pass 99

Sistema deGestin IntegralcongPAS99,ISO9001,ISO27001,ISO

20000 COBIT BS 25999 / ISO 2230120000,COBIT,BS25999/ISO22301

O t b 2011October2011

Mario Urea CuateMarioUreaCuateCISA,CISM,CGEIT,CISSP,LABS25999,LAISO27001

AgendaAgenda

IntroduccinIntroduccin SistemadeGestinIntegral

l d l Si d ElementoscomunesdelosSistemasdeGestin

AuditorayCertificacin Conclusiones

Introduccin 2008Introduccin 2008

Fuente: ISACA Global Status Report 2008Fuente: ISACA Global Status Report 2008

Introduccin 2011

Fuente: ISACA Global Status Report 2011Fuente: ISACA Global Status Report 2011.

Introduccin

Fuente: ISACA Global Status Report 2011Fuente: ISACA Global Status Report 2011.

Introduccin

Fuente: SecureInformationTechnologies Estudio de Percepcin en g p

SI 2011

http://www.slideshare.net/mariourena

IntroduccinIntroduccinEstndares originados por BSI (British Standards Institution):

1979 BS 5750 ISO 9001 (Calidad)1979 BS 5750 ISO 9001 (Calidad)

1992 BS 7750 ISO 14001 (Medioambiente)

1995 BS 7799 ISO/IEC 27001 (Seguridad de la Informacin)

1996 BS 8800 OHSAS 18001 (Salud Ocupacional y Seguridad)

2000 BS 8600 ISO 10002 (Satisfaccin de Clientes)

SO/ C (S )2002 BS 15000 ISO/IEC 20000 (Servicios de TI)

2007 BS 25999 ISO/IEC 22301 (Continuidad del Negocio)

2008 BS 25777 ISO/IEC 27031 (Continuidad de las TIC)2008 BS 25777 ISO/IEC 27031 (Continuidad de las TIC)

2009 BS 10012 (Proteccin de Datos Personales)

IntroduccinIntroduccin

RiesgoRiesgoReducir interrupciones atravs deuna efectiva gestinderiesgo

SustentabilidadCrearvaloratravsdeprcticassustentables

DesempeoC t j titi t d l j lCrear ventaja competitiva atravs delamejora eneldesempeo

Motivadores DesempeoMetasdelnegocio

CumplimientoLFPDPPP,SOX,

BASILEAII,PCI.

Gobiernocorporativo ISO31000

BalancedScorecard ValIT COSO

GobiernodeTI COBIT/ISO38500

N

C

E

2

Estndaresymejores prcticas

M

B

O

K

/

P

R

I

N

ISO9001SGC

ISO20000SGSTI ISO 27001

BS25999/ISO22301/ISO 27031

ISO27005CMMIBS10012SGIP

A

S

9

9

mejoresprcticas

P

MSGC SGSTI ISO27001SGSI

Principios

ISO27031SGCN

Procedimientos

SSECMMSGIP

Practicas

P

A

Procesosyprocedimientos

Procedimientosdecalidad ITIL

PrincipiosdeSeguridad

(OECD)DRII

Procedimientosdedesarrolloymantenimiento

Practicasdeproteccin

dedatos

Fuente: Mario Urea SecureInformationTechnologies 2011.

Sistema de Gestin IntegralSistemadeGestinIntegral

Sistema de gestin que integra todos losSistema de gestin que integra todos lossistemas y procesos de una organizacin en unnico marco de referencia permitiendo a lanico marco de referencia, permitiendo a laorganizacin trabajar como una unidad conobjetivos unificadosobjetivos unificados.


Beneficios:Beneficios: Enfoque de negocio mejorado Enfoque holstico para gestionar riesgos Enfoque holstico para gestionar riesgos Menor conflicto entre sistemasR d i d li i b i Reducir duplicacin y burocracia

Auditoras mas eficientes y efectivas tantoi t tinternas como externas


Quien puede implementarlo?Quien puede implementarlo?

El Sistema de Gestin Integrado es relevante paraEl Sistema de Gestin Integrado es relevante paracualquier organizacin, independientemente desu tamao o sector en el que opera que busquesu tamao o sector en el que opera, que busqueintegrar dos o ms de sus sistemas en uno solocon un conjunto holstico de documentacin,con un conjunto holstico de documentacin,polticas, procedimientos y procesos.

SistemadeGestinIntegral Basado en PDCA


La organizacin pregunta: La organizacin pregunta:

Nosotros no tenemos procesos, aqut b j f i P dtrabajamos por funciones Puedoimplementar un Sistema de Gestin?



Debo tener todo documentado eni M l d Si t dun mismo Manual de Sistema de

Gestin Integral?


El Manual del Sistema de GestinEl Manual del Sistema de GestinNO es un requisito comn.q

ManualdelSi t dSistemadeGestinIntegral


La organizacin pregunta:La organizacin pregunta:

Es mandatorio tener un comit paracada Sistema de Gestin? Ejemplo:cada Sistema de Gestin? Ejemplo:uno para 9000, otro para Seguridad,etc ?etc. ?



Puedo tener una sola declaracind li bilid d (S A) l Si tde aplicabilidad (SoA) para el Sistemade Gestin Integral?


La Declaracin de AplicabilidadLa Declaracin de AplicabilidadNO es un requisito comn.q

Declaracindde

Aplicabilidad(SoA)


C l l t dCuleselestndarqueestablece los requisitosestablecelosrequisitosdel Sistema de GestindelSistemadeGestin

Integral?Integral?

ElementoscomunesdelosSGLespresento:PAS99

Elementos comunes de los SGElementoscomunesdelosSG

ISO Guide 72:ISO Guide 72:

Para quienes escriben estndares ePara quienes escriben estndares eincluye un marco de referencia de loselementos comunes de los Sistemas deelementos comunes de los Sistemas deGestin.


Estructura de PAS 99:Estructura de PAS 99:1. Alcance2 Referencias Normativas2. Referencias Normativas3. Trminos y definiciones4 Requerimientos comunes de Sistemas de4. Requerimientos comunes de Sistemas de

Gestin5. Anexo A Gua sobre antecedentes y uso de la

publicacin


Principales categoras: Principales categoras: Poltica Planeacin Implementar y operar Evaluacin del desempeo Mejora Revisin de la gerencia


Fuente: BSI PAS 99:2006Fuente: BSI PAS 99:2006.

ElementoscomunesdelosSG

Fuente: BSI PAS 99:2006.


4.1 Requerimientos generales. eque e tos ge e a es Alcance del Sistema de Gestin Establecer, documentar, implementar, mantener y mejorarcontinuamente el Sistema de Gestincontinuamente el Sistema de Gestin

Identificar los procesos necesarios Determinar la secuencia e interaccin de estos procesosD i i i d i Determinar criterios y mtodos necesarios

Asegurar la disponibilidad de recursos e informacin parasoportar la operacin y monitoreo

Monitorear, medir y analizar estos procesos


4.2 Poltica del Sistema de Gestin Apropiada a las actividades, productos y servicios Incluye un compromiso de cumplimiento cont d l i i t l l l ttodos los requerimientos legales relevantes

Provee la base para establecer y revisar objetivos Es comunicada a todas las personas que trabajanEs comunicada a todas las personas que trabajanen o en nombre de la organizacin

Es revisada continuamente para verificar sud iadecuacin


P d t lPuedotenerunsolodocumento de polticadocumentodepolticapara todos los SistemasparatodoslosSistemas

de Gestin?deGestin?


4.3 Planeacin4.3 Planeacin Identificacin y evaluacin de aspectos, impactos yriesgosId tifi i d i i t l l t Identificacin de requerimientos legales y otros

Planeacin de contingencias ObjetivosObjetivos Estructura organizacional, roles, responsabilidades yautoridadesIdentificar documentar y comunicar roles Identificar, documentar y comunicar roles,responsabilidades y autoridades de los involucrados


4 4 Implementacin y operacin 4.4 Implementacin y operacin Control operacional Gestin de recursos (competencias) Requerimientos de documentacin Comunicacin


4 4 3 Requerimientos de documentacin4.4.3 Requerimientos de documentacin Alcance Declaracin de poltica y objetivos Declaracin de poltica y objetivos Descripcin de los principales elementos del sistema Procedimientos documentados y registrosProcedimientos documentados y registrosmandatorios

Documentos que la organizacin considere comonecesarios

ElementoscomunesdelosSGl d d 4.4.3.3 Control de documentos

Aprobar previo a su usoRevisar actualizar y re aprobar documentos Revisar, actualizar y reaprobar documentos

Asegurar que los cambios y versin actual estnidentificados

Asegurar que las versiones relevantes de losdocumentos se encuentran en los puntos de uso

Asegurar que los documentos se mantienen legibles eg q gidentificables

Asegurar que los documentos de origen externo estnidentificados y su distribucin controladaidentificados y su distribucin controlada

Prevenir el uso no intencionado de documentosobsoletos


D t i tDocumentosyregistrosSon lo mismo sonSonlomismo,son

cosas diferentes cualescosasdiferentes,cualesson las diferencias?sonlasdiferencias?


4 5 Evaluacin del desempeo 4.5 Evaluacin del desempeoMonitoreo y medicinEvaluacin de cumplimientoAuditora internaAuditora interna

Gestin de no conformidades


4 6 Mejora 4.6 Mejora General Acciones correctivas, preventivas y de mejora


4.6.2 Acciones correctivas, preventivas y de.6. cc o es co ect as, p e e t as y demejoraA) Revisar no conformidades existentes y potencialesB) Determinar las causas de no conformidadesC) Evaluar la necesidad de accin para que no vuelvan

a ocurrira ocurrirD) Determinar e implementar la accin necesariaE) Registrar los resultados de la accin tomadaE) Registrar los resultados de la accin tomadaF) Revisar la efectividad de las acciones tomadas


4 7 Revisin de la Gerencia 4.7 Revisin de la GerenciaGeneralEntradasSalidasSalidas

ElementoscomunesdelosSG 4.7.2 Entradas

A) Resultados de auditorasB) Retroalimentacin de partes interesadasC) Estatus de acciones correctivas y preventivasD) Acciones de seguimiento para revisiones previasD) Acciones de seguimiento para revisiones previasE) Circunstancias cambiantes, incluyendo aspectos

legales y otros requerimientos, relacionados con lai i l i f torganizacin y los riesgos que enfrenta

F) Recomendaciones de mejoraG) Datos e informacin sobre el desempeo) pH) Resultados de la evaluacin de cumplimiento

ElementoscomunesdelosSG

4.7.3 SalidasA) Mejoras en la efectividad del sistemaA) Mejoras en la efectividad del sistema

de gestinB) M j l i d l iB) Mejoras relacionadas con los requeri

mientos de las partes interesadasC) Recursos necesarios para lograr la

mejora al Sistema de Gestin y susprocesos


Procedimientos mandatorios: Procedimientos mandatorios :Control de documentos y registrosAuditoraAcciones CorrectivasAcciones Correctivas

Acciones Preventivas

ElementoscomunesdelosSG Pasos sugeridos:

Sistemassonutilizadosporseparado1Combinado

Sehanidentificadoloselementoscomunes2Integrable

Sehanidentificadoloselementoscomunesyestnsiendointegrados3Integracin

Unsistemaqueintegratodosloselementoscomnes4Integrado

(Parntesis)yquehaydeCOBIT?


Q t d d fi lQuestndardefinelasguas para auditora deguasparaauditoradeSistemas de gestin?Sistemasdegestin?

Auditora y CertificacinAuditorayCertificacin

ISO 19011ISO19011

Guasparalaauditorade

SistemasdeGestinde Calidad y/odeCalidady/oambiental

Auditora y CertificacinAuditorayCertificacinIniciodelaAuditora

RevisindeDocumentos

PrepararActividadesenSitiop

EjecutarActividadesenSitio

Preparar,AprobaryDistribuirelInformedelaAuditora

C l t l A dit CompletarlaAuditora

ConducirelSeguimientodelaAuditora

Competencia del auditorCompetenciadelauditor Habilidades y atributos personales. Conocimiento y experiencia en la aplicacin deprincipios de: Auditora + Auditora + Sistemas de Gestin + Calidad +S id d d l I f i Seguridad de la Informacin +

Gestin de TI + Continuidad del Negocio +


Cumplimiento vsCumplimientovsC f id dConformidad



Puedo solicitar la auditora detifi i dif t i tcertificacin para diferentes sistemas

en forma simultnea?

ConclusionesConclusiones

Motivadores DesempeoMetasdelnegocio

CumplimientoLFPDPPP,SOX,

BASILEAII,PCI.

Gobiernocorporativo ISO31000

BalancedScorecard ValIT COSO

GobiernodeTI COBIT/ISO38500

N

C

E

2

Estndaresymejores prcticas

M

B

O

K

/

P

R

I

N

ISO9001SGC

ISO20000SGSTI ISO 27001

BS25999/ISO22301/ISO 27031

ISO27005CMMIBS10012SGIP

A

S

9

9

mejoresprcticas

P

MSGC SGSTI ISO27001SGSI

Principios

ISO27031SGCN

Procedimientos

SSECMMSGIP

Practicas

P

A

Procesosyprocedimientos

Procedimientosdecalidad ITIL

PrincipiosdeSeguridad

(OECD)DRII

Procedimientosdedesarrolloymantenimiento

Practicasdeproteccin

dedatos

Fuente: Mario Urea SecureInformationTechnologies 2011.

Preguntas yrespuestasg y pGracias!

MarioUreaCuateCISA CISM CGEIT CISSP

[email protected]

CISA,CISM,CGEIT,CISSPISO27001LA,BS25999LA

x

@mariourena

www.mariourenacuate.com

www.slideshare.net/mariourena

pass 99

Documents

Transcript of pass 99