1
IMPLANTACIÓN ISO 27001 E ISO 20000
RETORNO DE INVERSIÓN ASEGURADO
ISO 27001 e ISO 20000
ISO 27001
• Seguridad de la Información
ISO 20000
• Gestión de servicios TI
ISO 27001 e ISO 20000
ISO 27001
• Todo tipo de organizaciones, siendo de especial interés para aquellas
en las que su información sea un activo vital para su negocio, con lo
que tendrán que protegerlo.
• Todo tipo de sectores de actividad.
ISO 20000
• Aplicable a empresas que presten servicios tecnológicos a clientes
haciendo un uso intensivo de las tecnologías de la información.
ISO 27001 e ISO 20000
Semejanzas
Ambas normas implantan un sistema de gestión, con lo que ello implica:
Control documental
Control de registros.
Revisión por la dirección.
Auditoría interna.
Mejora continua
Etc…
Hay varios procesos que son similares:
Seguridad en ISO 20000 es una ISO 270001 resumida.
Continuidad y disponibilidad.
Gestión de incidentes y problemas.
Gestión de cambios.
Gestión de suministradores (proveedores).
Etc…
ISO 27001 e ISO 20000
Diferencias
Las iremos viendo por separado.
ISO 27001 e ISO 20000. Beneficios de la certificación
ANTE EL MERCADO
ANTE LOS CLIENTES
GESTIÓN ORGANIZACIÓN
Afianza la posición de su organización
Factor competitivo
Imagen de marca
Favorece el desarrollo
Puntúa en pliegos de las AAPP.
Mayor confianza del cliente
Aumenta satisfacción
Mejor comunicación
Nuevos clientes gracias a las garantías en la prestación de servicios
Seguridad
Servicios TI orientados hacia el negocio. Mayor eficiencia y productividad
Conocimiento y depuración procesos internos
Mejor gestión de recursos y costes
Mejora continua
ISO 27001 e ISO 20000. Factor competitivo
ISO 27001 & ISO 20000 -> Factor competitivo
•Actualmente son muy pocas las empresas certificadas en ISO
27001 y/o ISO 20000, lo cual hace que la certificación tenga aún
más valor.
• Es de especial interés para todas aquellas empresas que presten
servicios tecnológicos a sus clientes.
• Supone dar un gran paso a la hora de mejorar la gestión y
seguridad tanto los servicios TI como los sistemas de información
relacionados.
• Es un paso más en la madurez de su empresa.
ISO 27001 e ISO 20000. Necesidad
Comienzan a ser una necesidad
•Al igual que pasó con normas como 9001, tanto ISO 27001 como ISO
20000 se están convirtiendo en una necesidad para aquellas
organizaciones que quieren desarrollar su actividad dentro del
panorama empresarial actual.
• Desde la administración pública se pide como requisito cada vez en
más proyectos o al menos puntúa favorablemente.
• Hay empresas que ya lo exigen como condición para poder trabajar
con ellas o llegar a acuerdos de partner.
• El mercado exige demostrar que nuestros servicios son gestionados
de forma segura, eficiente y eficaz.
ISO 27001 e ISO 20000. AudiSec
Enfoque de proyecto
Profesionales de amplia experiencia, con certificados CISA, CISM y
Lead Auditor ISO 27001 / ISO 20000
Referencias tanto en consultoría como en auditoría
GLOBALSGSI Y GLOBAL20000
Enfoque práctico y didáctico de los proyectos
ISO 27001
La norma ISO 27001:2005 es un estándar internacional publicado en octubre de
2005 dedicado a la organización de la seguridad de la información. En noviembre
de 2007 ha sido traducida y se ha convertido en norma española: UNE ISO/IEC
27001:2005
Antecedentes:
• La BS7799, del año 1995, que fue evolucionando.
• La norma ISO 17799, del año 2000, que es un “código de buenas
prácticas” en cuanto a seguridad de la información. Actual ISO 27002.
ISO 27001. Ciclo de vida
ISO 27001. Controles de Seguridad
GlobalSGSI: herramienta software de apoyo a la implantación y mantenimiento de la
norma ISO 27001.
GlobalSGSI
Implantación ISO 27001 vs ROSI
Con esos elementos se podría hacer un cálculo del retorno de inversión, siempre de forma
estimada, teniendo presente el historial de incidencias y eventos de seguridad y sus gastos
asociados.
¿Cómo podríamos mejorar el retorno de inversión?, con GLOBALSGSI.
Reduciendo los costes vistos anteriormente
1. Menos costes de consultoría de implantación.
2. Menos horas de trabajo interno por parte de la organización.
3. El mantenimiento del sistema requiere muy pocos recursos internos al llevar todo el
sistema de forma centralizada con una herramienta.
4. El hecho de tener el sistema automatizado hace que su uso se extienda más
rápidamente y realmente se aproveche tener implantada ISO 27001. Si el sistema no
es usable no se aprovecharán sus beneficios.
Implantación ISO 27001 vs ROSI
Implantación ISO 27001 vs ROSI
ISO 27001: Único estándar Internacional certificable en Seguridad de la Información.
Implantación ISO 27001 vs ROSI
Implantación ISO 20000
ISO 20000
Implantación ISO 20000
ISO 20000 es una norma internacional cuyo objetivo es garantizar la
prestación de servicios gestionados de TI con una calidad aceptable
para los clientes de un proveedor de servicios de TI. Fue publicada el 15
de diciembre de 2005 por la Organización Internacional de
Normalización, que convertía así la Norma Británica 15000 (BS 15000) en
una norma internacional.
Consta de 13 procesos
El objetivo de ISO 20000, heredado de BS 15000, consiste en “proporcionar
una norma de referencia común para todas las empresas que ofrezcan
servicios de TI a clientes internos o externos”.
Implantación ISO 20000
Diferencias entre ISO 20000-1 e ISO 20000-2.
La norma ISO 20000 consta de dos partes reunidas bajo el título general de
Gestión del Servicio de Tecnologías de la Información:
Parte 1: Especificaciones - Publicada como ISO 20000-1: 2005, es la
especificación formal de la norma. Parte certificable.
Parte 2: Código de buenas prácticas - Publicada como ISO 20000-2: 2005,
mejores prácticas y recomendaciones para los procesos de Gestión del
Servicio.
Implantación ISO 20000
Implantación ISO 20000. Ciclo de vida
Global20000: herramienta software de apoyo a la implantación y mantenimiento de la
norma ISO 20000.
Global20000
Global20000: herramienta software de apoyo a la implantación y mantenimiento de la
norma ISO 20000.
Global20000
Beneficios
Implantación ISO 20000
BeneficiosMenos incidencias
Menos coste en la gestión de incidencias
Nuevos clientes
Fidelización de clientes
Cumplimiento de SLAs
Menos coste de implantación
gracias a GLOBAL20000
Continuidad y disponibilidad
Implantación ISO 20000 vs ROSI
Con esos elementos se podría hacer un cálculo del retorno de inversión, siempre de forma
estimada, teniendo presente el historial de incidencias y eventos de seguridad y sus gastos
asociados.
¿Cómo podríamos mejorar el retorno de inversión?, con
GLOBAL20000.
Reduciendo los costes vistos anteriormente
1. Menos costes de consultoría de implantación.
2. Menos horas de trabajo interno por parte de la organización.
3. El mantenimiento del sistema requiere muy pocos recursos internos al llevar todo el
sistema de forma centralizada con una herramienta.
4. El hecho de tener el sistema automatizado hace que su uso se extienda más
rápidamente y realmente se aproveche tener implantada ISO 20000. Si el sistema no
es usable no se aprovecharán sus beneficios.
Implantación ISO 20000 vs Implantación ISO 27001
ISO 27001
ISO 20000
Consejo: comenzar con ISO 27001, para sentar las bases de un sistema de
gestión dentro de un entorno seguro, y seguir con la implantación de ISO 20000
para conseguir una prestación eficaz y eficiente de nuestros servicios TI.
VI. Conclusiones
Gracias por la atención prestada.
Dudas…
[email protected] www.audisec.es 902 056 203 926 612 310
MADRID: C/ Hilarión Eslava 21 9º A Esc. Izquierda 28015CIUDAD REAL: Polígono industrial avanzado. Avenida de la Ciencia nº1. 13002 Ciudad Real.
Centro cívico empresarial. Plo. Ind., Vía Ppal. s/n. Plt. 1 Ofi. 8-9. 13200 Manzanares (C. Real)