anuies 2009. tendencias en sistemas de gestion

XIV REUNIÓN DE XIV REUNIÓN DE SEGURIDAD EN CÓMPUTOSEGURIDAD EN CÓMPUTO

Tendencias en la Implementación de Sistemas de Gestión de Servicios y

Servicios de TI

Conferencista:

Maricarmen García, CBCP

SecureInformationTechnologies

Jueves 29 de enero de 2009

TENDENCIAS EN LA IMPLEMENTACIÓN DE SISTEMAS DE GESTIÓN DE SERVICIOS Y SERVICIOS DE TI


Situación actual (Global)Situación actual (Global)

Fuente: ITGI – IT Governance Global Status Report 2008


Situación Situación actual (México)actual (México)

Fuente: Joint Future Systems (JFS) / Secure Information Technologies - Estudio de percepción sobre seguridad en informática 2008.


Situación actual (México)Situación actual (México)

Fuente: Joint Future Systems (JFS) / Secure Information Technologies - Estudio de percepción sobre seguridad en informática 2008.


Componentes comunes de los Sistemas de Componentes comunes de los Sistemas de Gestión Gestión

• Alcance• Enfocados a procesos, produtos o servicios de las

organizaciones

• Política• Ciclo Demming

• Planeación• Implementación y operación• Revisión de Desempeño• Mejora Continua

• Revisión de la Dirección


PDCA en los Sistemas de GestiónPDCA en los Sistemas de Gestión

Proceso

PLANEAR HACER

REVISARACTUAR

•Actividades•Controles•Documentació

n•Recursos•Objetivos

•Entregar y cumplir con el Plan

•Medir y monitorear conformidad y efectividad

•Analizar/revisar•Decidir/cambiar•Mejorar efectividad

•Mejora •Continua

Planear-Hacer-Revisar-Actuar / Plan-Do-Check-Act


Inicio - ¿Qué es información?Inicio - ¿Qué es información?

• ISO/IEC 27001 lo define como:

• “Un activo que, al igual que otros activos importantes de la empresa, es esencial para el negocio de una organización y consecuentemente necesita estar protegido adecuadamente”.


¿¿QuéQué puede hacerse con la información? puede hacerse con la información?

• Crearla• Almacenarla• Procesarla• Transmitirla• Utilizarla• Destruirla• Perderla• Corromperla


Existe información en diferentes formas:Existe información en diferentes formas:• Escrita• Hablada• Almacenada• Mostrada visualmente• En tránsito• etc.

Tipos de información cubierta por un Tipos de información cubierta por un SGSI:SGSI:

• Interna• Del Cliente• Compartida


Propiedades de seguridad de la informaciónPropiedades de seguridad de la información

Confidencialidad

• Asegurar que la información sea accesible sólo para quienes estén autorizados para ello.

Integridad

• Asegurar que la información este completa y sea exacta, así como los métodos de procesamiento

Disponibilidad

• Asegurar que los usuarios autorizados tengan acceso a la información a los activos relacionados cuando se requiera


Estándares de Sistema de Gestión de Estándares de Sistema de Gestión de Seguridad de la Información (ISMS)Seguridad de la Información (ISMS)

• Normas Internacionales:

• ISO27001:2005 – Requerimientos• ISO27002:2005 – Código de práctica

Objetivo de ISO27001 e ISO27002Objetivo de ISO27001 e ISO27002

• Salvaguardar la confidencialidad, integridad y disponibilidad de la información escrita, hablada y electrónica


Anexo:

27001

Table A.1 - Control objectives and controls

A.5 Security policy

A.6 Organization of information security

A.7 Asset management

A.8 Human resources security

A.9 Physical and environmental security

A.10 Communications and operations management

A.11 Access control

A.12 Information systems acquisition, development and maintenance

A.13 Information security incident management

A.14 Business continuity management

A.15 Compliance


27001

Fuente: http://www.iso27001certificates.com/

1. ALESTRA S. DE R.L. DE C.V. / SERVICIOS ALESTRA S.A. DE C.V.

2. AREA DE SISTEMAS DEL ABOGADO GENERAL DE CFE

3. ARMSTRONG LABORATORIOS DE MÉXICO, S.A. DE C.V.

4. AXALTO DE MEXICO, S.A. DE C.V. 5. BANCO NACIONAL DE MÉXICO,

S.A. INTEGRANTE DEL GRUPO FINANCIERO BANAMEX

6. COMISIÓN FEDERAL DE ELECTRICIDAD GERENCIA DE COMUNICACIÓN SOCIAL

7. COMISIÓN NACIONAL BANCARIA Y DE VALORES

8. GTECH CORPORATION MEXICO9. COMMUNICACIONES NEXTEL DE

MEXICO 10. CONSAR

11. ELCOTEQ MONTERREY, S.A. DE C.V. 12. GOBIERNO DEL DISTRITO FEDERAL

DELEGACION MIGUEL HIDALGO 13. GRUPO GDC DE MÉXICO, S.A. DE C.V. 14. HISPANIC TELESERVICES

CORPORATION, MONTERREY, NOEVO LEON

15. IMPULSE TELECOM QUERÉTARO 16. ORGANO DE FISCALIZATION SUPERIOR

DEL ESTADO DE PUEBLA, PUEBLA 17. PROCESAR S.A. DE C.V. 18. PRONÓSTICOS PARA LA ASISTENCIA

PÚBLICA 19. SUBGERENCIA DE PERSONAL DE LA

CFE 20. UNIDAD DE ENLACE DE LA COMISION

FEDERAL DE ELECTRICIDAD 21. UNIPAGO, S.A.

Empresas Certificadas en MéxicoEmpresas Certificadas en México


Creador:◦ British Standards Institution◦ Mantenido por International Organization for Standardization

Documento (s):◦ ISO/IEC 27001:2005 - Information technology – Security techniques – Information

security management systems - Requirements

◦ ISO/IEC 27002:2005 - Information technology – Security techniques – Information security management systems – Code of practice for information security management

◦ ISO/IEC 27005:2008 - Information technology – Security techniques – Information security risk management

◦ ISO/IEC 27006:2007 - Information technology – Security techniques – Requirements for bodies providing audit and certification of information security management systems

Descripción:◦ Especifica los requerimientos para establecer, implementar, operar,

monitorear, revisar, mantener y mejorar un sistema de gestión/administración de seguridad de la información dentro del contexto de los riesgos de negocio de la organización.

◦ Especifica los requerimientos para la implementación de controles de seguridad adecuados a las necesidades individuales de organizaciones o partes de ella.

27001


Objetivo:Objetivo:

20000

Proveer un Sistema de Gestión, incluyendo políticas y un marco de referencia para habilitar la Gestión e Implementación efectiva de todos los servicios de TI

Fuente: ISO/IEC 20000-1:2005


EstructuraEstructura

1. Alcance2. Términos y definiciones3. Requerimientos para un Sistema de Gestión4. Planear e Implementar la Gestión de Servicios5. Planear e Implementar Servicios Nuevos o Cambios6. Proceso de Entrega de Servicios7. Procesos de Relación8. Procesos de Resolución9. Procesos de Control10. Procesos de Liberación

20000


1. Alcance1. Alcance

Procesos de liberación

(versiones)

Administración de versiones

Procesos de resolución

Administración de incidentes

Administración de problemas

Procesos de relación

Administración de relaciones del negocio

Administración de proveedores

Procesos de entrega de servicios

Administración de la capacidad

Administración de la continuidad y disponibilidad

del servicio

Administración de niveles de servicioReporte de servicio

Administración de la seguridad de la

información

Presupuestación y contabilidad

Procesos de control

Administración de la configuración

Administración de cambios

20000

Fuente: BS ISO/IEC 20000-1:2005 Information technology – Service management


Creador:◦ British Standards Institution

◦ Mantenido por International Organization for Standardization

Documento (s):◦ ISO/IEC 20000-1:2005 - Information technology – Service management – Part 1:

Specification

◦ ISO/IEC 20000-2:2005 - Information technology – Service management – Part 2: Code of practice

Descripción:◦ Define los requerimientos para la entrega de servicios administrados de un

proveedor de servicios. Basado en BS 15000-2.

◦ Puede ser utilizado: Negocios que van a ofrecer sus servicios. Evaluar la gestión de servicios de TI. Como base para una evaluación independiente. Demostrar la habilidad para cumplir los requerimientos de clientes. Mejorar los servicios.

20000


Creador:◦ British Standards Institution

Documento (s):◦ BS25999-1:2006 – Business continuity management – Part 1: Code of

practice

◦ BS25999-2:2007 – Business continuity management – Part 2: Specification

Descripción:◦ Especifica los requerimientos para establecer, implementar, operar,

monitorear, revisar, ejercitar, mantener y mejorar un Sistema de Gestión/Administración de la Continuidad del Negocio (BCMS) dentro del contexto de administrar los riesgos de negocio de la organización.

BS 25999


BS 25999

Proceso de administración holístico que identifica las amenazas potenciales a la organización y el impacto a la operación del negocio de esas amenazas que, si se realizan, puedan causar y que provee un esquema para construir una resilencia organizacional con la capacidad de respuesta efectiva que salvaguarda los intereses de los accionistas, reputación, marca y actividades que generan valor.

Fuente: BS 25999-2:2007, 2.4

Objetivo:Objetivo:


BS 25999

Fuente: BS25999-2:2007 – Business Continuity Management

Partes Interesadas

Partes Interesadas

Requerimientos y expectativas de Continuidad de Negocio

Continuidad de Negocio Administrada

Establecer

Mantener y Mejorar

Implementar y Operar

Planear

Revisar

Actuar

Hacer

Monitoreo y revisión

Mejora Continua del Sistema de Administración

De Continuidad de Negocio

Entender la Organización

Determinar la Estrategia de BCP

Desarrollar e Implementar la respuesta de BCP

Ejercitar, mantener y revisar

Administrar el programa de BCP


Creador:◦ Office of Government Commerce in the United Kingdom

Documento (s):◦ ITIL – IT Infrastructure Library V3

Service Strategy Service Design Service Transition Service Operation Continual Service Improvement

Descripción:◦ Documenta las mejores prácticas para la Administración de Servicios de TI

(ITSM). Consiste en una serie de libros que proporcionan guía en la provisión de servicios de TI con calidad.


El modelo Frankenstein…El modelo Frankenstein…

COSO

COBIT

Val IT

ISO

270

01

ISO

270

05

ISO

20000

BS

259

99

ISO

9001

ITILDRII

PMBOK

BSCCMMI

Fuente: SecureInformationTechnologies, 2008


Motivadores

Gobiernocorporativo

Gobierno de TI

Estándares y mejores prácticas

Procesos y procedimientos

DesempeñoMetas del negocio

Cumplimiento

COSO

COBIT

BSC

PM

BO

K /

PR

INC

E2

Val IT

SOX, BASILEAII,PCI, ETC.

ISO 9001 ISO 20000ISO 27001

Procedimientosde calidad ITIL

Principios de Seguridad

(OECD)

BS 25999

DRII

ISO 27005CMMI

Procedimientosde desarrollo ymantenimiento

SSE - CMM

Fuente: SecureInformationTechnologies, 2008

Modelo Integral de Gobernabilidad de TIModelo Integral de Gobernabilidad de TI


ANSI

Australian Government

BCI

BSI

DRII

FEMA

FFIEC

IEEE

ISACA

ISC2

ISECOM

ISF

ISM3

ISSA

itSMF

ITU

NFPA

NIST

OECD

OGC

OSI

PCI

PMI

SEI

Singapore Standards

TickIT

Prehistoria

Fuente:ALAPSI y SecureInformationTechnologies, 2007

Mapa de estándaresMapa de estándares


PREGUNTAS?Maricarmen García, CBCP

SecureInformationTechnologiesDirector de Consultoría

[email protected]

anuies 2009. tendencias en sistemas de gestion

Technology