CU

RS

O D

E S

EG

UR

IDA

D T

EL

EM

AT

ICA

20

11

CU

RS

O D

E S

EG

UR

IDA

D T

EL

EM

AT

ICA

20

11

TIT

UL

O P

ON

EN

CIA

T

ITU

LO

PO

NE

NC

IA

11

José Angel ValderramaJosé Angel ValderramaAENORAENOR

Certificación Certificación de de

SGSI SGSI 2700127001

CU

RS

O D

E S

EG

UR

IDA

D T

EL

EM

AT

ICA

20

11

CU

RS

O D

E S

EG

UR

IDA

D T

EL

EM

AT

ICA

20

11

TIT

UL

O P

ON

EN

CIA

T

ITU

LO

PO

NE

NC

IA

22

● De qué?, y … para qué?

● El SGSI ISO 27001

● Qué es la certificación acreditada?

● El proceso de certificación del SGSI

● Tiene ventajas la certificación acreditada

● Situación actual de la certificación

● Otras certificaciones TIC

SGSI_1 2

Indice

CU

RS

O D

E S

EG

UR

IDA

D T

EL

EM

AT

ICA

20

11

CU

RS

O D

E S

EG

UR

IDA

D T

EL

EM

AT

ICA

20

11

TIT

UL

O P

ON

EN

CIA

T

ITU

LO

PO

NE

NC

IA

33

De, y para, la INFORMACIÓN

conjunto organizado de datos que tiene valor para un sujeto o sistema

¿Qué pasaría si

pierde la información, o no dispusiera de ella durante 24, 48, … horas, o

incluyera datos erróneos?, o

la tuviera la competencia?

De qué, y para qué

3

CU

RS

O D

E S

EG

UR

IDA

D T

EL

EM

AT

ICA

20

11

CU

RS

O D

E S

EG

UR

IDA

D T

EL

EM

AT

ICA

20

11

TIT

UL

O P

ON

EN

CIA

T

ITU

LO

PO

NE

NC

IA

44

Proteger la información, necesidad y obligación

Interna/Negocio, Externa/Clientes, Cumplimiento

Legislación genérica, y sectorial

Ley Orgánica 15/1999 de Protección de Datos de carácter personal. (LOPD)

Ley 34/2002, de servicios de la sociedad de la información y de comercio electrónico.

Real Decreto Legislativo 1/1996, aprueba el Texto Refundido de la Ley de Propiedad Intelectual.

Sanidad: LEY 41/2002, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica. …

Organismos pagadores de fondos: Reglamento (CE) nº 885/2006, que establece disposiciones para las autorizaciones, y la liquidación de cuentas al FEAGA / FEADER.

Banca, Loterías y apuestas, …

4

SGSI_1

CU

RS

O D

E S

EG

UR

IDA

D T

EL

EM

AT

ICA

20

11

CU

RS

O D

E S

EG

UR

IDA

D T

EL

EM

AT

ICA

20

11

TIT

UL

O P

ON

EN

CIA

T

ITU

LO

PO

NE

NC

IA

55

Seguridad de la Información (SI). ISO 27001

La preservación de la

Confidencialidad (accesible sólo a usuarios autorizados),

integridad (exacta y completa, y los métodos de proceso),

disponibilidad (accesible y usable por autorizados) ,

pudiendo, abarcar otras propiedades, como la autenticidad, la responsabilidad, la fiabilidad y el no repudio.

Teniendo en cuenta que, Teniendo en cuenta que,

seguridad de la información es más que seguridad informática. seguridad de la información es más que seguridad informática.

5

SGSI_1

CU

RS

O D

E S

EG

UR

IDA

D T

EL

EM

AT

ICA

20

11

CU

RS

O D

E S

EG

UR

IDA

D T

EL

EM

AT

ICA

20

11

TIT

UL

O P

ON

EN

CIA

T

ITU

LO

PO

NE

NC

IA

66

El Sistema de Gestión de la SI (SGSI). ISO 27001

La parte del SG general, basada en un enfoque de riesgo empresarial, que se establece para crear, implementar, operar, supervisar, revisar, mantener y mejorar la Seguridad de la Información. (ISO 27001)

ISO 27001 es el estándar internacional para los SGSI, y

permite a la organización evaluar sus riesgos, e

implementar controles apropiados que

preserven la confidencialidad, la integridad y la disponibilidad de la información.

6

SGSI_1

CU

RS

O D

E S

EG

UR

IDA

D T

EL

EM

AT

ICA

20

11

CU

RS

O D

E S

EG

UR

IDA

D T

EL

EM

AT

ICA

20

11

TIT

UL

O P

ON

EN

CIA

T

ITU

LO

PO

NE

NC

IA

77

SGSI herramienta de la Dirección. ISO 27001

Para

Establecer una política, un alcance y unos objetivos para la SI.

Salvaguardar los activos de información y los sistemas que los procesan;

Seleccionar controles de seguridad, adecuados y proporcionados;

Seguimiento de los resultados y la eficiencia del SGSI;

La mejora contínua;

en el marco de los riesgos empresariales generales.

Enfoque común con otros SG. ISO (9001, 14001, 20000).

Para todo tipo de organizaciones.

Enfoque por procesos, y para la mejora continua.

Abarca aspectos legales.

7

SGSI_1

CU

RS

O D

E S

EG

UR

IDA

D T

EL

EM

AT

ICA

20

11

CU

RS

O D

E S

EG

UR

IDA

D T

EL

EM

AT

ICA

20

11

TIT

UL

O P

ON

EN

CIA

T

ITU

LO

PO

NE

NC

IA

88

El modelo de SGSI ISO 27001

Basado en la normativa internacional (ISO)

● UNE ISO/IEC 27001:2007 (ISO/IEC 27001:2005). SGSI. Requisitos.

UNE ISO/IEC 27001:2007/1M Dic. 2009 (correspondencia directa con ISO/IEC 27002:2005)

– El SGSI está diseñado con el fin de asegurar la selección de controles de seguridad,adecuados y proporcionados, que protejan los activos de información y den garantíasa las partes interesadas.

● UNE ISO/IEC 27002:2009 Código de buenas prácticas para la gestión de la SI

Aplica requerimientos adicionales genéricos (LOPD, LSSI, …), y sectoriales (Administraciones públicas, Sanidad, Telecomunicaciones, Health Insurance

Portability and Accountability Act, …).

Sirve de marco de referencia para cualquier SGSI sectorial (ENS, WLA, …).

8

SGSI_1

CU

RS

O D

E S

EG

UR

IDA

D T

EL

EM

AT

ICA

20

11

CU

RS

O D

E S

EG

UR

IDA

D T

EL

EM

AT

ICA

20

11

TIT

UL

O P

ON

EN

CIA

T

ITU

LO

PO

NE

NC

IA

99

El modelo ISO 27001, Para quienes?

● Para cualquier tipo de organización, independientemente de su tamaño y sector de actividad;

● Para distintos alcances, dentro de cada organización;

Este Sistema proporciona mecanismos para la salvaguarda de los activos de Información, y de los sistemas que los procesan, en concordancia con las

políticas de Seguridad y planes estratégicos de la Organización.

9

SGSI_1

CU

RS

O D

E S

EG

UR

IDA

D T

EL

EM

AT

ICA

20

11

CU

RS

O D

E S

EG

UR

IDA

D T

EL

EM

AT

ICA

20

11

TIT

UL

O P

ON

EN

CIA

T

ITU

LO

PO

NE

NC

IA

10

10

El modelo ISO 27001

Sigue pautas de ISO 9001 e ISO 14001 (integrable).

Define qué se requiere, y no define el como se ha de cumplir (tecnológicamente neutral).

En el marco de los riesgos empresariales generales.

o Parte del análisis de activos y sistemas de información (datos, SW, HW, servicios prestados o recibidos, telecomunicaciones, personas, instalaciones, soportes de información), para realizar la evaluación de riesgos.

o Prioriza y decide el tratamiento de los riesgos no aceptables, y aprueba el riesgo residual.

Fin, seleccionar controles de seguridad, adecuados y proporcionados.

o Tratamiento del riesgo (Evitar, Transferir, Reducir, Asumir)

o SGSI documentado

Enfoque por procesos, y para la mejora contínua.

10

A

C

P

1 Política de SI2 Aspectos organizativos de la SI3 Gestión de activos4 Seguridad ligada a los RRHH5 Seguridad física y ambiental

6 Gestión de comunicaciones y operaciones7 Control de acceso8 Adquisición, desarrollo y mantenimiento de los sistemas de información9 Gestión de incidentes de seguridad de la información10. Gestión de la continuidad del negocio11 Cumplimiento

ISO/IEC 27001 Anexo A (normativo) –ISO/IEC 27002 (guía para la implantación)

Establecer alcance y los límitesDefinir política de seguridadRealizar análisis y evaluación de riesgosEvaluar opciones para su tratamientoSeleccionar objetivos de control y controlesAprobación de la Dirección del Riesgo residualAutorización para implantar el SGSIDeclaración de Aplicabilidad

Implantar plan de gestión de riesgosImplantar el SGSIImplantar los controles

Revisar internamente el SGSIRealizar auditorias internas del SGSI

Adoptar las acciones correctivasAdoptar las acciones preventivas

D

El modelo ISO 27001

CU

RS

O D

E S

EG

UR

IDA

D T

EL

EM

AT

ICA

20

11

CU

RS

O D

E S

EG

UR

IDA

D T

EL

EM

AT

ICA

20

11

TIT

UL

O P

ON

EN

CIA

T

ITU

LO

PO

NE

NC

IA

12

12

● A.5 Política de seguridad– A.5.1 Política de seguridad de la información

Objetivo: La Dirección proporcionará indicaciones y dará apoyo la seguridad de la información de acuerdo con los

requisitos del negocio y con la legislación y las normativas aplicables.

● A.5.1.1 Documento de política de segundad de la información.

Control La Dirección debe aprobar un documento de política de segundad de la información, publicarlo y

distribuir lo a todos los empleados y terceros afectados.

● A.8 Seguridad ligada a los recursos humanos– A. 8.1 Antes del empleo

Objetivo: Asegurar que los empleados, los contratistas y los terceros conocen y comprenden sus

responsabilidades, y son adecuados para llevar a cabo las funciones que les corresponden, así como para reducir

el riesgo de robo, fraude o de uso indebido de los recursos.

– A. 8.1.1 Funciones y responsabilidades

– A.8.1.2 Investigación de antecedentes

– A.8.1.3 Términos y condiciones de contratación

● A.9 Seguridad física y ambiental

● A.10 Gestión de comunicaciones y operaciones– A. 10.4 Protección contra el código malicioso y descargable

– A.10.5 Copias de seguridad

El modelo ISO 27001. Ej de controles (ISO 27002)

12

CU

RS

O D

E S

EG

UR

IDA

D T

EL

EM

AT

ICA

20

11

CU

RS

O D

E S

EG

UR

IDA

D T

EL

EM

AT

ICA

20

11

TIT

UL

O P

ON

EN

CIA

T

ITU

LO

PO

NE

NC

IA

13

13

¿Qué es la certificación?

Acto por el que una tercera parte testifica que ha obtenido la adecuada confianza en la conformidad de un determinado producto, proceso o servicio, debidamente identificado, con una norma u otro documento normativo especificado.

SGSI_1 13

CU

RS

O D

E S

EG

UR

IDA

D T

EL

EM

AT

ICA

20

11

CU

RS

O D

E S

EG

UR

IDA

D T

EL

EM

AT

ICA

20

11

TIT

UL

O P

ON

EN

CIA

T

ITU

LO

PO

NE

NC

IA

14

14

Certificación acreditada ISO 27001

Contenidos básicos equivalentes a otras certificaciones ISO:

- La entidad de acreditación: verifica y reconoce la competencia de la entidad de certificación y los auditores, determina la confianza en la entidad de certificación, y sus certificados. ENAC acredita en España. (ISO17021; ISO 27006; Proc. ENAC)

- La entidad de certificación: establece el proceso de certificación, y asegura la competencia del equipo auditor y el cumplimiento de las normativas de certificación de SGSI (ISO 27001; ISO 27006; Regl. y Proc. de certificación).

- El equipo auditor: organiza y realiza los trabajos de auditoría, determinando la calidad del proceso de auditoría y certificación.

14

SGSI_1

CU

RS

O D

E S

EG

UR

IDA

D T

EL

EM

AT

ICA

20

11

CU

RS

O D

E S

EG

UR

IDA

D T

EL

EM

AT

ICA

20

11

TIT

UL

O P

ON

EN

CIA

T

ITU

LO

PO

NE

NC

IA

15

15

Acreditación de AENOR para certificar SGSI

SGSI_1 15

● Acreditada por ENAC para certificar SGSI.

● Miembro español de IQNet (red mundial con 38 socios de referencia).

● 21 centros operativos en España, además de México, Chile, Italia, Portugal, Brasil, El Salvador, Perú y Bulgaria.

● Gama completa de certificaciones TIC, …

● La más amplia experiencia, cualificación, y prestigio.

● Auditores competentes, y cualificados en SGSI, y otros referenciales (ISO 20000, ISO 15504, ISO 9001, I+D+i , …)

CU

RS

O D

E S

EG

UR

IDA

D T

EL

EM

AT

ICA

20

11

CU

RS

O D

E S

EG

UR

IDA

D T

EL

EM

AT

ICA

20

11

TIT

UL

O P

ON

EN

CIA

T

ITU

LO

PO

NE

NC

IA

16

16

El equipo auditor de AENOR

● Cualificado (Educación, Formación y Experiencia);

Ej. 4 años de experiencia a tiempo completo y reciente en TICs, y dos de ellos en Seguridad de la Información.

● Perfil seleccionado conforme a cada empresa;

● Profesionalidad, Confidencialidad, Integridad;

● Compromiso;

● Y apoyo continuo, actualización de conocimientos tecnológicos y legales, y supervisión.

16

CU

RS

O D

E S

EG

UR

IDA

D T

EL

EM

AT

ICA

20

11

CU

RS

O D

E S

EG

UR

IDA

D T

EL

EM

AT

ICA

20

11

TIT

UL

O P

ON

EN

CIA

T

ITU

LO

PO

NE

NC

IA

17

17

El proceso de certificación del SGSI

17

SGSI_1

AUDITORÍA DEL

SISTEMA

FASE II

AUDITORÍAS DE

SEGUIMIENTO

(Anuales)

AUDITORÍAS DE

RENOVACIÓN

(Cada tres años)

AUDITORÍA

EXTRAORDINARIA

CONCESIÓN DEL

CERTIFICADO, y uso de marca

PLAN DE ACCIONES

CORRECTORAS

1 mes

VISITA PREVIA

FASE I

ANÁLISIS DE LA

DOCUMENTACIÓN

FASE I

INFORME/s

INFORME

CUESTIONARIO PREVIO Y

SOLICITUD

PLANIFICACIÓN DE LA

AUDITORÍA

CU

RS

O D

E S

EG

UR

IDA

D T

EL

EM

AT

ICA

20

11

CU

RS

O D

E S

EG

UR

IDA

D T

EL

EM

AT

ICA

20

11

TIT

UL

O P

ON

EN

CIA

T

ITU

LO

PO

NE

NC

IA

18

18

El proceso de certificación del SGSI

18

SGSI_1

Actividad Objetivo

Solicitud de oferta y

cuestionario previo

Recopilar información del SGSI. Dimensionar la certificación y determinar la

competencia necesaria del equipo auditor. Oferta aceptada.

Planificación de la

auditoría

Asignar equipo auditor, acordar fechas, preparar actividades, …

Planificación

Fase I (análisis de

documentación, visita

a instalaciones, …)

Revisar las líneas generales del SGSI (documentación, ubicación e

instalaciones, alcance del SGSI, enfocar y acordar planificación de Fase II).

Informe

Fase II (Auditoría

inicial)

Confirmar la implantación del SGSI, y adecuación a la ISO 27001. Informe

de auditoría inicial.

Plan de acciones

correctivas, y

Decisión

Evaluar las acciones correctivas tomadas contra las no conformidades.

Decisión de concesión del certificado (Si / No, con o sin Aud. Extraordinaria)

Auditoría

extraordinaria

Confirmar la resolución de las no confomidades . Informe.

Emisión y entrega del

certificado

Entrega del certificado acreditado, licencia de uso, y registro de la

certificación.

Certificado válido por tres años.

Aud. de seguimiento Evaluar la implantación del SGSI , prevenir desviaciones. Anual.

Aud. de renovación Evaluar implantación del SGSI, y emitir nuevo certificado. Cada tres años.

CU

RS

O D

E S

EG

UR

IDA

D T

EL

EM

AT

ICA

20

11

CU

RS

O D

E S

EG

UR

IDA

D T

EL

EM

AT

ICA

20

11

TIT

UL

O P

ON

EN

CIA

T

ITU

LO

PO

NE

NC

IA

19

19

● Definir el alcance del SGSI.

● Auditar la documentación del SGSI, conforme a ISO 27001.

● Visitar y evaluar las instalaciones, e intercambio de información con personal de la organización.

● Recopilación de información y documentación necesaria para la certificación.

● Evaluar nivel de implantación del SGSI, y controles.

● Preparación de la planificación de la Fase II.

Fase I (IOM, VP) del proceso de certificación

19

CU

RS

O D

E S

EG

UR

IDA

D T

EL

EM

AT

ICA

20

11

CU

RS

O D

E S

EG

UR

IDA

D T

EL

EM

AT

ICA

20

11

TIT

UL

O P

ON

EN

CIA

T

ITU

LO

PO

NE

NC

IA

20

20

● Reunión inicial (revisar la planificación).

● Auditoría:

– La política de seguridad de la información;

– Identificación y evaluación de riesgos (comparable y reproducible);

– La documentación del SGSI;

– Correspondencia de controles – D. de aplicabilidad – Evaluación de riesgos – Política y objetivos;

– Implantación de los controles, y medidas de eficacia para determinar si son eficaces para los objetivos marcados;

– Procesos del SG (auditoría, revisión del SGSI, requisitos, …)

● Reunión final (informe final de resultados, y aclaración de dudas).

Fase II (Auditoría Inicial) del proceso de certificación

20

CU

RS

O D

E S

EG

UR

IDA

D T

EL

EM

AT

ICA

20

11

CU

RS

O D

E S

EG

UR

IDA

D T

EL

EM

AT

ICA

20

11

TIT

UL

O P

ON

EN

CIA

T

ITU

LO

PO

NE

NC

IA

21

21

El certificado del SGSI

21

SGSI_1

CU

RS

O D

E S

EG

UR

IDA

D T

EL

EM

AT

ICA

20

11

CU

RS

O D

E S

EG

UR

IDA

D T

EL

EM

AT

ICA

20

11

TIT

UL

O P

ON

EN

CIA

T

ITU

LO

PO

NE

NC

IA

22

22

Ventajas del SG … para la SI

Transforma la SI en una actividad de gestión.

— Sistematizar las actividades de SI.

— Planificar, organizar y estructurar los recursos asignados a SI.

— Establecer objetivos y metas que aumentan la confianza en la SI.

— Identificar y clasificar los activos de información

— Analizar activos y riesgos.

— Seleccionar controles y dispositivos físicos y lógicos adecuados.

— Asegurar el nivel necesario de disponibilidad, integridad, y confidencialidadde la información.

— Eficiencia y ahorro de recursos en las actividades de SI, mejora motivación eimplicación de los empleados.

— Planificar la adecuada gestión de la continuidad del negocio.

— Establecer procesos y actividades de revisión, mejora continua y auditoría

de la gestión y tratamiento de la información

SGSI_1 22

CU

RS

O D

E S

EG

UR

IDA

D T

EL

EM

AT

ICA

20

11

CU

RS

O D

E S

EG

UR

IDA

D T

EL

EM

AT

ICA

20

11

TIT

UL

O P

ON

EN

CIA

T

ITU

LO

PO

NE

NC

IA

23

23

– Integrar la gestión de la SI con otros SG empresarial.

– Mejorar la imagen, confianza y competitividad empresarial.

– Comprobar su compromiso con el cumplimiento de la legislación: protección de datos de carácter personal, servicios sociedad de información, comercio electrónico, propiedad intelectual, etc.

– Dar satisfacción a accionistas y demostrar el valor añadido de las actividades de SI en la empresa.

ES SOPORTE, APORTA CONFIANZA ES SOPORTE, APORTA CONFIANZA -- CREDIBILIDADCREDIBILIDAD

Ventajas del SGSI para el Negocio

SGSI_1 23

CU

RS

O D

E S

EG

UR

IDA

D T

EL

EM

AT

ICA

20

11

CU

RS

O D

E S

EG

UR

IDA

D T

EL

EM

AT

ICA

20

11

TIT

UL

O P

ON

EN

CIA

T

ITU

LO

PO

NE

NC

IA

24

24

Ventajas de certificar ISO 27001 el SGSI

● Apoya enfoque de negocio de la Dirección, y la actividad del Responsable del SGSI.

● Demuestra el cumplimiento de requisitos ( ISO 27001, legales)

● Incrementa el compromiso, y la concienciación.

● Auditores formados, cualificados, y expertos (El análisis del experto, novedades y oportunidades de mejora).

● Reconocimiento internacional

● Genera confianza / credibilidad interna y externa

(clientes, empleados, accionistas / propietarios, administraciones / jueces, …)

● Imagen de marca y diferenciación

● Novedoso … aún

24

SGSI_1

CU

RS

O D

E S

EG

UR

IDA

D T

EL

EM

AT

ICA

20

11

CU

RS

O D

E S

EG

UR

IDA

D T

EL

EM

AT

ICA

20

11

TIT

UL

O P

ON

EN

CIA

T

ITU

LO

PO

NE

NC

IA

25

25

Por ej. reducción de sanciones en la LOPD

La Audiencia Nacional, reduce de 60.000 a 6.000 euros la multa impuesta por la Agencia Española de Protección de Datos (AEPD) a Europ-Assistance Servicios Integrales de Gestión por facilitar datos erróneos de un conductor referidos a una infracción de tráfico. (Norma UNE-EN-ISO 9001:2008).

La AEPD, ARSYS INTERNET, S.L. por una infracción tipificada como grave, una multa de 6.000 (SGSI según ISO 27001).

Ley 2/2011, de 4 de marzo, de Economía Sostenible (modifica la Ley Orgánica 15/1999, LOPD) Modifica art. 45:

La cuantía de las sanciones se graduará atendiendo a criterios …

i) La acreditación de que con anterioridad a los hechos … tenía implantados procedimientos adecuados de actuación en la recogida y tratamiento de Ios datos de carácter personal, siendo la infracción consecuencia de una anomalía en el funcionamiento de dichos procedimientos no debida a una falta de diligencia exigible al infractor.

25

SGSI_1

CU

RS

O D

E S

EG

UR

IDA

D T

EL

EM

AT

ICA

20

11

CU

RS

O D

E S

EG

UR

IDA

D T

EL

EM

AT

ICA

20

11

TIT

UL

O P

ON

EN

CIA

T

ITU

LO

PO

NE

NC

IA

26

26

The ISO Survey 2010

Top 10 countries for ISO/IEC 27001 certificates - 2009

1 Japan 5508

2 India 1240

3 United Kingdom 946

4 Taipei, Chinese 934

5 Spain 483

6 China 459

7 Romania 303

8 Italy 297

9 Czech Republic 264

10 Germany 253

26

SGSI_1

ISO/IEC 27001 - Europe

Year 2006 2007 2008 2009

Country 810 988 1545 2546

Czech Republic 27 77 88 264

Germany 95 135 239 253

Italy 175 148 233 297

Romania 4 16 44 303

Spain 23 93 203 483

United Kingdom 486 519 738 946

ISO/IEC 27001 - Information security management systems - Requirements

Overview

Year 2006 2007 2008 2009

TOTAL 5797 7732 9246 12934

Africa / West Asia 426 600 983 1554

Central / South America 18 38 72 99

North America 79 112 212 322

Europe 1064 1432 2172 3564

Far East 4150 5494 5740 7335

Australia / New Zealand 60 56 67 60

CU

RS

O D

E S

EG

UR

IDA

D T

EL

EM

AT

ICA

20

11

CU

RS

O D

E S

EG

UR

IDA

D T

EL

EM

AT

ICA

20

11

TIT

UL

O P

ON

EN

CIA

T

ITU

LO

PO

NE

NC

IA

27

27

The ISO Survey 2010

27

SGSI_1

ISO/IEC 27001 - Certificates by industrial sector

The following table gives an idea of the number of certificates by industrial sector. Not all data sources responded to the request …

EA* Code Nos.

ISO/IEC 27001 BY INDUSTRIAL SECTOR

2006 2007 2008 2009

33 Information technology 890 1236 1152 208635 Other Services 189 204 228 38036 Public administration 23 33 79 18134 Engineering Services 25 33 48 173

31Transport, storage and communication 60 70 63 170

32Financial intermediation, real estate, rental 47 54 68

148

19Electrical and optical equipment 38 58 50 135

28 Construction 55 17 12 12738 Health and social work 14 10 61 10237 Education 8 9 25 47

TOTAL 1349 1724 1786 3549

CU

RS

O D

E S

EG

UR

IDA

D T

EL

EM

AT

ICA

20

11

CU

RS

O D

E S

EG

UR

IDA

D T

EL

EM

AT

ICA

20

11

TIT

UL

O P

ON

EN

CIA

T

ITU

LO

PO

NE

NC

IA

28

28

AENOR en las TICs

Normas y certificaciones

TICs

UNE 71599 Gestión de continuidad de negocio

IT Governance

ISO/IEC 38500

ISO 15504 SPiCE - PRM

SW (parte 2, 5, 7)

ISO 12207 ciclo de vida de desarrollo de SW

ISO 19770 SAM

ISO 20001-1 S.G. STI

ISO 20000-2 Guía de buenas prácticas

ISO 27001 SG Seguridad de la Información

ISO 27002 Guía de controles

UNE 139803 Accesibilidad Web

Auditoría reglamentaria a operadores de telecomunicaciones (Calidad de servicio y facturación )

Buenas prácticas en comercio electrónico

…

ISO 9001 - EFQM; ISO 14001 – EMAS; OHSAS; …

SGSI_1 28

CU

RS

O D

E S

EG

UR

IDA

D T

EL

EM

AT

ICA

20

11

CU

RS

O D

E S

EG

UR

IDA

D T

EL

EM

AT

ICA

20

11

TIT

UL

O P

ON

EN

CIA

T

ITU

LO

PO

NE

NC

IA

29

29

AENOR. Certificaciones TIC

– SGSI –UNE ISO 27001:

• Mas de 320 empresas certificadas, en todos los sectores.

• España en el top five.

– SGSTI- UNE-ISO 20000:

• Sistema de Gestión de Servicios de TI.

• Calidad en la Gestión de servicios de TICs a la empresa o clientes (CPD externo o CPD interno).

• Basado en las librerías ITIL.

• Más de 70 empresas certificadas (el 50% PYMES-TIC)

• España en el top ten, según ItSMF.

SGSI_1 29

CU

RS

O D

E S

EG

UR

IDA

D T

EL

EM

AT

ICA

20

11

CU

RS

O D

E S

EG

UR

IDA

D T

EL

EM

AT

ICA

20

11

TIT

UL

O P

ON

EN

CIA

T

ITU

LO

PO

NE

NC

IA

30

30

AENOR. Certificaciones TIC

– SPICE – ISO 15504 :• Modelo de madurez del desarrollo de software. Factorías de

SW.

• Modelo ISO, aplica como modelo de Procesos la ISO 12207: Ciclo de Vida de Desarrollo de Software. Fases en la creación de un software.

• Es la competencia a CMMI.

• Proyecto piloto para España y Latinoamérica.

• 24 empresas certificadas.

– Accesibilidad de sitios WEB - UNE 139803

• Certificación de páginas web, como contenido desarrollado y/o como portal web que se mantiene accesible.

• 32 sitios web certificados

SGSI_1 30

CU

RS

O D

E S

EG

UR

IDA

D T

EL

EM

AT

ICA

20

11

CU

RS

O D

E S

EG

UR

IDA

D T

EL

EM

AT

ICA

20

11

TIT

UL

O P

ON

EN

CIA

T

ITU

LO

PO

NE

NC

IA

31

31

Logos de certificaciones en AENOR

SGSI_1 31

CU

RS

O D

E S

EG

UR

IDA

D T

EL

EM

AT

ICA

20

11

CU

RS

O D

E S

EG

UR

IDA

D T

EL

EM

AT

ICA

20

11

TIT

UL

O P

ON

EN

CIA

T

ITU

LO

PO

NE

NC

IA

32

32

Muchas gracias, estamos a su disposición

José Angel Valderrama Antón

Gerente Nuevas Tecnologías

nuevastecnologias@aenor.es

GALICIA: galicia@aenor.es

● c/ Enrique Mariñas, 36, 7º. Edificio Torre Cristal . 15009 A CORUÑA (Tel.: 981 175 080 , galicia@aenor.es )

● Av. García Barbón, 29, 1ºD. 36201 VIGO (Tel.: 986 443 554 )

MADRID: c/ Génova, 6. 28004 Madrid. (Tel. 91 432 60 00)

InfoAENOR - 902 102 201

www.aenor.es

SGSI_1 32