Embed Size (px)
Citation preview
ESTRATEGIAS PARA LA IMPLEMENTACION DE ISO 20000 E ISO 27001 EN UNA UNIVERSIDAD
PÚBLICA COLOMBIANA.
Diana Rocio Plata Arango
Por qué es Importante??
• La Gestión de Servicios de Tecnología de Información se haconvertido en un requisito, para las Organizaciones y en lasUniversidades no hay excepción, cada vez es más comúnque se requiera calidad en la prestación de los servicios, elreto para los Departamentos de Tecnología es cada díamayor, dados los diferentes estándares, para la adopción debuenas prácticas que existen en el mercado, no se conoceaún una metodología que se pueda seguir para lograr conéxito la implementación de estándares. Sin embargopersiste la exigencia de ¿qué pasos se deberían seguir paragarantizar que los servicios de tecnología en laUniversidades están garantizando el servicio, la seguridad ydemostrando la mejora continua?
Características UPTCUniversidad Pedagógica Y Tecnológica
de Colombia
UPTC - cifras
• Estudiantes : 27000
• Docentes: 1600
• Funcionarios: 1100
• Sedes en Tunja, Duitama, Sogamoso, Chiquinquirá.
• Bogotá, Paipa
• 25 CREADS en el país.
SEDE INTERNET DATOS COMPUTADORES CENTROS DE CABLEADO
Tunja 120 Mbps 40 Mbps 1900 23
Duitama 50 Mbps 6 Mbps 250 6
Sogamoso 50 Mbps 6 Mbps 250 7
Chiquinquira 25 Mbps 4 Mbps 100 3
Grupo Organización y Sistemas.Tiene definidas 4 áreas de trabajo:Desarrollo y administración de los sistemas de Información,Redes y TelecomunicacionesSoporte a Usuarios en Hardware y Software.Administración de aulas de Informática para préstamo a Docentes y estudiantes.
ESTRATEGIAS
• Contar con el apoyo de la Alta Dirección.– 2010: inclusión del proyecto Adopción de Buenas
Prácticas en el área de TI bajo los estándares ISO 20000 e ISO 27000. Meta certificados a 2014.
• Buscar Asesoría con expertos. Empresas Consultoras.
• CAPACITACIÓN - MOTIVACIÓN.• Trabajo por procesos.
– Universidad Certificada con las normas ISO 9001 y NTCGP:1000
– Proceso Gestión de Recursos Informáticos
• El objetivo del proceso es: “Gestionar La Infraestructura
Informática Y De Telecomunicaciones, Que Permita La
Prestación De Servicios Para La Satisfacción De Necesidades
De Los Clientes”
• Contiene 4 procedimientos.
1. Procedimiento para la Incorporación de los Sistemas de
Información.
2. Soporte y Administración de Recursos Informáticos.
3. Seguridad de la Información
4. Administración de Aulas de Informática.
Proceso Gestión de Recursos Informáticos.
ESTRATEGIAS
• Proponer un modelo
ESTRATEGIAS
• IMPLEMENTACIÓN DE PROCESOS COMUNES•
1. Proceso Control de Documentos, se tiene ya plenamente establecido, enel cual se protegen y controlan los documentos, además se observa quese tienen previsto las actividades para elaboración, actualización ycontrol de versiones de los documentos que hacen parte de los sistemasde Gestión.
2. Proceso Control de Registros, el proceso existente garantiza que seestablecen y se mantienen los registros para establecer la evidencia y laconformidad con la operación y los requisitos de los dos estándares.
3. Proceso Auditorías Internas. Las dos normas lo requieren y este procesodebe contar con los criterios, el alcance, la frecuencia y los métodos deauditoria además los criterios de selección de los auditores.
4. Proceso de Revisión por la Dirección. Se establece la frecuencia, y lasentradas para el proceso de la revisión tal como está requerido por losdos estándares.
• PROCESOS COMUNES ENTRE LAS NORMAS•
• Proceso Gestión de Incidencias requerido por las dos normas.
• Proceso Gestión de activos en ISO 27001 se relaciona con Gestión de la Configuración en ISO 20000.
• Proceso Seguridad de la Información, requerido por ISO 20000 se cumple con las políticas adoptadas a partir de ISO 27001.
ESTRATEGIAS
• La norma ISO 20000, se presenta como unaalternativa, para mejorar el procesos desdeISO 9001 y que permitan garantizar laprestación satisfactoria de los servicios de TI yla gestión que se realice sobre estos, paralograr la satisfacción de los Usuarios.
ESTRATEGIAS ISO 20000
• ITSM:ITService Management es la disciplina que seenfoca a la gestión del conjunto “personas, procesosytecnología” que cooperan para asegurar la calidadde los servicios TI, con arreglo a unos nivelesdeservicio acordados previamente con el cliente.
Concepto ITSM
Procesos de ISO 20000
ESTRATEGIAS – ISO 20000
• Apoyarse en una Herramienta de Software.• Actualmente las empresas dedicadas a ofrecer servicios de TI, son
las mas interesadas en certificar sus servicios bajo este estándar. Detal forma que se han desarrollado diferentes herramientas deSoftware que ayudan a cumplir los procesos de ITIL que son la basede ISO 20000. Se busca implementar de manera más rápidaalgunos de los procesos requeridos por la norma: Entra lasdisponibles se encuentran:
• SAP Solution Manager.• BMSC Software ITSM V 8.1• PROACTIVA NET v8• EASY VISTA 2012• HELPEOPLE• ARANDA SOFTWARE
ESTRATEGIAS – ISO 20000
• La Universidad UPTC seleccionó PROACTIVA NET, cumple 10 procesos, es muy fácil de manejar, se encuentra en español y ofrece una interfaz muy amigable al usuario final, con la selección de esta herramienta se contaba con el avance en los siguientes procesos:
• Gestión de la Configuración y gestión de activos, ofrece diferentes opciones para el levantamiento de información de los diferentes elementos de Configuración que hacen parte de la Infraestructura dela Universidad, es decir equipos de cómputo, portátiles, servidores, impresoras, switch, Teléfonos IP, Software. A partir de esto se puede crear la CMDB, junto con el catálogo de servicios que ofrece el área de TI..
• Gestión de Incidentes, Gestión de problemas. Ofrece toda la infraestructura para el reporte de incidentes y la debida atención por parte de los técnicos de primer y segundo nivel, además el escalamiento en caso de que se conviertan en problema se puede realizar automáticamente y allí dejar definidos los diferentes reportes de cada caso.
ESTRATEGIAS – ISO 20000
• Gestión de cambios y Gestión de entregas. Se realizan las solicitudes y se generan los planes requeridos para nuevas implementaciones y la debida implementación de las mismas.
• Gestión del nivel del servicio y presentación de Informes. La herramienta genera todos los reportes al nivel de detalle que se desee, además allí mismo se crean los acuerdos de niveles de servicio, y se puede realizar el seguimiento del cumplimiento que se le da a los mismos.
ESTRATEGIAS – ISO 20000
• Apoyo con la empresa Consultora.
• Aprovechar el conocimiento de la empresa consultorapara crear las políticas del Sistema de Gestión deServicios de TI SGSTI, y un primer borrador de ladocumentación requerida como planes de la gestióndel servicio, esto es crear el plan de gestión del Servicioque se entiende como un Plan Estratégico detecnología Informática que debe ir alineado con losobjetivos de la universidad y el plan de desarrollo paragarantizar asignación de fondos y presupuestos,funciones y responsabilidades y riesgos entre otros.
ESTRATEGIAS – ISO 20000
• Apoyo con la empresa Consultora• Se debe identificar la relación con los otros procesos como Talento
Humano, Jurídica y manejo de proveedores, para implementar losroles requeridos por la norma, la aplicación de acuerdos de nivel deservicio en el manejo de contratos, entre otras características.
• Mejorar el proceso actual existente para la gestión financiera, de talforma que incorpore el presupuesto y contabilidad de los serviciosde Tecnología de la Información.
• El procedimiento de Seguridad de la Información, se vincula con lodesarrollado en ISO 27001.
• Mejorar el proceso existente para el manejo de los proveedores conel fin de que tenga en cuenta los requisitos de la norma, basada enel entendimiento del cliente y su negocio, para los proveedoresinternos y los proveedores externos.
• Las vulnerabilidades cada vez son mas frecuentes.• La utilización de modelos, normas y/o estándares, se ha
convertido en la herramienta más eficiente para evitarincidentes de seguridad, en especial aquellos quecontemplan no solo el tema tecnológico, sino, que abarcantoda la Organización.
• Un ejemplo se puede observar en la circular 052 de 2007,de la Superintendencia Financiera de Colombia, en la cualse imparten instrucciones relacionadas con losrequerimientos mínimos de seguridad y calidad en elmanejo de información, a través de medios y canales dedistribución de productos y servicios para clientes yusuarios [7].
ISO 27001.
ISO 27001
• Actualmente son muy comunes los ataques informáticos, y los usuarios que se ven afectados por desconocer de qué manera pueden protegerse, incluso el Estado colombiano ha comenzado programas como Gobierno en línea donde unos de los componentes importantes busca que las organizaciones estatales generen estrategias relacionadas con la seguridad de la Información.
• Otra iniciativa es la Ley de protección de Datos personales que se aplica al tratamiento de datos personales efectuado por entidades públicas o privadas, dentro del país o cuando el Responsable o Encargado no establecido en territorio nacional le sea aplicable la legislación colombiana en virtud de normas y tratados internacionales.
ISO 27001
• Casos para recordar el ataque hacia la plataformatecnológica de la Registraduría del Estado Civil deColombia, durante la realización de las pasadaselecciones presidenciales del mes de junio de2011, y no muy lejano el de las pasadaselecciones en Venezuela en el mes de abril de2013, donde ingresaron a la cuenta del entoncescandidato Nicolás Maduro.
• Casos de suplantación de Identidad (Phishing)
ISO 27001
• Componentes de un modelo de ISO 27001
• APOYO CON LA EMPRESA CONSULTORA DOCUMENTAR REQUERIMIENTOS DE LA NORMA.
• Gestión de activos• La gestión de activos busca, entre otros, identificar todos
aquellos activos que componen un proceso o la cadena de valor de la Organización, indicando la propiedad de los mismos. Así mismo se deben establecer las directrices de clasificación de los activos identificados, además de los procedimientos para etiquetar y manejar la información. Todo esto se puede resumir en el inventario y clasificación de activos de información.
Estrategias ISO 27001
– Gestión de riesgos
•
• Comprende el conjunto de actividades para controlar ydirigir la identificación y administración de los riesgosde la seguridad de la información para poder alcanzarlos objetivos del negocio. En este punto se trabaja conlos activos inventariados y clasificados anteriormente ypara lograr el objetivo es necesario identificar lasamenazas contra tales activos y las vulnerabilidadesque se pueden aprovechar. La gestión de riesgos debegarantizar que el impacto de las amenazas queexplotan las vulnerabilidades estén dentro de loslímites y costos aceptables
Estrategias ISO 27001
• Gestión de la continuidad• Consiste en desarrollar y administrar una capacidad para
responder ante incidentes destructivos y perjudiciales,relacionados con la seguridad de la información y la formade recuperarse de los mismos. En otras palabras,permitirle a la Organización continuar con sus operacionesen caso de una interrupción y restaurar los servicios tanrápida y eficazmente como sea posible.
•
• En este punto es importante la realización de tres etapas:• Análisis de impacto al negocio, BIA• Análisis de riesgos por pérdida de disponibilidad• Definición de la estrategia(s) de recuperación
Estrategias ISO 27001
• Gestión de la cultura en seguridad de la información
• Premisa: no existen parches para lidiar con eldesconocimiento de las personas. Para llevar abuen término la implantación de un SGSI esimportante tener en cuenta las personas. Todo elpersonal de la Organización debe estarinvolucrado y debe hacer parte activa del procesoy parte de la exigencia de la norma de contar conel apoyo manifiesto de la Alta Gerencia.
Estrategias ISO 27001
• Gestión del cumplimiento•
• Hace referencia al cumplimiento de todos aquellosrequisitos legales, políticas y normas de seguridad de lainformación y algunas consideraciones de auditoríaexigidas por la norma. Se deben tener en cuenta leyes(Habeas data y Delitos Informáticos, por ejemplo),normatividad del sector (circulas 052 y 038 de la SFC),normatividad interna (resoluciones), políticas (deseguridad de la información) y en general todosaquellos requisitos legales y de cumplimiento que laOrganización debe cumplir.
Estrategias ISO 27001
• Gestión de incidentes•
• El último y no menos importante proceso, hacereferencia a la gestión de incidentes. Es muyimportante resaltar la definición de incidentedentro de la norma ISO 27001: evento o serie deeventos de seguridad de la información nodeseados o inesperados, que tienen unaprobabilidad significativa de comprometer lasoperaciones del negocio y amenazar la seguridadde la información
Estrategias ISO 27001
ESTRATEGIAS – CAPACITACION.
• Con la inmersión de formación, las empresas puedenreducir la sensibilidad media de empleados a losataques dirigidos a menos del 10%. No sólo losempleados capacitados son mejores a la hora de evitarlas trampas del phishing, además pueden ser los ojos ylos oídos que sirvan para alertar a los miembrosrelevantes del equipo de seguridad de la organizaciónde intentos de allanamiento.
• Tomado de: http://iso27000.es/
PARA FINALIZAR
BENEFICIOS
RESUMEN
BENEFICIOS ISO 20000
• La estrategia de Tecnología alineada con el Plan deDesarrollo de la Universidad.
• Costos reducidos y controlados, esto se logra a través de laaplicación de los procedimientos de Gestión financiera parael área de TI.
• Tiempo más rápido en la implementación de los cambios,debido a que se encuentran controlados y descritos en losprocedimientos, no solo las actividades a realizar en uncambio sino el responsable de llevarlo a cabo.
• Fiabilidad y Disponibilidad del servicio , lo que resulta en lasatisfacción del cliente, esto llevado a cabo a través de losacuerdos de nivel de servicio y la correcta gestión deincidencias o de problemas según sea el caso.
BENEFICIOS ISO 20000
• Integración con los proveedores y socios, puesestarán más enfocados en los serviciosrequeridos por la Organización y el correctocumplimiento de lo contratado.
• Reducción y Control de los riesgos, aunque eneste punto se lograrán mejores resultadoscombinando con ISO 27000.
• Calidad de los servicios de Tecnología de laInformación y Fiabilidad de los Sistemas deTecnología.
• Motivación y compromiso en el personal
Beneficios ISO 27001
• Establecimiento de una metodología de gestión de la seguridad clara y estructurada.
• • Reducción del riesgo de pérdida, robo o corrupción de información.
• • Los clientes tienen acceso a la información a través medidas de seguridad.
• • Los riesgos y sus controles son continuamente revisados.• • Confianza de clientes y socios estratégicos por la garantía
de calidad y confidencialidad comercial.• • Las auditorías externas ayudan cíclicamente a identificar
las debilidades del sistema y las áreas a mejorar.• Tomado de: http://iso27000.es/
Beneficios ISO 27001
• • Continuidad de las operaciones necesarias de negocio tras incidentes de gravedad.
• • Conformidad con la legislación vigente sobre información personal, propiedad intelectual y otras.
• • Imagen de empresa a nivel internacional y elemento diferenciador de la competencia.
• • Confianza y reglas claras para las personas de la organización.
• • Reducción de costes y mejora de los procesos y servicio.• • Aumento de la motivación y satisfacción del personal.• • Aumento de la seguridad en base a la gestión de procesos
en vez de en la compra sistemática de productos y tecnologías.
RESUMEN ESTRATEGIAS
• Cuente con el apoyo de la Alta Dirección.• Contrate con empresas expertas para dar inicio al
proceso.• Si ya cuenta con una gestión por procesos como ISO
9001:2008 ya hay bastante abonado para los procesoscomunes. Sino el trabajo por procesos sirve para lasdos normas.
• Reúna a los líderes de procesos como talento Humano,Financiera, Proveedores y Jurídica.
• Capacitar al personal del área de TI en las normas.• Socialice y capacite a otros líderes de proceso
RESUMEN ESTRATEGIAS
• Genere estrategias para la divulgación a los usuariosfinales, videos, radio, impresos, mensajes al correo, en laintranet.
• Para ISO 27001 permita que los asesores de la empresaconsultora realicen el análisis GAP, la gestión de activos,gestión de riesgos y gestión de continuidad y vulnerabilidad
• Empodere al personal de Administración de redes yservidores para generar políticas para proteger los activosde los equipos.
• Capacitarse en Auditorías internas de cada norma paraconocer el punto de vista del auditor y preparase para lasauditorías internas y de certificación.
• Realice auditorías internas.
GRACIAS
