El documento presenta las familias de normas ISO 20000 y 27000 relacionadas con la gestión de servicios y la seguridad de la información. Incluye información sobre la ISO, sus subcomités y miembros, y describe de forma general los requisitos y procesos cubiertos por las normas ISO/IEC 20000 y ISO/IEC 27000. El ponente es Ángel Rayo, formador certificado en estas normas con experiencia en consultoría y formación.
3. Con la colaboración de ...
Alhambra-Eidos
C/ Albasanz 16, 4 Planta, Madrid, España
Teléfono: +34917872300
Web: http://www.alhambra-eidos.com ,
http://www.formaciontic.com
Email: formacion@a-e.es
Twitter: @alhambraeidos, @formaciontic
Facebook: /alhambraeidos, /formaciontic
Ponente: Ángel M. Rayo
Formador / consultor desde 2004 en Alhambra-
Eidos y con más de 8.000 horas de experiencia
Certificado como EXIN® Trainer, ITIL® Expert,
ISO/IEC 20000 Consultant Manager y EXIN®
Cloud Computing Foundation Certificate
Microsoft Certified Trainer (MCT) con experiencia
en .NET, SQL Server, SharePoint, Azure entre
otras tecnologías.
@oyara Ángel Rayo
7. ISO (International Organization for Standardization)
• Tipos de miembros:
–Simples: 1 por país, el organismo nacional más
representativo. Toman parte activa.
–Correspondientes: 1 por cada país en vías de desarrollo sin
comité nacional de normalización. No toman parte activa.
–Suscritos: 1 por cada país con economía reducida. No toman
parte activa.
• Miembros actuales:
163
39
5
Miembros
Simples
Correspondientes
Suscritos
9. ISO (International Organization for Standardization)
• Algunos miembros:
– Ecuador: INEN
– España: AENOR
– México: DGN
– Panamá: COPANIT
– Perú: INDECOPI
– El Salvador: OSN
– Uruguay: UNIT
– Argentina : IRAM
– Brasil: ABNT
– Chile: INN
– Colombia: INCOTEC
– Costa Rica: INTECO
– Cuba: NC
– EE.UU: ANSI
10. Catálogo de estándares
• 19.500 estándares internacionales actualmente
• Organizados por:
–ICS (International Classification for Standards)
–TC (Technical Commitees)
• Algunos ICS:
–07: Matemáticas
–11: Tecnología de la salud
–35: Tecnología de la Información. Maquinaria de oficina
–37: Tecnología de la imagen
–93: Ingeniería Civil
–95: Ingeniería Militar
11. Catálogo de estándares
• Algunos TC:
–ISO/IEC JTC 1: Tecnología de la Información
–ISO/TC 22: Vehículos
–ISO/TC 34: Productos alimenticios
–ISO/TC 46: Información y documentación
–ISO/TC 146: Calidad del aire
–ISO/TC 215: Informática de la salud
13. Subcomités relacionados con las TI
Subcomité Título
ISO/IEC JTC 1/SC 2 Conjunto de caracteres codificados
ISO/IEC JTC 1/SC 6 Telecomunicaciones e intercambio de
información entre sistemas
ISO/IEC JTC 1/SC 7 Ingeniería de software y sistemas
ISO/IEC JTC 1/SC 17 Tarjetas e identificación personal
ISO/IEC JTC 1/SC 22 Lenguajes de programación, sus
entornos e interfaces de sistemas SW
ISO/IEC JTC 1/SC 23 DRM para intercambio y
almacenamiento de información
ISO/IEC JTC 1/SC 24 Gráficos por ordenador, procesado de
imágenes y representación de datos
ISO/IEC JTC 1/SC 25 Interconexión de equipamiento TI
ISO/IEC JTC 1/SC 27 Técnicas de seguridad TI
ISO/IEC JTC 1/SC 28 Equipamiento ofimático
ISO 27000
14. Subcomités relacionados con las TI
Subcomité Título
ISO/IEC JTC 1/SC 29 Codificación de audio, imágenes,
multimedia e información hipermedia
ISO/IEC JTC 1/SC 31 Técnicas de identificación y de captura
de datos automáticos
ISO/IEC JTC 1/SC 32 Administración e intercambio de datos
ISO/IEC JTC 1/SC 34 Descripción de documentos y
lenguajes de procesado
ISO/IEC JTC 1/SC 35 Interfaces de usuario
ISO/IEC JTC 1/SC 36 TI para formación, educación y
entrenamiento
ISO/IEC JTC 1/SC 37 Biométricos
ISO/IEC JTC 1/SC 38 Cloud Computing y plataformas
distribuidas
ISO/IEC JTC 1/SC 39 Sostenibilidad para y por TI
ISO/IEC JTC 1/SC 40 Gestión de Servicios TI y Gobierno TI
ISO 20000
16. ISO/IEC 20000 – Tecnología de la Información –
Gestión de Servicios – Historia y evolución
Año Hito
1901 Fundación del BSI (British Standards Institution)
1989 Se establece el comité responsable de la gestión de servicios BSI
1995 Primer código de práctica (4 procesos de gestión de servicios)
1998 Segundo código de práctica (13 procesos de gestión de servicios)
2000 Libro de trabajo de auto-evaluación
Primera edición de la guía del Gestor de Servicios
Primera edición de la especificación BS 15000
2001 Recomendaciones para los “early adopters”
2002 Segunda edición de la especificación BS 15000
2003 Esquema de certificación lanzado por itSMF
2004 Primeras tres compañías certificadas BS 15000
Planificación de la transición a norma ISO
2005 Publicación de ISO/IEC 20000 y retirada de BS 15000
17. ISO/IEC 20000 – Tecnología de la Información –
Gestión de Servicios
Relaciones con otros marcos
20000-11 Marcos
de gestión
20000-12
CMMI-SVC
20000-2 Guía
de aplicación
20000-3 Alcance y
aplicabilidad
20000-4 Modelo
de referencia
20000-5 Ejemplo de
implementación
20000-6 Requisitos
auditoría / certificación
20000-8 Pequeñas
organizaciones
Sistema de Gestión de Servicios (SMS)
20000-1 Requisitos de
un SMS
Publicado
Borrador
estándar
Borrador
comité
Borrador
de trabajo
Borrador
a aprobación
Nuevo
proyecto
Cloud
20000-9 Aplicación a
servicios Cloud
Conceptos
20000-10 Conceptos
y terminología
20000-15 Gestión de
servicios
Gestión de servicios
18. ISO/IEC 20000 – Tecnología de la Información –
Gestión de Servicios – Organización
20000-2 Guía de
aplicación
20000-3 Alcance y
aplicabilidad
20000-4 Modelo de
referencia
20000-5 Ejemplo de
implementación
20000-1 Requisitos de
un SMS
Datos:
217 requisitos necesarios para realizar una entrega de servicios TI
La entrega estará alineada con negocio, calidad y valor añadido
Optimizar costes y garantizar la seguridad
Ciclo de mejora continua
Componentes:
Procesos de gestión de servicio
Políticas
Objetivos
Controles
19. ISO/IEC 20000 – Tecnología de la Información –
Gestión de Servicios – Organización
Secciones ISO/IEC 20000-1:
Alcance
Referencias Normativas
Términos y Definiciones
Requisitos generales de un Sistema de Gestión de Servicios (SMS)
Diseño y Transición de servicios nuevos o modificados
Procesos de Provisión de Servicio
Procesos de Relaciones
Procesos de Resolución
Procesos de Control
20. ISO/IEC 20000 – Tecnología de la Información –
Gestión de Servicios – Procesos
Procesos de Provisión de Servicio
Gestión de Capacidad Gestión de Nivel de Servicio
Gestión de Seguridad de
la Información
Gestión de Disponibilidad
y Continuidad
Informes de Servicio
Presupuesto y
Contabilidad de Servicios
Procesos de Control
Gestión de Configuración Gestión del Cambio
Gestión de Entregas y
Despliegue
Procesos de Resolución
Gestión de Incidencias y peticiones de
servicio
Gestión de Problemas
Procesos de Relaciones
Gestión de Relaciones con el Negocio Gestión de Suministradores
22. ISO/IEC 27000 – Tecnología de la Información –
Técnicas de Seguridad – Historia y evolución
Año Hito
1901 Fundación del BSI (British Standards Institution)
1995 Primera parte de Gestión de Seguridad de Información BS 7799 – BSI
1999 Segunda parte de Gestión de Seguridad de Información BS 7799 – BSI
2000 ISO/IEC 17779: Código de buenas prácticas para la gestión de la
seguridad de la información
2005 Tercera parte de Gestión de Seguridad de Información BS 7799 – BSI
ISO/IEC 27001:2005
2007 ISO/IEC 17779 se convierte en ISO/IEC 27002
2013 ISO/IEC 27001:2013
ISO/IEC 27002:2013
23. ISO/IEC 27000 – Tecnología de la Información –
Técnicas de Seguridad – Organización
Datos:
148 puntos de control de gestión en la versión 2013 vs 102 en la
versión 2005
114 controles operacionales vs 133, 35 objetivos de control y 14
dominios vs 11
Adapta a su estructura a la del resto de normas ISO
Incluye Relaciones con el Proveedor
Se parte del análisis de riesgos en vez del ciclo activos-amenazas-
vulnerabilidades
Componentes:
Procesos
Políticas
Objetivos
Controles
27001
Requisitos
27002 Código de
Práctica
27003 Guía de
Implementación
27004
Medición
27005 Gestión de
Riesgos
27006 Requisitos
para auditores
27007 Líneas guía
de Auditoría
27008 Líneas guía
de Controles
General
27000 Visión general
y vocabulario
Publicado
Borrador
estándar
Borrador
comité
Borrador
de trabajo
Borrador
a aprobación
Nuevo
proyecto
24. ISO/IEC 27000 – Tecnología de la Información –
Técnicas de Seguridad – Organización
Secciones ISO/IEC 27001:
Alcance
Referencias Normativas
Términos y Definiciones
Contexto
Liderazgo
Planificación
Soporte
Operación
Evaluación
Mejora
25. PLAN
ISO/IEC 27000 – Tecnología de la Información –
Técnicas de Seguridad – Organización - PLAN
4. Contexto de la
Organización
Comprender
Organización y
Contexto
Expectativas de
los interesados
Alcance del ISMS
ISMS
5. Liderazgo
Liderazgo y
confirmación
Políticas
Roles,
responsabilidades
y autoridades
6. Planificación
Acciones Riesgos
y Oportunidades
Objetivos y planes
Seguridad de la
Información
7. Soporte
Recursos
Competencia
Concienciación
Comunicación
Información
documentada
8 19 39 28
PUNTOS DE CONTROL DE GESTIÓN
26. DO CHECK ACT
ISO/IEC 27000 – Tecnología de la Información –
Técnicas de Seguridad – Organización
8. Operación
Planificación y Control
Operacional
Evaluación Riesgos de
Seguridad de la Información
Tratamiento de Riesgos de
Seguridad de la Información
9. Evaluación Rendimiento
Monitorización, Medición,
Análisis y Evaluación
Auditoría Interna
Revisión Administrativa
10. Mejora
No conformidades y Acciones
correctivas
Mejora Continua
9 29 16
PUNTOS DE CONTROL
DE GESTIÓN
27. ISO/IEC 27000 – Tecnología de la Información –
Técnicas de Seguridad – Dominios
15. Relaciones
con
suministradores
8. Gestión de
Activos
16. Gestión de
Incidencias de
Seguridad
7. Seguridad de
recursos
humanos
17. Gestión de la
Continuidad del
Negocio (BCM)
6. Organización
Seguridad
Información
18.
Cumplimiento
5. Políticas de
Seguridad
12. Seguridad
Operativa
11. Seguridad
física y del
entorno
13. Seguridad
Comunicaciones
10. Criptografía
14. Adquisición,
desarrollo y
mantenimiento
9. Control de
Acceso
Seguridad
de la
Información
1
2
2
7
3
6
3
10
4
14
1
2
2
15
7
14
2
7
3
13
2
5
1
7
2
4
2
8
OBJETIVOS CONTROL
CONTROLES
28. ISO/IEC 27000 – Tecnología de la Información –
Técnicas de Seguridad
27009 Requisitos
27010 ISM para
comunicaciones
27011 Código de
Práctica
27013 Impl.
27001+20000-1
27014 Gobierno
Inter-sectores e inter-organizaciones
Finanzas
27015 Líneas guía
de servicios
27016 Economía
de la organización
27001
Requisitos
27002 Código de
Práctica
27003 Guía de
Implementación
27004
Medición
27005 Gestión de
Riesgos
27006 Requisitos
para auditores
27007 Líneas guía
de Auditoría
27008 Líneas guía
de Controles
General
27000 Visión general
y vocabulario
Publicado
Borrador
estándar
Borrador
comité
Borrador
de trabajo
Borrador
a aprobación
Nuevo
proyecto
29. ISO/IEC 27000 – Tecnología de la Información –
Técnicas de Seguridad
Cloud
27017 Código de
Práctica
27018 Protección
PII
Energía
27019 Control de
procesos
Competencias, continuidad y ciberseguridad
27021 Requisitos
competencias
27023 ISO/IEC
27001 vs 27002
27031 Continuidad
del Negocio
27032 Líneas Guía
Ciberseguridad
Publicado
Borrador
estándar
Borrador
comité
Borrador
de trabajo
Borrador
a aprobación
Nuevo
proyecto
30. ISO/IEC 27000 – Tecnología de la Información –
Técnicas de Seguridad
Seguridad de red
27033-1 Visión
general y conceptos
27033-2 Líneas guía
de diseño e implem.
27033-3 Amenazas,
técnicas y control
27033-4 Asegurar
con gateways
27033-5 Asegurar
con VPN
27033-6 Asegurar
Wireless IP
Seguridad de aplicaciones
27034-1 Visión
general y conceptos
27034-2 Framework
normativo
27034-3 Gestión
seguridad apps
27034-4 Validación
seguridad apps
27034-5 Protocolos y
estructuras de datos
27034-6 Guía de
seguridad apps
27034-7 Garantía
seguridad apps
27034-5-1 Esquemas
XML
Publicado
Borrador
estándar
Borrador
de trabajo
Borrador
a aprobación
Nuevo
proyecto
Borrador
comité
31. ISO/IEC 27000 – Tecnología de la Información –
Técnicas de Seguridad
Gestión de incidentes de seguridad de la información
27035 Gestión de
incidentes
27035-1 Principios
27035-2 Líneas guía
de respuestas
27035-3 Líneas guía
operaciones CSIRT
Gestión de relaciones con suministradores
27036-1 Visión
general y conceptos
27036-2 Requisitos
27036-3 Líneas guía
cadena suministro
27036-4 Líneas guía
servicios Cloud Publicado
Borrador
estándar
Borrador
comité
Borrador
de trabajo
Borrador
a aprobación
Nuevo
proyecto
32. ISO/IEC 27000 – Tecnología de la Información –
Técnicas de Seguridad
Evidencias e intrusión
27037 Evidencia
digital
27038 Redacción
digital
27039 Sistemas de
detección IDPS
27040 Seguridad de
almacenamiento
27041 Método
investigación
27042 Análisis e
interpretación
27043 Principios y
procesos
27044 Gestión de
Info y eventos SIEM
Descubrimiento electrónico
27050-1 Visión
general y conceptos
27050-2 Gobierno
y Gestión
27050-3 Código
de práctica
27050-4 Preparación
TIC
Publicado
Borrador
estándar
Borrador
comité
Borrador
de trabajo
Borrador
a aprobación
Nuevo
proyecto
33. Referencias
ISO – www.iso.org
BSI Group – www.bsigroup.com
ISO 27000 – www.iso27000.es
ISO 20000 – www.itil-iso20000.com
Certificación ISO 20000 EXIN®
https://www.exin.com/CR/es/examenes/&fw=itsm-based-on-iso/iec-20000
34. Con la colaboración de ...
Alhambra-Eidos
C/ Albasanz 16, 4 Planta, Madrid, España
Teléfono: +34917872300
Web: http://www.alhambra-eidos.com ,
http://www.formaciontic.com
Email: formacion@a-e.es
Twitter: @alhambraeidos, @formaciontic
Facebook: /alhambraeidos, /formaciontic
Ponente: Ángel M. Rayo
Formador / consultor desde 2004 en Alhambra-
Eidos y con más de 8.000 horas de experiencia
Certificado como EXIN® Trainer, ITIL® Expert,
ISO/IEC 20000 Consultant Manager y EXIN®
Cloud Computing Foundation Certificate
Microsoft Certified Trainer (MCT) con experiencia
en .NET, SQL Server, SharePoint, Azure entre
otras tecnologías.
@oyara Ángel Rayo
35. Con la colaboración de:
@exin_es
¡GRACIAS!
youtube/exinexams
facebook.com/EXINEnCastellano
slideshare.net/EXINEnCastellano