Familias ISO 20000 y 27000
Gestión de Servicios y Seguridad
Con la colaboración de ...Alhambra-Eidos
C/ Albasanz 16, 4 Planta, Madrid, España
Teléfono: +34917872300
Web: http://www.alhambra-eidos.com ,
http://www.formaciontic.com
Email: [email protected]
Twitter: @alhambraeidos, @formaciontic
Facebook: /alhambraeidos, /formaciontic
Ponente: Ángel M. RayoFormador / consultor desde 2004 en Alhambra-
Eidos y con más de 8.000 horas de experiencia
Certificado como EXIN® Trainer, ITIL® Expert,
ISO/IEC 20000 Consultant Manager y EXIN®
Cloud Computing Foundation Certificate
Microsoft Certified Trainer (MCT) con experiencia
en .NET, SQL Server, SharePoint, Azure entre
otras tecnologías.
@oyara Ángel Rayo
Agenda
• ISO (International Organization for Standardization)
• Subcomités
• ISO/IEC 20000
• ISO/IEC 27000
Familias ISO 20000 y 27000
ISO (International Organization for
Standardization)
ISO (International Organization for Standardization)
• Nacida el 23 de febrero de 1947.
• Promueve el desarrollo de normas internacionales:
– De fabricación (de productos y de servicios)
– De comercio
– De comunicación
• Busca la estandarización de normas de productos y seguridad
para empresas y organizaciones.
• Sus normas son voluntarias
• Es un organismo no gubernamental
• No depende de ningún otro organismo internacional
• Contenido protegido por ©
ISO (International Organization for Standardization)
• Tipos de miembros:
– Simples: 1 por país, el organismo nacional más
representativo. Toman parte activa.
– Correspondientes: 1 por cada país en vías de desarrollo sin
comité nacional de normalización. No toman parte activa.
– Suscritos: 1 por cada país con economía reducida. No toman
parte activa.
• Miembros actuales:
163
39
5
Miembros
Simples
Correspondientes
Suscritos
ISO (International Organization for Standardization)
Miembros
correspondientes
Miembros
simplesMiembros
suscritos
ISO (International Organization for Standardization)
• Algunos miembros:
– Ecuador: INEN
– España: AENOR
– México: DGN
– Panamá: COPANIT
– Perú: INDECOPI
– El Salvador: OSN
– Uruguay: UNIT
– Argentina : IRAM
– Brasil: ABNT
– Chile: INN
– Colombia: INCOTEC
– Costa Rica: INTECO
– Cuba: NC
– EE.UU: ANSI
Catálogo de estándares
• 19.500 estándares internacionales actualmente
• Organizados por:
– ICS (International Classification for Standards)
– TC (Technical Commitees)
• Algunos ICS:
– 07: Matemáticas
– 11: Tecnología de la salud
– 35: Tecnología de la Información. Maquinaria de oficina
– 37: Tecnología de la imagen
– 93: Ingeniería Civil
– 95: Ingeniería Militar
Catálogo de estándares
• Algunos TC:
– ISO/IEC JTC 1: Tecnología de la Información
– ISO/TC 22: Vehículos
– ISO/TC 34: Productos alimenticios
– ISO/TC 46: Información y documentación
– ISO/TC 146: Calidad del aire
– ISO/TC 215: Informática de la salud
Familias ISO 20000 y 27000
Subcomités
Subcomités relacionados con las TI
Subcomité Título
ISO/IEC JTC 1/SC 2 Conjunto de caracteres codificados
ISO/IEC JTC 1/SC 6 Telecomunicaciones e intercambio de
información entre sistemas
ISO/IEC JTC 1/SC 7 Ingeniería de software y sistemas
ISO/IEC JTC 1/SC 17 Tarjetas e identificación personal
ISO/IEC JTC 1/SC 22 Lenguajes de programación, sus
entornos e interfaces de sistemas SW
ISO/IEC JTC 1/SC 23 DRM para intercambio y
almacenamiento de información
ISO/IEC JTC 1/SC 24 Gráficos por ordenador, procesado de
imágenes y representación de datos
ISO/IEC JTC 1/SC 25 Interconexión de equipamiento TI
ISO/IEC JTC 1/SC 27 Técnicas de seguridad TI
ISO/IEC JTC 1/SC 28 Equipamiento ofimático
ISO 27000
Subcomités relacionados con las TI
Subcomité Título
ISO/IEC JTC 1/SC 29 Codificación de audio, imágenes,
multimedia e información hipermedia
ISO/IEC JTC 1/SC 31 Técnicas de identificación y de captura
de datos automáticos
ISO/IEC JTC 1/SC 32 Administración e intercambio de datos
ISO/IEC JTC 1/SC 34 Descripción de documentos y
lenguajes de procesado
ISO/IEC JTC 1/SC 35 Interfaces de usuario
ISO/IEC JTC 1/SC 36 TI para formación, educación y
entrenamiento
ISO/IEC JTC 1/SC 37 Biométricos
ISO/IEC JTC 1/SC 38 Cloud Computing y plataformas
distribuidas
ISO/IEC JTC 1/SC 39 Sostenibilidad para y por TI
ISO/IEC JTC 1/SC 40 Gestión de Servicios TI y Gobierno TI
ISO 20000
Familias ISO 20000 y 27000
ISO/IEC 20000
ISO/IEC 20000 – Tecnología de la Información –
Gestión de Servicios – Historia y evolución
Año Hito
1901 Fundación del BSI (British Standards Institution)
1989 Se establece el comité responsable de la gestión de servicios BSI
1995 Primer código de práctica (4 procesos de gestión de servicios)
1998 Segundo código de práctica (13 procesos de gestión de servicios)
2000 Libro de trabajo de auto-evaluación
Primera edición de la guía del Gestor de Servicios
Primera edición de la especificación BS 15000
2001 Recomendaciones para los “early adopters”
2002 Segunda edición de la especificación BS 15000
2003 Esquema de certificación lanzado por itSMF
2004 Primeras tres compañías certificadas BS 15000
Planificación de la transición a norma ISO
2005 Publicación de ISO/IEC 20000 y retirada de BS 15000
ISO/IEC 20000 – Tecnología de la Información –
Gestión de Servicios
Relaciones con otros marcos
20000-11 Marcos
de gestión
20000-12
CMMI-SVC
20000-2 Guía
de aplicación
20000-3 Alcance y
aplicabilidad
20000-4 Modelo
de referencia
20000-5 Ejemplo de
implementación
20000-6 Requisitos
auditoría / certificación
20000-8 Pequeñas
organizaciones
Sistema de Gestión de Servicios (SMS)
20000-1 Requisitos de
un SMS
Publicado
Borrador
estándar
Borrador
comité
Borrador
de trabajo
Borrador
a aprobación
Nuevo
proyecto
Cloud
20000-9 Aplicación a
servicios Cloud
Conceptos
20000-10 Conceptos
y terminología
20000-15 Gestión de
servicios
Gestión de servicios
ISO/IEC 20000 – Tecnología de la Información –
Gestión de Servicios – Organización
20000-2 Guía de
aplicación
20000-3 Alcance y
aplicabilidad
20000-4 Modelo de
referencia
20000-5 Ejemplo de
implementación
20000-1 Requisitos de
un SMS
Datos:
217 requisitos necesarios para realizar una entrega de servicios TI
La entrega estará alineada con negocio, calidad y valor añadido
Optimizar costes y garantizar la seguridad
Ciclo de mejora continua
Componentes:
Procesos de gestión de servicio
Políticas
Objetivos
Controles
ISO/IEC 20000 – Tecnología de la Información –
Gestión de Servicios – Organización
Secciones ISO/IEC 20000-1:
Alcance
Referencias Normativas
Términos y Definiciones
Requisitos generales de un Sistema de Gestión de Servicios (SMS)
Diseño y Transición de servicios nuevos o modificados
Procesos de Provisión de Servicio
Procesos de Relaciones
Procesos de Resolución
Procesos de Control
ISO/IEC 20000 – Tecnología de la Información –
Gestión de Servicios – ProcesosProcesos de Provisión de Servicio
Gestión de Capacidad Gestión de Nivel de ServicioGestión de Seguridad de
la Información
Gestión de Disponibilidad
y ContinuidadInformes de Servicio
Presupuesto y
Contabilidad de Servicios
Procesos de Control
Gestión de Configuración Gestión del CambioGestión de Entregas y
Despliegue
Procesos de Resolución
Gestión de Incidencias y peticiones de
servicioGestión de Problemas
Procesos de Relaciones
Gestión de Relaciones con el Negocio Gestión de Suministradores
Familias ISO 20000 y 27000
ISO/IEC 27000
ISO/IEC 27000 – Tecnología de la Información –
Técnicas de Seguridad – Historia y evolución
Año Hito
1901 Fundación del BSI (British Standards Institution)
1995 Primera parte de Gestión de Seguridad de Información BS 7799 – BSI
1999 Segunda parte de Gestión de Seguridad de Información BS 7799 – BSI
2000 ISO/IEC 17779: Código de buenas prácticas para la gestión de la
seguridad de la información
2005 Tercera parte de Gestión de Seguridad de Información BS 7799 – BSI
ISO/IEC 27001:2005
2007 ISO/IEC 17779 se convierte en ISO/IEC 27002
2013 ISO/IEC 27001:2013
ISO/IEC 27002:2013
ISO/IEC 27000 – Tecnología de la Información –
Técnicas de Seguridad – Organización
Datos:
148 puntos de control de gestión en la versión 2013 vs 102 en la
versión 2005
114 controles operacionales vs 133, 35 objetivos de control y 14
dominios vs 11
Adapta a su estructura a la del resto de normas ISO
Incluye Relaciones con el Proveedor
Se parte del análisis de riesgos en vez del ciclo activos-amenazas-
vulnerabilidades
Componentes:
Procesos
Políticas
Objetivos
Controles
27001
Requisitos
27002 Código de
Práctica
27003 Guía de
Implementación
27004
Medición
27005 Gestión de
Riesgos
27006 Requisitos
para auditores
27007 Líneas guía
de Auditoría
27008 Líneas guía
de Controles
General
27000 Visión general
y vocabulario
Publicado
Borrador
estándar
Borrador
comité
Borrador
de trabajo
Borrador
a aprobación
Nuevo
proyecto
ISO/IEC 27000 – Tecnología de la Información –
Técnicas de Seguridad – Organización
Secciones ISO/IEC 27001:
Alcance
Referencias Normativas
Términos y Definiciones
Contexto
Liderazgo
Planificación
Soporte
Operación
Evaluación
Mejora
PLAN
ISO/IEC 27000 – Tecnología de la Información –
Técnicas de Seguridad – Organización - PLAN
4. Contexto de la
Organización
Comprender
Organización y
Contexto
Expectativas de
los interesados
Alcance del ISMS
ISMS
5. Liderazgo
Liderazgo y
confirmación
Políticas
Roles,
responsabilidades
y autoridades
6. Planificación
Acciones Riesgos
y Oportunidades
Objetivos y planes
Seguridad de la
Información
7. Soporte
Recursos
Competencia
Concienciación
Comunicación
Información
documentada
8 19 39 28
PUNTOS DE CONTROL DE GESTIÓN
DO CHECK ACT
ISO/IEC 27000 – Tecnología de la Información –
Técnicas de Seguridad – Organización
8. Operación
Planificación y Control
Operacional
Evaluación Riesgos de
Seguridad de la Información
Tratamiento de Riesgos de
Seguridad de la Información
9. Evaluación Rendimiento
Monitorización, Medición,
Análisis y Evaluación
Auditoría Interna
Revisión Administrativa
10. Mejora
No conformidades y Acciones
correctivas
Mejora Continua
9 29 16
PUNTOS DE CONTROL
DE GESTIÓN
ISO/IEC 27000 – Tecnología de la Información –
Técnicas de Seguridad – Dominios
15. Relaciones con
suministradores
8. Gestión de Activos
16. Gestión de Incidencias de
Seguridad
7. Seguridad de recursos humanos
17. Gestión de la Continuidad del Negocio (BCM)
6. Organización Seguridad
Información
18. Cumplimiento
5. Políticas de Seguridad
12. Seguridad Operativa
11. Seguridad física y del
entorno
13. Seguridad Comunicaciones
10. Criptografía
14. Adquisición, desarrollo y
mantenimiento
9. Control de Acceso
Seguridad
de la
Información
1
2
2
7
3
6
3
10
4
14
1
2
2
15
7
14
2
7
3
13
2
5
1
7
2
4
2
8
OBJETIVOS CONTROL
CONTROLES
ISO/IEC 27000 – Tecnología de la Información –
Técnicas de Seguridad
27009 Requisitos27010 ISM para
comunicaciones
27011 Código de
Práctica
27013 Impl.
27001+20000-127014 Gobierno
Inter-sectores e inter-organizaciones
Finanzas
27015 Líneas guía
de servicios27016 Economía
de la organización
27001
Requisitos
27002 Código de
Práctica
27003 Guía de
Implementación
27004
Medición
27005 Gestión de
Riesgos
27006 Requisitos
para auditores
27007 Líneas guía
de Auditoría
27008 Líneas guía
de Controles
General
27000 Visión general
y vocabulario
Publicado
Borrador
estándar
Borrador
comité
Borrador
de trabajo
Borrador
a aprobación
Nuevo
proyecto
ISO/IEC 27000 – Tecnología de la Información –
Técnicas de Seguridad
Cloud
27017 Código de
Práctica27018 Protección
PII
Energía
27019 Control de
procesos
Competencias, continuidad y ciberseguridad
27021 Requisitos
competencias27023 ISO/IEC
27001 vs 27002
27031 Continuidad
del Negocio
27032 Líneas Guía
Ciberseguridad
Publicado
Borrador
estándar
Borrador
comité
Borrador
de trabajo
Borrador
a aprobación
Nuevo
proyecto
ISO/IEC 27000 – Tecnología de la Información –
Técnicas de Seguridad
Seguridad de red
27033-1 Visión
general y conceptos
27033-2 Líneas guía
de diseño e implem.
27033-3 Amenazas,
técnicas y control
27033-4 Asegurar
con gateways
27033-5 Asegurar
con VPN
27033-6 Asegurar
Wireless IP
Seguridad de aplicaciones
27034-1 Visión
general y conceptos
27034-2 Framework
normativo27034-3 Gestión
seguridad apps
27034-4 Validación
seguridad apps
27034-5 Protocolos y
estructuras de datos
27034-6 Guía de
seguridad apps
27034-7 Garantía
seguridad apps
27034-5-1 Esquemas
XML
PublicadoBorrador
estándar
Borrador
de trabajo
Borrador
a aprobación
Nuevo
proyecto
Borrador
comité
ISO/IEC 27000 – Tecnología de la Información –
Técnicas de Seguridad
Gestión de incidentes de seguridad de la información
27035 Gestión de
incidentes27035-1 Principios
27035-2 Líneas guía
de respuestas27035-3 Líneas guía
operaciones CSIRT
Gestión de relaciones con suministradores
27036-1 Visión
general y conceptos27036-2 Requisitos
27036-3 Líneas guía
cadena suministro27036-4 Líneas guía
servicios Cloud Publicado
Borrador
estándar
Borrador
comité
Borrador
de trabajo
Borrador
a aprobación
Nuevo
proyecto
ISO/IEC 27000 – Tecnología de la Información –
Técnicas de Seguridad
Evidencias e intrusión
27037 Evidencia
digital
27038 Redacción
digital
27039 Sistemas de
detección IDPS
27040 Seguridad de
almacenamiento
27041 Método
investigación
27042 Análisis e
interpretación
27043 Principios y
procesos
27044 Gestión de
Info y eventos SIEM
Descubrimiento electrónico
27050-1 Visión
general y conceptos
27050-2 Gobierno
y Gestión
27050-3 Código
de práctica
27050-4 Preparación
TIC
Publicado
Borrador
estándar
Borrador
comité
Borrador
de trabajo
Borrador
a aprobación
Nuevo
proyecto
Referencias
ISO – www.iso.org
BSI Group – www.bsigroup.com
ISO 27000 – www.iso27000.es
ISO 20000 – www.itil-iso20000.com
Certificación ISO 20000 EXIN®
https://www.exin.com/CR/es/examenes/&fw=itsm-based-on-iso/iec-20000
Con la colaboración de ...Alhambra-Eidos
C/ Albasanz 16, 4 Planta, Madrid, España
Teléfono: +34917872300
Web: http://www.alhambra-eidos.com ,
http://www.formaciontic.com
Email: [email protected]
Twitter: @alhambraeidos, @formaciontic
Facebook: /alhambraeidos, /formaciontic
Ponente: Ángel M. RayoFormador / consultor desde 2004 en Alhambra-
Eidos y con más de 8.000 horas de experiencia
Certificado como EXIN® Trainer, ITIL® Expert,
ISO/IEC 20000 Consultant Manager y EXIN®
Cloud Computing Foundation Certificate
Microsoft Certified Trainer (MCT) con experiencia
en .NET, SQL Server, SharePoint, Azure entre
otras tecnologías.
@oyara Ángel Rayo
Con la colaboración de:
@exin_es
¡GRACIAS!
youtube/exinexams
facebook.com/EXINEnCastellano
slideshare.net/EXINEnCastellano