ISO 20000-27000

5/14/2018 ISO 20000-27000 - slidepdf.com

http://slidepdf.com/reader/full/iso-20000-27000 1/281

IMPLANTACIÓN ISO 27001 E ISO 20000

RETORNO DE INVERSIÓN ASEGURADO

5/14/2018 ISO 20000-27000 - slidepdf.com


ISO 27001 e ISO 20000

ISO 27001

• Seguridad de la Información

ISO 20000

• Gestión de servicios TI

5/14/2018 ISO 20000-27000 - slidepdf.com


ISO 27001 e ISO 20000

ISO 27001

• Todo tipo de organizaciones, siendo de especial interés para aquellas

en las que su información sea un activo vital para su negocio, con lo

que tendrán que protegerlo.

• Todo tipo de sectores de actividad.

ISO 20000

• Aplicable a empresas que presten servicios tecnológicos a clientes

haciendo un uso intensivo de las tecnologías de la información.

5/14/2018 ISO 20000-27000 - slidepdf.com


ISO 27001 e ISO 20000

Semejanzas

Ambas normas implantan un sistema de gestión, con lo que ello implica:

Control documental

Control de registros.

Revisión por la dirección.Auditoría interna.

Mejora continua

Etc…

Hay varios procesos que son similares:

Seguridad en ISO 20000 es una ISO 270001 resumida. Continuidad y disponibilidad.

Gestión de incidentes y problemas.

Gestión de cambios.

Gestión de suministradores (proveedores).

Etc…

5/14/2018 ISO 20000-27000 - slidepdf.com


ISO 27001 e ISO 20000

Diferencias

Las iremos viendo por separado.

5/14/2018 ISO 20000-27000 - slidepdf.com


ISO 27001 e ISO 20000. Beneficios de la certificación

ANTE EL

MERCADO

ANTE LOS

CLIENTES

GESTIÓN

ORGANIZACIÓN

Afianza laposición de suorganización

Factorcompetitivo

Imagen de marca

Favorece el

desarrollo

Puntúa en pliegosde las AAPP.

Mayor confianzadel cliente

Aumentasatisfacción

Mejorcomunicación

Nuevos clientes

gracias a lasgarantías en laprestación deservicios

Seguridad

Servicios TI

orientados haciael negocio. Mayoreficiencia yproductividad

Conocimiento ydepuración

procesos internos

Mejor gestión derecursos y costes

Mejora continua

5/14/2018 ISO 20000-27000 - slidepdf.com


ISO 27001 e ISO 20000. Factor competitivo

ISO 27001 & ISO 20000 -> Factor competitivo

•Actualmente son muy pocas las empresas certificadas en ISO

27001 y/o ISO 20000, lo cual hace que la certificación tenga aún

más valor.

• Es de especial interés para todas aquellas empresas que presten

servicios tecnológicos a sus clientes.

• Supone dar un gran paso a la hora de mejorar la gestión y

seguridad tanto los servicios TI como los sistemas de información

relacionados.

• Es un paso más en la madurez de su empresa.

5/14/2018 ISO 20000-27000 - slidepdf.com


ISO 27001 e ISO 20000. Necesidad

Comienzan a ser una necesidad

•Al igual que pasó con normas como 9001, tanto ISO 27001 como ISO

20000 se están convirtiendo en una necesidad para aquellas

organizaciones que quieren desarrollar su actividad dentro del

panorama empresarial actual.

• Desde la administración pública se pide como requisito cada vez en

más proyectos o al menos puntúa favorablemente.

• Hay empresas que ya lo exigen como condición para poder trabajar

con ellas o llegar a acuerdos de partner.

• El mercado exige demostrar que nuestros servicios son gestionados

de forma segura, eficiente y eficaz.

5/14/2018 ISO 20000-27000 - slidepdf.com


ISO 27001 e ISO 20000. AudiSec

Enfoque de proyecto

Profesionales de amplia experiencia, con certificados CISA, CISM y

Lead Auditor ISO 27001 / ISO 20000

Referencias tanto en consultoría como en auditoría

GLOBALSGSI Y GLOBAL20000

Enfoque práctico y didáctico de los proyectos

5/14/2018 ISO 20000-27000 - slidepdf.com


ISO 27001

La norma ISO 27001:2005 es un estándar internacional publicado en octubre de

2005 dedicado a la organización de la seguridad de la información. En noviembre

de 2007 ha sido traducida y se ha convertido en norma española: UNE ISO/IEC

27001:2005

Antecedentes:

• La BS7799, del año 1995, que fue evolucionando.

• La norma ISO 17799, del año 2000, que es un “código de buenas

prácticas” en cuanto a seguridad de la información. Actual ISO 27002.

5/14/2018 ISO 20000-27000 - slidepdf.com


ISO 27001. Ciclo de vida

5/14/2018 ISO 20000-27000 - slidepdf.com


ISO 27001. Controles de Seguridad

5/14/2018 ISO 20000-27000 - slidepdf.com


GlobalSGSI: herramienta software de apoyo a la implantación y mantenimiento de la

norma ISO 27001.

GlobalSGSI

5/14/2018 ISO 20000-27000 - slidepdf.com


Implantación ISO 27001 vs ROSI

Con esos elementos se podría hacer un cálculo del retorno de inversión, siempre de forma

estimada, teniendo presente el historial de incidencias y eventos de seguridad y sus gastos

asociados.

¿Cómo podríamos mejorar el retorno de inversión?, con GLOBALSGSI.

Reduciendo los costes vistos anteriormente

1. Menos costes de consultoría de implantación.

2. Menos horas de trabajo interno por parte de la organización.

3. El mantenimiento del sistema requiere muy pocos recursos internos al llevar todo elsistema de forma centralizada con una herramienta.

4. El hecho de tener el sistema automatizado hace que su uso se extienda más

rápidamente y realmente se aproveche tener implantada ISO 27001. Si el sistema no

es usable no se aprovecharán sus beneficios.

5/14/2018 ISO 20000-27000 - slidepdf.com



5/14/2018 ISO 20000-27000 - slidepdf.com


ISO 27001: Único estándar Internacional certificable en Seguridad de la Información.


5/14/2018 ISO 20000-27000 - slidepdf.com


Implantación ISO 20000

ISO 20000

5/14/2018 ISO 20000-27000 - slidepdf.com



ISO 20000 es una norma internacional cuyo objetivo es garantizar laprestación de servicios gestionados de TI con una calidad aceptable

para los clientes de un proveedor de servicios de TI. Fue publicada el 15

de diciembre de 2005 por la Organización Internacional de

Normalización, que convertía así la Norma Británica 15000 (BS 15000) enuna norma internacional.

Consta de 13 procesos

El objetivo de ISO 20000, heredado de BS 15000, consiste en “proporcionar

una norma de referencia común para todas las empresas que ofrezcan

servicios de TI a clientes internos o externos”.

5/14/2018 ISO 20000-27000 - slidepdf.com



Diferencias entre ISO 20000-1 e ISO 20000-2.La norma ISO 20000 consta de dos partes reunidas bajo el título general de

Gestión del Servicio de Tecnologías de la Información:

Parte 1: Especificaciones - Publicada como ISO 20000-1: 2005, es laespecificación formal de la norma. Parte certificable.

Parte 2: Código de buenas prácticas - Publicada como ISO 20000-2: 2005,

mejores prácticas y recomendaciones para los procesos de Gestión del

Servicio.

5/14/2018 ISO 20000-27000 - slidepdf.com



5/14/2018 ISO 20000-27000 - slidepdf.com


Implantación ISO 20000. Ciclo de vida

5/14/2018 ISO 20000-27000 - slidepdf.com


Global20000: herramienta software de apoyo a la implantación y mantenimiento de la

norma ISO 20000.

Global20000

5/14/2018 ISO 20000-27000 - slidepdf.com


Beneficios


BeneficiosMenos

incidencias

Menos coste en

la gestión de

incidencias

Nuevos clientes

Fidelización de

clientes

Cumplimiento

de SLAs

Menos coste deimplantación

gracias a

GLOBAL20000

Continuidad y

disponibilidad

5/14/2018 ISO 20000-27000 - slidepdf.com



Con esos elementos se podría hacer un cálculo del retorno de inversión, siempre de forma

estimada, teniendo presente el historial de incidencias y eventos de seguridad y sus gastos

asociados.

¿Cómo podríamos mejorar el retorno de inversión?, con

GLOBAL20000.

Reduciendo los costes vistos anteriormente

1. Menos costes de consultoría de implantación.

2. Menos horas de trabajo interno por parte de la organización.3. El mantenimiento del sistema requiere muy pocos recursos internos al llevar todo el

sistema de forma centralizada con una herramienta.

4. El hecho de tener el sistema automatizado hace que su uso se extienda más

rápidamente y realmente se aproveche tener implantada ISO 20000. Si el sistema no

es usable no se aprovecharán sus beneficios.

5/14/2018 ISO 20000-27000 - slidepdf.com


Implantación ISO 20000 vs Implantación ISO 27001

ISO

27001

ISO

20000

Consejo: comenzar con ISO 27001, para sentar las bases de un sistema de

gestión dentro de un entorno seguro, y seguir con la implantación de ISO 20000

para conseguir una prestación eficaz y eficiente de nuestros servicios TI.

5/14/2018 ISO 20000-27000 - slidepdf.com


VI. Conclusiones

Gracias por la atención prestada.

Dudas…

[email protected] www.audisec.es 902 056 203 926 612 310

MADRID: C/ Hilarión Eslava 21 9º A Esc. Izquierda 28015CIUDAD REAL: Polígono industrial avanzado. Avenida de la Ciencia nº1. 13002 Ciudad Real.

ISO 20000-27000

Documents

Transcript of ISO 20000-27000