reciente es la
interrupción de la actividad
económica en muchos sectores
por culpa del Covid-19.
7. Las organizaciones que ya tenían
establecida una política de
establecida una política de
continuidad, han podido prevenir,
responder y operar de nuevo más
rápidamente.
8. Nivel de responsabilidad de la alta dirección frente a la
continuidad del negocio frente a imprevistos. Será el
órgano que deberá asegurarse de la persistencia de la
actividad frente a interrupciones que puedan suceder.
La correcta planificación de los recursos y preparación
para hacer frente a riesgos que puedan cesar de forma
temporal el ejercicio del negocio.
Focos de atención de la Norma
temporal el ejercicio del negocio.
Cómo actuar frente a los proveedores, clientes y otras
cadenas de suministro en caso que exista alguna causa de
fuerza mayor que impida desarrollar sus operaciones.
Homogenización del vocabulario y términos para
alcanzar las mismas condiciones en relaciones
internacionales comerciales con otras organizaciones.
9. Un Sistema de Gestión de Continuidad de un Negocio o
SGCN identifica los efectos que puede tener una
interrupción de la actividad y establece medidas de
actuación en caso de que ocurra.
Debe ser sensible y tener en cuenta todos los diferentes
factores y agentes que deberán actuar ante una situación de
riesgo. Si es rígido, seguramente dejará de lado algunas de
las amenazas que pueden afectar negativamente a su
Qué es un Sistema de Gestión de Continuidad de Negocio
las amenazas que pueden afectar negativamente a su
funcionamiento.
Es muy importante que el modelo de continuidad del
negocio basado en la ISO 22301 esté totalmente alineado
con la política corporativa de cada organización. Si no está
en sintonía con la misión, valores, objetivos y estrategias de
la empresa, no cumplirá su función correctamente.
Una empresa que tenga un buen Sistema de Continuidad
del Negocio establecido asegurará la supervivencia de la
organización.
10. Algunas de las características clave a tener en cuenta para
un plan de recuperación operativo y que funcione son:
Conocimiento y comprensión de todos los planes de
recuperación frente a un desastre por parte de todas las
partes implicadas.
Presupuesto establecido para poder desarrollar y
mejorar los planes de continuidad.
Creación de procedimientos fáciles de comprender que
estén documentados, como por ejemplo los planes de
evacuación en caso de incendio.
evacuación en caso de incendio.
Realización de simulacros y ejercicios regulares para
asegurarse que los procedimientos funcionan de la forma
que se han diseñado.
11. Mejora de la gestión de
los riesgos empresariales
Reconocimiento por
parte de proveedores
y clientes
Ventajas de
implementar
Ahorro en costes y
tiempo
implementar
un SGCN
Solidez empresarial, que servirá
para afrontar cualquier tipo de
emergencia o suceso que ocurra
16. Medidas orientadas a proteger la información,
indistintamente del formato de la misma,
contra cualquier amenaza.
Los Objetivos del SGSI son preservar la:
Confidencialidad, la Integridad y la Disponibilidad
(CID).
Sin un marco de gestión de riesgos sólida, las
organizaciones se exponen a muchos tipos de
amenazas informáticas.
(CID).
Medidas de control que permitan garantizar en
todo momento la continuidad de las actividades de
la empresa, identificando y mitigando los riesgos.
ISO 27001:2013
17. Hoy en día, seguridad de la información
está constantemente en las noticias con el
robo de identidad, las infracciones en las
empresas los registros financieros y las
amenazas de terrorismo cibernético.
amenazas de terrorismo cibernético.
Un sistema de gestión de seguridad de la
información (SGSI) es un enfoque
sistemático para la gestión de la
información confidencial de la empresa
para que siga siendo seguro. Abarca las
personas, procesos y sistemas de TI.
18. El diseño y la implementación de un
SGSI (ISO / IEC 27001:2013) dará
confianza a clientes y proveedores
que la seguridad de la información se
que la seguridad de la información se
toma en serio dentro de la
organización, estando a la vanguardia
en la aplicación de la técnica de
procesos para hacer frente a las
amenazas de la información y a los
problemas de la seguridad.
19. La norma ISO 27001 es una solución de
mejora continua en base a la cual puede
desarrollarse un Sistema de Gestión de
Seguridad de la Información (SGSI) que
permita evaluar todo tipo de riesgos o
amenazas susceptibles de poner en peligro
Qué es un Sistema de Gestión de Seguridad de la
Información
amenazas susceptibles de poner en peligro
la información de una organización tanto
propia como datos de terceros.
Por otro lado, también permite establecer
los controles y estrategias más adecuadas
para eliminar o minimizar dichos peligros.
20. La información es un activo que, como otros
activos importantes del negocio, tiene valor
para la organización y requiere en
consecuencia una protección adecuada; la
información adopta diversas formas. Puede
estar impresa o escrita en papel, almacenada
¿Qué entendemos por información
información
en ISO 27001?
estar impresa o escrita en papel, almacenada
electrónicamente, transmitida por correo o por
medios electrónicos, mostrada en video o
hablada en conversación.
Debería protegerse adecuadamente cualquiera
que sea la forma que tome o los medios por los
que se comparta o almacene.
21. Atendiendo a este concepto, ISO 27001 propone un
marco de gestión de la seguridad de toda la información
de la empresa, incluso si es información perteneciente al
propio conocimiento y experiencia de las personas o sea
tratada en reuniones etc. En este sentido las propias
personas pueden ser tratadas en el SGSI como activos de
información si así se cree conveniente.
¿Qué entendemos por información
información
en ISO 27001?
Por tanto, no debemos centrar la atención solamente en
Por tanto, no debemos centrar la atención solamente en
los sistemas informáticos por mucho que tengan hoy en
los sistemas informáticos por mucho que tengan hoy en
día una importancia más que relevante en el tratamiento
día una importancia más que relevante en el tratamiento
de la información ya que de otra forma, podríamos dejar
de la información ya que de otra forma, podríamos dejar
sin proteger información que puede ser esencial para la
sin proteger información que puede ser esencial para la
actividad de la empresa.
actividad de la empresa.
22. Identificación de las amenazas
Esta Norma se centra en la identificación y
análisis de las principales amenazas para
poder establecer una evaluación y
planificación de esos riesgos
riesgos.
.
Una amenaza
amenaza se puede definir como
cualquier evento que puede afectar los
activos de información y se relaciona,
activos de información y se relaciona,
principalmente, con recursos humanos,
eventos naturales o fallas técnicas.
.
Se trata de elaborar una adecuada gestión de
riesgos que permita a las organizaciones
conocer cuáles son las principales
vulnerabilidades de sus activos de
información.
.
23. Posibles amenazas
• Ataques informáticos internos y externos
• Cyberataques
• Hackeos
• Pishing / Pharming
• Infecciones con malware
• Inundación, incendio o corte de fluido eléctrico
• Vulnerabilidad en los sistemas biométricos
• Registros de entrada y salida vulnerables
• Cámaras de seguridad obsoletas
• Sistemas defectuosos de incendio
• Pérdida de activos
• Pérdida de activos
• Envío de información sensible por mail
• Información confidencial no controlada
• Errores de configuración
• Errores en la gestión de recursos
• Errores en los sistemas de validación
• Errores que permiten el acceso a directorios
• Errores en la gestión y asignación de permisos
• Gestión de passwords no eficiente
• En ocasiones basta una omisión o despiste por parte del
personal de la empresa, como el uso de una simple
pulsera imantada, para que se pueda llegar a producir un
daño grave, e incluso irreparable, de la información.
26. CONTROLES A IMPLEMENTAR
• Definición de Políticas de Seguridad de la
Información
• Organización de la seguridad de la
información
• Gestión de Activos
• Criptografía
• Seguridad de las operaciones
• Seguridad de los recursos humanos
• Seguridad de los recursos humanos
• Seguridad física
• Adquisición, desarrollo y mantenimientos de
sistemas
• Relación con los proveedores
• Seguridad de las comunicaciones
• Gestión de incidentes de seguridad de la
información
• Continuidad del negocio
• Requisitos legales
27. Identificar todos aquellos activos
de información que tienen algún
valor para la organización
Asociar las amenazas
relevantes con los
activos identificados
Un correcto
SGSI implica: Determinar las
vulnerabilidades que puedan
ser aprovechadas por dichas
amenaza
SGSI implica:
Identificar el impacto que podría
suponer una pérdida de
confidencialidad, integridad y
disponibilidad para cada activo
28.
29. Describe un conjunto de procesos de gestión
diseñados para ayudarle a brindar servicios de TI
más eficaces (tanto dentro de su empresa como para
sus clientes).
Está basada en los principios fundamentales de ITIL y
es una norma ante la cual puede certificar a su
empresa.
Proporciona la metodología y el marco que le ayuda a
gestionar su IT y, al mismo tiempo, le permite demostrar
que su empresa sigue las mejores prácticas.
empresa.
Los estándares de alta calidad para gestión de
servicios de TI son indispensables para tener éxito.
ISO 20000:2018
30. Los sistemas de tecnología de la
información desempeñan un papel crítico
en todas las empresas.
Estos sistemas necesitan una supervisión
constante por parte de profesionales para
constante por parte de profesionales para
mantenerlos actualizados y en condiciones
de funcionamiento.
Imagine las consecuencias si su
departamento de tecnología de la
información fuese incapaz de proporcionar
los servicios que necesita.
31. La Norma ISO 20000 establece una
implementación efectiva y un
planteamiento estructurado para
desarrollar servicios de tecnología de
desarrollar servicios de tecnología de
la información fiables en lo referente
a la gestión de servicios de TI.
Permite adoptar las buenas prácticas
de la gestión de TI.
32. El objetivo de esta Norma ISO es ofrecer a
las empresas una certificación que
garantiza que la metodología y buenas
garantiza que la metodología y buenas
prácticas están correctamente
establecidas en sus procesos de gestión
de la información. Al implantar ISO
20000 las empresas conseguirán
una integración de sus procesos que
incluye un sistema de mejora continua en
la calidad de sus servicios, tanto a sus
clientes como de forma interna.
33. La norma ISO 20000 permite que se aproveche al
máximo su inversión en TI; lo que significa que los
servicios de TI deben estar bien planificados,
gestionados y brindados. Sin una buena gestión
de servicios de TI, los proyectos de Tecnología
habitualmente fracasan o exceden los
presupuestos. Los gastos corrientes se hacen
Qué es un Sistema de Gestión de Servicios de IT
presupuestos. Los gastos corrientes se hacen
difíciles de administrar y, muchas veces, usted
termina viendo fracasar su negocio antes de
obtener algún ingreso sobre su inversión.
En resumen, los estándares de alta calidad para
gestión de servicios de TI son indispensables para
tener éxito.
35. Cuando nos referimos a servicios TI nos
estamos refiriendo a servicios cuya provisión
depende de las tecnologías de la información y
que pueden ser tanto Servicios a Clientes
externos o servicios brindados a partes
internas de la organización y necesarios para el
¿Qué entendemos por Gestión de TI?
internas de la organización y necesarios para el
desarrollo de la actividad de su negocio.
En el objetivo de mejorar la gestión de
servicios TI ISO 20000 nos proporciona un
conjunto de procesos de administración de
servicios TI, es decir un conjunto de buenas
prácticas internacionales
36. Procesos que se contemplan
Procesos ISO 20000 de Provisión del Servicio
•Gestión de Nivel de Servicio
•Generación de Informes del Servicio
•Gestión de la Continuidad y Disponibilidad del Servicio
•Elaboración de Presupuesto y Contabilidad de los
Servicios
•Gestión de la Capacidad
•Gestión de la Seguridad de la Información
Procesos ISO 20000 de Relación
•Gestión de las Relaciones con el Negocio
•Gestión de Suministradores
Procesos ISO 20000 de Resolución
•Gestión de Incidencias y peticiones de servicio
•Gestión de Problemas
Procesos ISO 20000 de Control
•Gestión de la Configuración
•Gestión de Cambios
•Gestión de la entrega y despliegue
37. • Elaboración política de gestión del servicio.
• Definición de funciones y responsabilidades implicadas en la gestión del
servicio.
• Análisis del Contexto de la Organización
• Realización del análisis de riesgos.
• Definición de los parámetros de disponibilidad y características de los servicios.
• Formalización de acuerdos de nivel de servicios con los clientes (internos/
externos).
• Acuerdos con suministradores.
• Regulación de los desacuerdos contractuales.
Ejemplos de acciones a implementar
• Regulación de los desacuerdos contractuales.
• Definición del catálogo del servicios de la organización.
• Realización de planes de continuidad.
• Planes de prueba: caída de suministro eléctrico, fallos en los servidores, fallo
comunicaciones, incendio edificio, ….
• Realización de presupuestos y contabilidad por servicios.
• Desarrollo de procedimientos para la gestión de la seguridad de la información
• Identificación elementos de configuración.
• Creación de la base de datos de configuración.
• Registro de incidencias, problemas, peticiones de servicio.
• Monitorización de los servidores, gestión de alarmas por caídas o incidencias y
análisis de la disponibilidad.
38. Perspectiva clara de la capacidad
de los servicios y Reducción de los
costes de operación
Mejoras en seguridad,
precisión, velocidad,
disponibilidad
Ventajas de
un SGSIT
Mejora en el tiempo
del ciclo de los cambio
un SGSIT
Sistemas con valores agregados, es decir,
mejoras en seguridad, precisión,
velocidad, disponibilidad derivados de
los niveles de servicio requeridos
39. Ventajas de
Ventajas de
SGSIT para
SGSIT para
Servicios mejor descritos,
más entendibles por el
cliente y con más detalle.
Provisión del servicio
está más centrada en el
cliente, y los acuerdos
sobre la calidad del
mismo contribuyen a
mejorar la relación
2
1
SGSIT para
SGSIT para
el Cliente
el Cliente
cliente y con más detalle.
Mejor gestión de la calidad,
la disponibilidad, la fiabilidad
y el coste de los servicios.
2
3
Mejor comunicación con
el prestador del servicio.
Mayor información del
rendimiento y la
tendencia de los servicios.
41. ¿QUÉ CUESTIONES DEBEMOS ABORDAR EN EL CONTEXTO QUE
ESTAMOS VIVIENDO?
Fuente: Basado en Informe Accenture publicado Abril 2020
42. ¿CUÁLES SON LAS EXPECTATIVAS PARA EL FUTURO?
¿CUÁLES SON LAS EXPECTATIVAS PARA EL FUTURO?
Crear ecosistemas basados
en la colaboración; mirar más
allá de las formas de trabajo
tradicionales
Fuerza de trabajo que
combine personas y
máquinas: digitalice más
procesos y ponga el foco en
lo que le genera más valor
Impulsar la cultura de
la resiliencia,
trabajando de forma
colaborativa;
apoyarse en las
capacidades digitales
Construir entornos de
trabajo flexibles
mediante la tecnología,
los datos, la seguridad y
el cloud computing
Modelo global de
servicios distribuidos
para reducir riesgos en
un mundo volátil
43. Las Normas ISO 27001, ISO 22301 e ISO/IEC 20000
mantienen una relación de confluencia en ciertos puntos
y, sobre todo, se complementan, logrando en conjunto
altos niveles de garantía en lo que respecta a la correcta
evaluación, prevención, tratamiento y solución de
riesgos para la empresa relacionados con la TI.
44. La Norma ISO 27001 está muy enfocada en la seguridad de la
información que un organización maneja.
La ISO 22301 trabaja el tema de la seguridad en la empresa desde una
perspectiva mucho más general y global, tratando de asegurar la
continuidad del negocio, lo cual influye en aspectos tan diversos como: los
activos financieros, la contabilidad, los aspectos legales y todos los
factores ligados con la producción y la operativa.
La ISO 20000 brinda las buenas prácticas para la gestión de IT de una
La ISO 20000 brinda las buenas prácticas para la gestión de IT de una
organización.
46. MUCHAS GRACIAS!!!
MUCHAS GRACIAS!!!
Fabiana Occhiuzzi
MBA - Universidad Complutense de Madrid
ISO 9001 Lead Auditor
ISO 27001 ISO 20000 ISO 22301 ISO 37001
https://www.linkedin.com/in/fabianaocchiuzzi/
~ Mayo 2021 ~