anuies 2009. tendencias en sistemas de gestion
TRANSCRIPT
XIV REUNIÓN DE XIV REUNIÓN DE SEGURIDAD EN CÓMPUTOSEGURIDAD EN CÓMPUTO
Tendencias en la Implementación de Sistemas de Gestión de Servicios y
Servicios de TI
Conferencista:
Maricarmen García, CBCP
SecureInformationTechnologies
Jueves 29 de enero de 2009
TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS DE GESTIÓN DE SERVICIOS Y SERVICIOS DE TI
TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS DE GESTIÓN DE SERVICIOS Y SERVICIOS DE TI
Situación actual (Global)Situación actual (Global)
Fuente: ITGI – IT Governance Global Status Report 2008
TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS DE GESTIÓN DE SERVICIOS Y SERVICIOS DE TI
Situación Situación actual (México)actual (México)
Fuente: Joint Future Systems (JFS) / Secure Information Technologies - Estudio de percepción sobre seguridad en informática 2008.
TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS DE GESTIÓN DE SERVICIOS Y SERVICIOS DE TI
Situación actual (México)Situación actual (México)
Fuente: Joint Future Systems (JFS) / Secure Information Technologies - Estudio de percepción sobre seguridad en informática 2008.
TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS DE GESTIÓN DE SERVICIOS Y SERVICIOS DE TI
TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS DE GESTIÓN DE SERVICIOS Y SERVICIOS DE TI
Componentes comunes de los Sistemas de Componentes comunes de los Sistemas de Gestión Gestión
• Alcance• Enfocados a procesos, produtos o servicios de las
organizaciones
• Política• Ciclo Demming
• Planeación• Implementación y operación• Revisión de Desempeño• Mejora Continua
• Revisión de la Dirección
TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS DE GESTIÓN DE SERVICIOS Y SERVICIOS DE TI
PDCA en los Sistemas de GestiónPDCA en los Sistemas de Gestión
Proceso
PLANEAR HACER
REVISARACTUAR
•Actividades•Controles•Documentació
n•Recursos•Objetivos
•Entregar y cumplir con el Plan
•Medir y monitorear conformidad y efectividad
•Analizar/revisar•Decidir/cambiar•Mejorar efectividad
•Mejora •Continua
Planear-Hacer-Revisar-Actuar / Plan-Do-Check-Act
TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS DE GESTIÓN DE SERVICIOS Y SERVICIOS DE TI
TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS DE GESTIÓN DE SERVICIOS Y SERVICIOS DE TI
Inicio - ¿Qué es información?Inicio - ¿Qué es información?
• ISO/IEC 27001 lo define como:
• “Un activo que, al igual que otros activos importantes de la empresa, es esencial para el negocio de una organización y consecuentemente necesita estar protegido adecuadamente”.
TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS DE GESTIÓN DE SERVICIOS Y SERVICIOS DE TI
¿¿QuéQué puede hacerse con la información? puede hacerse con la información?
• Crearla• Almacenarla• Procesarla• Transmitirla• Utilizarla• Destruirla• Perderla• Corromperla
TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS DE GESTIÓN DE SERVICIOS Y SERVICIOS DE TI
Existe información en diferentes formas:Existe información en diferentes formas:• Escrita• Hablada• Almacenada• Mostrada visualmente• En tránsito• etc.
Tipos de información cubierta por un Tipos de información cubierta por un SGSI:SGSI:
• Interna• Del Cliente• Compartida
TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS DE GESTIÓN DE SERVICIOS Y SERVICIOS DE TI
Propiedades de seguridad de la informaciónPropiedades de seguridad de la información
Confidencialidad
• Asegurar que la información sea accesible sólo para quienes estén autorizados para ello.
Integridad
• Asegurar que la información este completa y sea exacta, así como los métodos de procesamiento
Disponibilidad
• Asegurar que los usuarios autorizados tengan acceso a la información a los activos relacionados cuando se requiera
TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS DE GESTIÓN DE SERVICIOS Y SERVICIOS DE TI
Estándares de Sistema de Gestión de Estándares de Sistema de Gestión de Seguridad de la Información (ISMS)Seguridad de la Información (ISMS)
• Normas Internacionales:
• ISO27001:2005 – Requerimientos• ISO27002:2005 – Código de práctica
Objetivo de ISO27001 e ISO27002Objetivo de ISO27001 e ISO27002
• Salvaguardar la confidencialidad, integridad y disponibilidad de la información escrita, hablada y electrónica
TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS DE GESTIÓN DE SERVICIOS Y SERVICIOS DE TI
Anexo:
27001
Table A.1 - Control objectives and controls
A.5 Security policy
A.6 Organization of information security
A.7 Asset management
A.8 Human resources security
A.9 Physical and environmental security
A.10 Communications and operations management
A.11 Access control
A.12 Information systems acquisition, development and maintenance
A.13 Information security incident management
A.14 Business continuity management
A.15 Compliance
TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS DE GESTIÓN DE SERVICIOS Y SERVICIOS DE TI
27001
Fuente: http://www.iso27001certificates.com/
1. ALESTRA S. DE R.L. DE C.V. / SERVICIOS ALESTRA S.A. DE C.V.
2. AREA DE SISTEMAS DEL ABOGADO GENERAL DE CFE
3. ARMSTRONG LABORATORIOS DE MÉXICO, S.A. DE C.V.
4. AXALTO DE MEXICO, S.A. DE C.V. 5. BANCO NACIONAL DE MÉXICO,
S.A. INTEGRANTE DEL GRUPO FINANCIERO BANAMEX
6. COMISIÓN FEDERAL DE ELECTRICIDAD GERENCIA DE COMUNICACIÓN SOCIAL
7. COMISIÓN NACIONAL BANCARIA Y DE VALORES
8. GTECH CORPORATION MEXICO9. COMMUNICACIONES NEXTEL DE
MEXICO 10. CONSAR
11. ELCOTEQ MONTERREY, S.A. DE C.V. 12. GOBIERNO DEL DISTRITO FEDERAL
DELEGACION MIGUEL HIDALGO 13. GRUPO GDC DE MÉXICO, S.A. DE C.V. 14. HISPANIC TELESERVICES
CORPORATION, MONTERREY, NOEVO LEON
15. IMPULSE TELECOM QUERÉTARO 16. ORGANO DE FISCALIZATION SUPERIOR
DEL ESTADO DE PUEBLA, PUEBLA 17. PROCESAR S.A. DE C.V. 18. PRONÓSTICOS PARA LA ASISTENCIA
PÚBLICA 19. SUBGERENCIA DE PERSONAL DE LA
CFE 20. UNIDAD DE ENLACE DE LA COMISION
FEDERAL DE ELECTRICIDAD 21. UNIPAGO, S.A.
Empresas Certificadas en MéxicoEmpresas Certificadas en México
TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS DE GESTIÓN DE SERVICIOS Y SERVICIOS DE TI
Creador:◦ British Standards Institution◦ Mantenido por International Organization for Standardization
Documento (s):◦ ISO/IEC 27001:2005 - Information technology – Security techniques – Information
security management systems - Requirements
◦ ISO/IEC 27002:2005 - Information technology – Security techniques – Information security management systems – Code of practice for information security management
◦ ISO/IEC 27005:2008 - Information technology – Security techniques – Information security risk management
◦ ISO/IEC 27006:2007 - Information technology – Security techniques – Requirements for bodies providing audit and certification of information security management systems
Descripción:◦ Especifica los requerimientos para establecer, implementar, operar,
monitorear, revisar, mantener y mejorar un sistema de gestión/administración de seguridad de la información dentro del contexto de los riesgos de negocio de la organización.
◦ Especifica los requerimientos para la implementación de controles de seguridad adecuados a las necesidades individuales de organizaciones o partes de ella.
27001
TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS DE GESTIÓN DE SERVICIOS Y SERVICIOS DE TI
TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS DE GESTIÓN DE SERVICIOS Y SERVICIOS DE TI
Objetivo:Objetivo:
20000
Proveer un Sistema de Gestión, incluyendo políticas y un marco de referencia para habilitar la Gestión e Implementación efectiva de todos los servicios de TI
Fuente: ISO/IEC 20000-1:2005
TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS DE GESTIÓN DE SERVICIOS Y SERVICIOS DE TI
EstructuraEstructura
1. Alcance2. Términos y definiciones3. Requerimientos para un Sistema de Gestión4. Planear e Implementar la Gestión de Servicios5. Planear e Implementar Servicios Nuevos o Cambios6. Proceso de Entrega de Servicios7. Procesos de Relación8. Procesos de Resolución9. Procesos de Control10. Procesos de Liberación
20000
TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS DE GESTIÓN DE SERVICIOS Y SERVICIOS DE TI
1. Alcance1. Alcance
Procesos de liberación
(versiones)
Administración de versiones
Procesos de resolución
Administración de incidentes
Administración de problemas
Procesos de relación
Administración de relaciones del negocio
Administración de proveedores
Procesos de entrega de servicios
Administración de la capacidad
Administración de la continuidad y disponibilidad
del servicio
Administración de niveles de servicioReporte de servicio
Administración de la seguridad de la
información
Presupuestación y contabilidad
Procesos de control
Administración de la configuración
Administración de cambios
20000
Fuente: BS ISO/IEC 20000-1:2005 Information technology – Service management
TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS DE GESTIÓN DE SERVICIOS Y SERVICIOS DE TI
Creador:◦ British Standards Institution
◦ Mantenido por International Organization for Standardization
Documento (s):◦ ISO/IEC 20000-1:2005 - Information technology – Service management – Part 1:
Specification
◦ ISO/IEC 20000-2:2005 - Information technology – Service management – Part 2: Code of practice
Descripción:◦ Define los requerimientos para la entrega de servicios administrados de un
proveedor de servicios. Basado en BS 15000-2.
◦ Puede ser utilizado: Negocios que van a ofrecer sus servicios. Evaluar la gestión de servicios de TI. Como base para una evaluación independiente. Demostrar la habilidad para cumplir los requerimientos de clientes. Mejorar los servicios.
20000
TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS DE GESTIÓN DE SERVICIOS Y SERVICIOS DE TI
TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS DE GESTIÓN DE SERVICIOS Y SERVICIOS DE TI
Creador:◦ British Standards Institution
Documento (s):◦ BS25999-1:2006 – Business continuity management – Part 1: Code of
practice
◦ BS25999-2:2007 – Business continuity management – Part 2: Specification
Descripción:◦ Especifica los requerimientos para establecer, implementar, operar,
monitorear, revisar, ejercitar, mantener y mejorar un Sistema de Gestión/Administración de la Continuidad del Negocio (BCMS) dentro del contexto de administrar los riesgos de negocio de la organización.
BS 25999
TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS DE GESTIÓN DE SERVICIOS Y SERVICIOS DE TI
BS 25999
Proceso de administración holístico que identifica las amenazas potenciales a la organización y el impacto a la operación del negocio de esas amenazas que, si se realizan, puedan causar y que provee un esquema para construir una resilencia organizacional con la capacidad de respuesta efectiva que salvaguarda los intereses de los accionistas, reputación, marca y actividades que generan valor.
Fuente: BS 25999-2:2007, 2.4
Objetivo:Objetivo:
TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS DE GESTIÓN DE SERVICIOS Y SERVICIOS DE TI
BS 25999
Fuente: BS25999-2:2007 – Business Continuity Management
Partes Interesadas
Partes Interesadas
Requerimientos y expectativas de Continuidad de Negocio
Continuidad de Negocio Administrada
Establecer
Mantener y Mejorar
Implementar y Operar
Planear
Revisar
Actuar
Hacer
Monitoreo y revisión
Mejora Continua del Sistema de Administración
De Continuidad de Negocio
Entender la Organización
Determinar la Estrategia de BCP
Desarrollar e Implementar la respuesta de BCP
Ejercitar, mantener y revisar
Administrar el programa de BCP
TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS DE GESTIÓN DE SERVICIOS Y SERVICIOS DE TI
Creador:◦ Office of Government Commerce in the United Kingdom
Documento (s):◦ ITIL – IT Infrastructure Library V3
Service Strategy Service Design Service Transition Service Operation Continual Service Improvement
Descripción:◦ Documenta las mejores prácticas para la Administración de Servicios de TI
(ITSM). Consiste en una serie de libros que proporcionan guía en la provisión de servicios de TI con calidad.
TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS DE GESTIÓN DE SERVICIOS Y SERVICIOS DE TI
TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS DE GESTIÓN DE SERVICIOS Y SERVICIOS DE TI
El modelo Frankenstein…El modelo Frankenstein…
COSO
COBIT
Val IT
ISO
270
01
ISO
270
05
ISO
20000
BS
259
99
ISO
9001
ITILDRII
PMBOK
BSCCMMI
Fuente: SecureInformationTechnologies, 2008
TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS DE GESTIÓN DE SERVICIOS Y SERVICIOS DE TI
Motivadores
Gobiernocorporativo
Gobierno de TI
Estándares y mejores prácticas
Procesos y procedimientos
DesempeñoMetas del negocio
Cumplimiento
COSO
COBIT
BSC
PM
BO
K /
PR
INC
E2
Val IT
SOX, BASILEAII,PCI, ETC.
ISO 9001 ISO 20000ISO 27001
Procedimientosde calidad ITIL
Principios de Seguridad
(OECD)
BS 25999
DRII
ISO 27005CMMI
Procedimientosde desarrollo ymantenimiento
SSE - CMM
Fuente: SecureInformationTechnologies, 2008
Modelo Integral de Gobernabilidad de TIModelo Integral de Gobernabilidad de TI
TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS DE GESTIÓN DE SERVICIOS Y SERVICIOS DE TI
Motivadores
Gobiernocorporativo
Gobierno de TI
Estándares y mejores prácticas
Procesos y procedimientos
DesempeñoMetas del negocio
Cumplimiento
COSO
COBIT
BSC
PM
BO
K /
PR
INC
E2
Val IT
SOX, BASILEAII,PCI, ETC.
ISO 9001 ISO 20000ISO 27001
Procedimientosde calidad ITIL
Principios de Seguridad
(OECD)
BS 25999
DRII
ISO 27005CMMI
Procedimientosde desarrollo ymantenimiento
SSE - CMM
Fuente: SecureInformationTechnologies, 2008
Modelo Integral de Gobernabilidad de TIModelo Integral de Gobernabilidad de TI
TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS DE GESTIÓN DE SERVICIOS Y SERVICIOS DE TI
ANSI
Australian Government
BCI
BSI
DRII
FEMA
FFIEC
IEEE
ISACA
ISC2
ISECOM
ISF
ISM3
ISSA
itSMF
ITU
NFPA
NIST
OECD
OGC
OSI
PCI
PMI
SEI
Singapore Standards
TickIT
Prehistoria
Fuente:ALAPSI y SecureInformationTechnologies, 2007
Mapa de estándaresMapa de estándares
TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS DE GESTIÓN DE SERVICIOS Y SERVICIOS DE TI
PREGUNTAS?Maricarmen García, CBCP
SecureInformationTechnologiesDirector de Consultoría