Se ha denunciado esta presentación.
Utilizamos tu perfil de LinkedIn y tus datos de actividad para personalizar los anuncios y mostrarte publicidad más relevante. Puedes cambiar tus preferencias de publicidad en cualquier momento.
Familias ISO 20000 y 27000
Gestión de Servicios y Seguridad
Con la colaboración de ...
Alhambra-Eidos
C/ Albasanz 16, 4 Planta, Madrid, España
Teléfono: +34917872300
Web: http://www....
Agenda
• ISO (International Organization for Standardization)
• Subcomités
• ISO/IEC 20000
• ISO/IEC 27000
Familias ISO 20000 y 27000
ISO (International Organization for
Standardization)
ISO (International Organization for Standardization)
• Nacida el 23 de febrero de 1947.
• Promueve el desarrollo de normas...
ISO (International Organization for Standardization)
• Tipos de miembros:
–Simples: 1 por país, el organismo nacional más
...
ISO (International Organization for Standardization)
Miembros
correspondientes
Miembros
simples
Miembros
suscritos
ISO (International Organization for Standardization)
• Algunos miembros:
– Ecuador: INEN
– España: AENOR
– México: DGN
– P...
Catálogo de estándares
• 19.500 estándares internacionales actualmente
• Organizados por:
–ICS (International Classificati...
Catálogo de estándares
• Algunos TC:
–ISO/IEC JTC 1: Tecnología de la Información
–ISO/TC 22: Vehículos
–ISO/TC 34: Produc...
Familias ISO 20000 y 27000
Subcomités
Subcomités relacionados con las TI
Subcomité Título
ISO/IEC JTC 1/SC 2 Conjunto de caracteres codificados
ISO/IEC JTC 1/SC...
Subcomités relacionados con las TI
Subcomité Título
ISO/IEC JTC 1/SC 29 Codificación de audio, imágenes,
multimedia e info...
Familias ISO 20000 y 27000
ISO/IEC 20000
ISO/IEC 20000 – Tecnología de la Información –
Gestión de Servicios – Historia y evolución
Año Hito
1901 Fundación del BSI...
ISO/IEC 20000 – Tecnología de la Información –
Gestión de Servicios
Relaciones con otros marcos
20000-11 Marcos
de gestión...
ISO/IEC 20000 – Tecnología de la Información –
Gestión de Servicios – Organización
20000-2 Guía de
aplicación
20000-3 Alca...
ISO/IEC 20000 – Tecnología de la Información –
Gestión de Servicios – Organización
Secciones ISO/IEC 20000-1:
 Alcance
 ...
ISO/IEC 20000 – Tecnología de la Información –
Gestión de Servicios – Procesos
Procesos de Provisión de Servicio
Gestión d...
Familias ISO 20000 y 27000
ISO/IEC 27000
ISO/IEC 27000 – Tecnología de la Información –
Técnicas de Seguridad – Historia y evolución
Año Hito
1901 Fundación del BS...
ISO/IEC 27000 – Tecnología de la Información –
Técnicas de Seguridad – Organización
Datos:
 148 puntos de control de gest...
ISO/IEC 27000 – Tecnología de la Información –
Técnicas de Seguridad – Organización
Secciones ISO/IEC 27001:
 Alcance
 R...
PLAN
ISO/IEC 27000 – Tecnología de la Información –
Técnicas de Seguridad – Organización - PLAN
4. Contexto de la
Organiza...
DO CHECK ACT
ISO/IEC 27000 – Tecnología de la Información –
Técnicas de Seguridad – Organización
8. Operación
Planificació...
ISO/IEC 27000 – Tecnología de la Información –
Técnicas de Seguridad – Dominios
15. Relaciones
con
suministradores
8. Gest...
ISO/IEC 27000 – Tecnología de la Información –
Técnicas de Seguridad
27009 Requisitos
27010 ISM para
comunicaciones
27011 ...
ISO/IEC 27000 – Tecnología de la Información –
Técnicas de Seguridad
Cloud
27017 Código de
Práctica
27018 Protección
PII
E...
ISO/IEC 27000 – Tecnología de la Información –
Técnicas de Seguridad
Seguridad de red
27033-1 Visión
general y conceptos
2...
ISO/IEC 27000 – Tecnología de la Información –
Técnicas de Seguridad
Gestión de incidentes de seguridad de la información
...
ISO/IEC 27000 – Tecnología de la Información –
Técnicas de Seguridad
Evidencias e intrusión
27037 Evidencia
digital
27038 ...
Referencias
ISO – www.iso.org
BSI Group – www.bsigroup.com
ISO 27000 – www.iso27000.es
ISO 20000 – www.itil-iso20000.com
C...
Con la colaboración de ...
Alhambra-Eidos
C/ Albasanz 16, 4 Planta, Madrid, España
Teléfono: +34917872300
Web: http://www....
Con la colaboración de:
@exin_es
¡GRACIAS!
youtube/exinexams
facebook.com/EXINEnCastellano
slideshare.net/EXINEnCastellano
Webinar iso20000 iso27000
Próxima SlideShare
Cargando en…5
×

Webinar iso20000 iso27000

  • Inicia sesión para ver los comentarios

Webinar iso20000 iso27000

  1. 1. Familias ISO 20000 y 27000 Gestión de Servicios y Seguridad
  2. 2. Con la colaboración de ... Alhambra-Eidos C/ Albasanz 16, 4 Planta, Madrid, España Teléfono: +34917872300 Web: http://www.alhambra-eidos.com , http://www.formaciontic.com Email: formacion@a-e.es Twitter: @alhambraeidos, @formaciontic Facebook: /alhambraeidos, /formaciontic Ponente: Ángel M. Rayo Formador / consultor desde 2004 en Alhambra- Eidos y con más de 8.000 horas de experiencia Certificado como EXIN® Trainer, ITIL® Expert, ISO/IEC 20000 Consultant Manager y EXIN® Cloud Computing Foundation Certificate Microsoft Certified Trainer (MCT) con experiencia en .NET, SQL Server, SharePoint, Azure entre otras tecnologías. @oyara Ángel Rayo
  3. 3. Agenda • ISO (International Organization for Standardization) • Subcomités • ISO/IEC 20000 • ISO/IEC 27000
  4. 4. Familias ISO 20000 y 27000 ISO (International Organization for Standardization)
  5. 5. ISO (International Organization for Standardization) • Nacida el 23 de febrero de 1947. • Promueve el desarrollo de normas internacionales: –De fabricación (de productos y de servicios) –De comercio –De comunicación • Busca la estandarización de normas de productos y seguridad para empresas y organizaciones. • Sus normas son voluntarias • Es un organismo no gubernamental • No depende de ningún otro organismo internacional • Contenido protegido por ©
  6. 6. ISO (International Organization for Standardization) • Tipos de miembros: –Simples: 1 por país, el organismo nacional más representativo. Toman parte activa. –Correspondientes: 1 por cada país en vías de desarrollo sin comité nacional de normalización. No toman parte activa. –Suscritos: 1 por cada país con economía reducida. No toman parte activa. • Miembros actuales: 163 39 5 Miembros Simples Correspondientes Suscritos
  7. 7. ISO (International Organization for Standardization) Miembros correspondientes Miembros simples Miembros suscritos
  8. 8. ISO (International Organization for Standardization) • Algunos miembros: – Ecuador: INEN – España: AENOR – México: DGN – Panamá: COPANIT – Perú: INDECOPI – El Salvador: OSN – Uruguay: UNIT – Argentina : IRAM – Brasil: ABNT – Chile: INN – Colombia: INCOTEC – Costa Rica: INTECO – Cuba: NC – EE.UU: ANSI
  9. 9. Catálogo de estándares • 19.500 estándares internacionales actualmente • Organizados por: –ICS (International Classification for Standards) –TC (Technical Commitees) • Algunos ICS: –07: Matemáticas –11: Tecnología de la salud –35: Tecnología de la Información. Maquinaria de oficina –37: Tecnología de la imagen –93: Ingeniería Civil –95: Ingeniería Militar
  10. 10. Catálogo de estándares • Algunos TC: –ISO/IEC JTC 1: Tecnología de la Información –ISO/TC 22: Vehículos –ISO/TC 34: Productos alimenticios –ISO/TC 46: Información y documentación –ISO/TC 146: Calidad del aire –ISO/TC 215: Informática de la salud
  11. 11. Familias ISO 20000 y 27000 Subcomités
  12. 12. Subcomités relacionados con las TI Subcomité Título ISO/IEC JTC 1/SC 2 Conjunto de caracteres codificados ISO/IEC JTC 1/SC 6 Telecomunicaciones e intercambio de información entre sistemas ISO/IEC JTC 1/SC 7 Ingeniería de software y sistemas ISO/IEC JTC 1/SC 17 Tarjetas e identificación personal ISO/IEC JTC 1/SC 22 Lenguajes de programación, sus entornos e interfaces de sistemas SW ISO/IEC JTC 1/SC 23 DRM para intercambio y almacenamiento de información ISO/IEC JTC 1/SC 24 Gráficos por ordenador, procesado de imágenes y representación de datos ISO/IEC JTC 1/SC 25 Interconexión de equipamiento TI ISO/IEC JTC 1/SC 27 Técnicas de seguridad TI ISO/IEC JTC 1/SC 28 Equipamiento ofimático ISO 27000
  13. 13. Subcomités relacionados con las TI Subcomité Título ISO/IEC JTC 1/SC 29 Codificación de audio, imágenes, multimedia e información hipermedia ISO/IEC JTC 1/SC 31 Técnicas de identificación y de captura de datos automáticos ISO/IEC JTC 1/SC 32 Administración e intercambio de datos ISO/IEC JTC 1/SC 34 Descripción de documentos y lenguajes de procesado ISO/IEC JTC 1/SC 35 Interfaces de usuario ISO/IEC JTC 1/SC 36 TI para formación, educación y entrenamiento ISO/IEC JTC 1/SC 37 Biométricos ISO/IEC JTC 1/SC 38 Cloud Computing y plataformas distribuidas ISO/IEC JTC 1/SC 39 Sostenibilidad para y por TI ISO/IEC JTC 1/SC 40 Gestión de Servicios TI y Gobierno TI ISO 20000
  14. 14. Familias ISO 20000 y 27000 ISO/IEC 20000
  15. 15. ISO/IEC 20000 – Tecnología de la Información – Gestión de Servicios – Historia y evolución Año Hito 1901 Fundación del BSI (British Standards Institution) 1989 Se establece el comité responsable de la gestión de servicios BSI 1995 Primer código de práctica (4 procesos de gestión de servicios) 1998 Segundo código de práctica (13 procesos de gestión de servicios) 2000 Libro de trabajo de auto-evaluación Primera edición de la guía del Gestor de Servicios Primera edición de la especificación BS 15000 2001 Recomendaciones para los “early adopters” 2002 Segunda edición de la especificación BS 15000 2003 Esquema de certificación lanzado por itSMF 2004 Primeras tres compañías certificadas BS 15000 Planificación de la transición a norma ISO 2005 Publicación de ISO/IEC 20000 y retirada de BS 15000
  16. 16. ISO/IEC 20000 – Tecnología de la Información – Gestión de Servicios Relaciones con otros marcos 20000-11 Marcos de gestión 20000-12 CMMI-SVC 20000-2 Guía de aplicación 20000-3 Alcance y aplicabilidad 20000-4 Modelo de referencia 20000-5 Ejemplo de implementación 20000-6 Requisitos auditoría / certificación 20000-8 Pequeñas organizaciones Sistema de Gestión de Servicios (SMS) 20000-1 Requisitos de un SMS Publicado Borrador estándar Borrador comité Borrador de trabajo Borrador a aprobación Nuevo proyecto Cloud 20000-9 Aplicación a servicios Cloud Conceptos 20000-10 Conceptos y terminología 20000-15 Gestión de servicios Gestión de servicios
  17. 17. ISO/IEC 20000 – Tecnología de la Información – Gestión de Servicios – Organización 20000-2 Guía de aplicación 20000-3 Alcance y aplicabilidad 20000-4 Modelo de referencia 20000-5 Ejemplo de implementación 20000-1 Requisitos de un SMS Datos:  217 requisitos necesarios para realizar una entrega de servicios TI  La entrega estará alineada con negocio, calidad y valor añadido  Optimizar costes y garantizar la seguridad  Ciclo de mejora continua Componentes:  Procesos de gestión de servicio  Políticas  Objetivos  Controles
  18. 18. ISO/IEC 20000 – Tecnología de la Información – Gestión de Servicios – Organización Secciones ISO/IEC 20000-1:  Alcance  Referencias Normativas  Términos y Definiciones  Requisitos generales de un Sistema de Gestión de Servicios (SMS)  Diseño y Transición de servicios nuevos o modificados  Procesos de Provisión de Servicio  Procesos de Relaciones  Procesos de Resolución  Procesos de Control
  19. 19. ISO/IEC 20000 – Tecnología de la Información – Gestión de Servicios – Procesos Procesos de Provisión de Servicio Gestión de Capacidad Gestión de Nivel de Servicio Gestión de Seguridad de la Información Gestión de Disponibilidad y Continuidad Informes de Servicio Presupuesto y Contabilidad de Servicios Procesos de Control Gestión de Configuración Gestión del Cambio Gestión de Entregas y Despliegue Procesos de Resolución Gestión de Incidencias y peticiones de servicio Gestión de Problemas Procesos de Relaciones Gestión de Relaciones con el Negocio Gestión de Suministradores
  20. 20. Familias ISO 20000 y 27000 ISO/IEC 27000
  21. 21. ISO/IEC 27000 – Tecnología de la Información – Técnicas de Seguridad – Historia y evolución Año Hito 1901 Fundación del BSI (British Standards Institution) 1995 Primera parte de Gestión de Seguridad de Información BS 7799 – BSI 1999 Segunda parte de Gestión de Seguridad de Información BS 7799 – BSI 2000 ISO/IEC 17779: Código de buenas prácticas para la gestión de la seguridad de la información 2005 Tercera parte de Gestión de Seguridad de Información BS 7799 – BSI ISO/IEC 27001:2005 2007 ISO/IEC 17779 se convierte en ISO/IEC 27002 2013 ISO/IEC 27001:2013 ISO/IEC 27002:2013
  22. 22. ISO/IEC 27000 – Tecnología de la Información – Técnicas de Seguridad – Organización Datos:  148 puntos de control de gestión en la versión 2013 vs 102 en la versión 2005  114 controles operacionales vs 133, 35 objetivos de control y 14 dominios vs 11  Adapta a su estructura a la del resto de normas ISO  Incluye Relaciones con el Proveedor  Se parte del análisis de riesgos en vez del ciclo activos-amenazas- vulnerabilidades Componentes:  Procesos  Políticas  Objetivos  Controles 27001 Requisitos 27002 Código de Práctica 27003 Guía de Implementación 27004 Medición 27005 Gestión de Riesgos 27006 Requisitos para auditores 27007 Líneas guía de Auditoría 27008 Líneas guía de Controles General 27000 Visión general y vocabulario Publicado Borrador estándar Borrador comité Borrador de trabajo Borrador a aprobación Nuevo proyecto
  23. 23. ISO/IEC 27000 – Tecnología de la Información – Técnicas de Seguridad – Organización Secciones ISO/IEC 27001:  Alcance  Referencias Normativas  Términos y Definiciones  Contexto  Liderazgo  Planificación  Soporte  Operación  Evaluación  Mejora
  24. 24. PLAN ISO/IEC 27000 – Tecnología de la Información – Técnicas de Seguridad – Organización - PLAN 4. Contexto de la Organización Comprender Organización y Contexto Expectativas de los interesados Alcance del ISMS ISMS 5. Liderazgo Liderazgo y confirmación Políticas Roles, responsabilidades y autoridades 6. Planificación Acciones Riesgos y Oportunidades Objetivos y planes Seguridad de la Información 7. Soporte Recursos Competencia Concienciación Comunicación Información documentada 8 19 39 28 PUNTOS DE CONTROL DE GESTIÓN
  25. 25. DO CHECK ACT ISO/IEC 27000 – Tecnología de la Información – Técnicas de Seguridad – Organización 8. Operación Planificación y Control Operacional Evaluación Riesgos de Seguridad de la Información Tratamiento de Riesgos de Seguridad de la Información 9. Evaluación Rendimiento Monitorización, Medición, Análisis y Evaluación Auditoría Interna Revisión Administrativa 10. Mejora No conformidades y Acciones correctivas Mejora Continua 9 29 16 PUNTOS DE CONTROL DE GESTIÓN
  26. 26. ISO/IEC 27000 – Tecnología de la Información – Técnicas de Seguridad – Dominios 15. Relaciones con suministradores 8. Gestión de Activos 16. Gestión de Incidencias de Seguridad 7. Seguridad de recursos humanos 17. Gestión de la Continuidad del Negocio (BCM) 6. Organización Seguridad Información 18. Cumplimiento 5. Políticas de Seguridad 12. Seguridad Operativa 11. Seguridad física y del entorno 13. Seguridad Comunicaciones 10. Criptografía 14. Adquisición, desarrollo y mantenimiento 9. Control de Acceso Seguridad de la Información 1 2 2 7 3 6 3 10 4 14 1 2 2 15 7 14 2 7 3 13 2 5 1 7 2 4 2 8 OBJETIVOS CONTROL CONTROLES
  27. 27. ISO/IEC 27000 – Tecnología de la Información – Técnicas de Seguridad 27009 Requisitos 27010 ISM para comunicaciones 27011 Código de Práctica 27013 Impl. 27001+20000-1 27014 Gobierno Inter-sectores e inter-organizaciones Finanzas 27015 Líneas guía de servicios 27016 Economía de la organización 27001 Requisitos 27002 Código de Práctica 27003 Guía de Implementación 27004 Medición 27005 Gestión de Riesgos 27006 Requisitos para auditores 27007 Líneas guía de Auditoría 27008 Líneas guía de Controles General 27000 Visión general y vocabulario Publicado Borrador estándar Borrador comité Borrador de trabajo Borrador a aprobación Nuevo proyecto
  28. 28. ISO/IEC 27000 – Tecnología de la Información – Técnicas de Seguridad Cloud 27017 Código de Práctica 27018 Protección PII Energía 27019 Control de procesos Competencias, continuidad y ciberseguridad 27021 Requisitos competencias 27023 ISO/IEC 27001 vs 27002 27031 Continuidad del Negocio 27032 Líneas Guía Ciberseguridad Publicado Borrador estándar Borrador comité Borrador de trabajo Borrador a aprobación Nuevo proyecto
  29. 29. ISO/IEC 27000 – Tecnología de la Información – Técnicas de Seguridad Seguridad de red 27033-1 Visión general y conceptos 27033-2 Líneas guía de diseño e implem. 27033-3 Amenazas, técnicas y control 27033-4 Asegurar con gateways 27033-5 Asegurar con VPN 27033-6 Asegurar Wireless IP Seguridad de aplicaciones 27034-1 Visión general y conceptos 27034-2 Framework normativo 27034-3 Gestión seguridad apps 27034-4 Validación seguridad apps 27034-5 Protocolos y estructuras de datos 27034-6 Guía de seguridad apps 27034-7 Garantía seguridad apps 27034-5-1 Esquemas XML Publicado Borrador estándar Borrador de trabajo Borrador a aprobación Nuevo proyecto Borrador comité
  30. 30. ISO/IEC 27000 – Tecnología de la Información – Técnicas de Seguridad Gestión de incidentes de seguridad de la información 27035 Gestión de incidentes 27035-1 Principios 27035-2 Líneas guía de respuestas 27035-3 Líneas guía operaciones CSIRT Gestión de relaciones con suministradores 27036-1 Visión general y conceptos 27036-2 Requisitos 27036-3 Líneas guía cadena suministro 27036-4 Líneas guía servicios Cloud Publicado Borrador estándar Borrador comité Borrador de trabajo Borrador a aprobación Nuevo proyecto
  31. 31. ISO/IEC 27000 – Tecnología de la Información – Técnicas de Seguridad Evidencias e intrusión 27037 Evidencia digital 27038 Redacción digital 27039 Sistemas de detección IDPS 27040 Seguridad de almacenamiento 27041 Método investigación 27042 Análisis e interpretación 27043 Principios y procesos 27044 Gestión de Info y eventos SIEM Descubrimiento electrónico 27050-1 Visión general y conceptos 27050-2 Gobierno y Gestión 27050-3 Código de práctica 27050-4 Preparación TIC Publicado Borrador estándar Borrador comité Borrador de trabajo Borrador a aprobación Nuevo proyecto
  32. 32. Referencias ISO – www.iso.org BSI Group – www.bsigroup.com ISO 27000 – www.iso27000.es ISO 20000 – www.itil-iso20000.com Certificación ISO 20000 EXIN® https://www.exin.com/CR/es/examenes/&fw=itsm-based-on-iso/iec-20000
  33. 33. Con la colaboración de ... Alhambra-Eidos C/ Albasanz 16, 4 Planta, Madrid, España Teléfono: +34917872300 Web: http://www.alhambra-eidos.com , http://www.formaciontic.com Email: formacion@a-e.es Twitter: @alhambraeidos, @formaciontic Facebook: /alhambraeidos, /formaciontic Ponente: Ángel M. Rayo Formador / consultor desde 2004 en Alhambra- Eidos y con más de 8.000 horas de experiencia Certificado como EXIN® Trainer, ITIL® Expert, ISO/IEC 20000 Consultant Manager y EXIN® Cloud Computing Foundation Certificate Microsoft Certified Trainer (MCT) con experiencia en .NET, SQL Server, SharePoint, Azure entre otras tecnologías. @oyara Ángel Rayo
  34. 34. Con la colaboración de: @exin_es ¡GRACIAS! youtube/exinexams facebook.com/EXINEnCastellano slideshare.net/EXINEnCastellano

×