El Gobierno TI y la nueva ISO 27001:2013

OBJETIVOS CONVERGENTES

GESCONSULTOR
BigSLA
1
La nueva edición de
ISO 27001:2013
Hacia el alineamiento entre estándares

GESCONSULTOR
GESCONSULTOR
BigSLA
BigSLA
 ¡¡¡ TENEMOS NUEVA EDICIÓN !!!

• Después de 8 años …
• De innumerables comités y documentos de trabajo
• De un éxito mayor del esperado en cuanto a implantaciones
• De convertirse en un referente incluso para los legisladores
(como en Perú, Bolivia, Colombia, Japón, India, China, … ¿o la
Nueva Directiva Europea de Privacidad?)

GESCONSULTOR
BigSLA
Período de Transición a la nueva edición

• Nuevas certificaciones - Hasta el 1 de Abril 2014: Se podía

solicitar certificarse con la edición 2005 o la edición 2011.
• Certificaciones existentes: Deben ser auditadas con la nueva
edición como máximo el 1 de Octubre de 2015.

GESCONSULTOR
BigSLA
 Principal Cambio: El Anexo SL de la Directiva ISO

GESCONSULTOR
BigSLA
 Principal Cambio: El Anexo SL de la Directiva ISO

GESCONSULTOR Imagen BSI.

BigSLA
 Estructura Común para TODOS los Sistemas de Gestión
PLAN DO
4 Context of the organization 8 Operation
• Understanding of context • Operational planning and
• Expectations of interested parties control
• Scope and ISMS • Risk assessment
• Risk treatment
5 Leadership
• Management commitment
• IS policy CHECK
• Roles, responsibilities and authorities 9 Performance and
Evaluation
6 Planning •Monitoring, measurement,
analysis and evaluation
• Actions to address risk and
opportunity •Internal audit
• IS objectives •Management review

7 Support ACT
• Resources 10 Improvement
• Competence •Nonconformity and
corrective action
• Awareness
GESCONSULTOR •Continual improvement
BigSLA • Communication
 A.14.2.5
NUEVOS CONTROLES
A.16.1.4 A.16.1.4

A.14.2.1
A.6.1.5
A.14.2.8
A.16.1.5 A.14.2.6

A.12.6.2 A.15.1.1
A.15.1.3
GESCONSULTOR Imagen BSI.
BigSLA
 Algunos nuevos Controles

A.6.1.5. Seguridad A.12.6.2. A.14.2.1. Política

de la Información Restricciones en de Desarrollo
en la Gestión de la instalación de Seguro de
Proyectos. software. Software.

A.14.2.5. A.14.2.6.
A.14.2.8. Testeo de
Principios para la Seguridad de los
la Seguridad de
Ingeniería de Entornos de
los Sistemas.
Sistemas Seguros. Desarrollo.

GESCONSULTOR
BigSLA
 Algunos nuevos Controles

A.16.1.4. Auditoría
A.15.1.1. Política
A.15.1.3. Cadena y decisión sobre
de Seguridad para
de Suministro de los Eventos de
las Relaciones con
las TIC. Seguridad de la
Proveedores.
Información.

A.16.1.5. A.17.2.1.
Respuesta ante Disponibilidad de
Incidentes de las instalaciones
Seguridad de la de procesamiento
Información. de la información.

GESCONSULTOR
BigSLA
2
Nuestra visión del futuro del
Gobierno TI
Hacia la convergencia en funciones

GESCONSULTOR
GESCONSULTOR
BigSLA
BigSLA
 Efecto “Torre de naipes o bola de nieve”

Negocio
•Procesos de
negocio
•Servicios
Sistemas
•Aplicaciones
Corporativas

Tecnología
•Software
Infraestructura
•Equipos
•Telecomunicaciones

Infraestructura
Física
•Dependencias físicas
•Suministros
GESCONSULTOR
BigSLA
 Sistema Integrado de Gestión (S.I.G.)
Un Marco Único de Control que le permite auditar una única vez y determinar el cumplimiento
respecto a múltiples estándares que tienen controles equivalentes

GESCONSULTOR
BigSLA
 Legislación y Estándares más habituales
(posibilidad de cargar sus propias Fuentes de Requisitos de Seguridad y Cumplimiento)

Legislación
Datos
Personales

ISO 27001
(Seguridad
de la
Información)

Gobierno,
Esquema
Riesgo y PCI-DSS
Nacional de Cumplimiento (Medios de
Seguridad Pago
(ENS) 100% electrónico)

Integrado

ISO 22301
Infraestructu
(Continuida
ras Críticas
d de
(II.CC.)
Negocio)
ISO 27031
(Contingenci
as TI y
Recuperació
n de
Desastres
TI)
GESCONSULTOR
BigSLA
 La Mejora Continua a través de las mejores prácticas

Gobierno T.I.
Cumplimiento Mejores Procesos Monitorización
Normativo Prácticas Gestionados Continua

• LOPD
• ISO 27001 • Servicios a Clientes • Orientada a
• ENS Negocio
• ISO 22301 100% gestionados
• PCI-DSS (Continuidad de • En Tiempo Real
• Procesos Internos
• Regulaciones Negocio y DRP) 100% gestionados • SLAs (Servicio)
• Auditoría Interna • ITIL / ISO 20000 • Cuadros de Mando • KPIs (Rendimiento)
• Infraestructuras • ISO 9001 / 14001 • Legislación • KRIs (Riesgo)
Críticas

GESCONSULTOR
BigSLA
 Oficinas Técnicas de Cumplimiento y Mejora Continua
Enfoque global orientado a la Seguridad, Calidad y Gestión del Riesgo

Preservar
Centro
Gobierno T.I. de la Organización Preservar Activos de Información Servicios
Especiali-zado
Críticos

CALIDAD SEGURIDAD
ESTRATÉGICO

CUADRO DE MANDOS (KPIs, KRIs, SLAs)

CONTROL
DE RIESGOS
de Cumplimiento y Mejora Continua

ANÁLISIS DE GESTIÓN AUDITORÍA

OBJETIVOS Sistema de Sistema
IMPACTO (BIA) DE RIESGOS DE CONTROL de Gestión
Gestión Plan de
(OTC-MC)

TÁCTICO

de
Técnica
Oficina

CONCIENCIACIÓN de Contingencia
Seguridad Continuidad
Tecnológica
de la de
GESTIÓN SDLC (DRP)
COMPLIANCE
Información Negocio
PROYECTOS PRUEBAS Desarrollo
Seguro (SGSI) (SGCN)
LOPD ENS

SOFTWARE
CONSULTAS EJECUCIÓN
OPERATIVO

OPERACIÓN ASSURANCE
(presente) PROYECTOS
TOOLS

OBSERVATORIO SERVICIOS
(tendencias) TERCEROS

GESCONSULTOR
BigSLA
 Oficinas Técnicas de Cumplimiento
Ejemplos de Actividades a Desarrollar

Soporte a
Consultas y
Observatorio
de
Control / Tendencias Adecuación
Gestión de de la
las Acciones Documentaci
Correctivas ón

Auditorías
por un
equipo
O.T.C. Análisis de
nuevos
Escenarios /
independient
e de la O.T.C. M.C. Entornos /
Requisitos

Análisis de
Controles Riesgos y de
Periódicos y Impacto
Revisiones (actualizacion
Técnicas es,
Formación y revisiones)
Concienciaci
ón

GESCONSULTOR
BigSLA
 Arquitectura Empresarial – La Clave para unificar la Gestión
Modelado Visual de la organización conforme al estándar TOGAF y Archimate
Capa de Negocio (Servicios, Procesos, Recursos), Sistemas y Tecnología

Negocio

Sistemas
Aplicaciones

Tecnología

GESCONSULTOR
BigSLA
 HABLEMOS DE NEGOCIO
No es simplemente tecnología …
¿Qué criticidad tienen los Servicios y Procesos de Negocio
sobre los que impactan mis Sistemas de Información?

Evaluación de la Criticidad de cada Servicio o Proceso de Negocio y

determinación de MTPD, RPO, RTO y niveles mínimos de Continuidad (MBCO)

BIA
Análisis de Impacto en el Negocio
100% integrado, automatizado y mantenible

NO en ofimática

GESCONSULTOR 19
BigSLA
Gestión Unificada del Gobierno TI, Riesgo y Cumplimiento

GESCONSULTOR
BigSLA
 La Medición es IMPRESCINDIBLE
ISO 27004, ISO 15939 – Medición de la Seguridad y Procesos TI

GESCONSULTOR
BigSLA
 Conclusiones

La nueva edición ISO 27001:2013 está aquí DESDE YA

Hay cambios relevantes tanto en la FORMA como en el FONDO

La convergencia de los Sistemas de Gestión es inevitable

Todo ello ayuda al Gobierno TI

Modelen su Arquitectura Empresarial: es importante y será

imprescindible

GESCONSULTOR
BigSLA
GESCONSULTOR
BigSLA