Implantación de la norma ISO 27001 Implantación de la ...€¦ · basado en el estándar...
Transcript of Implantación de la norma ISO 27001 Implantación de la ...€¦ · basado en el estándar...
Implantación de la norma ISO 27001
Implantación de la norma ISO 20000
en Pymes Españolas
Financiado por:
1
El proyecto AvanzaSec, liderado por Audisec, nace para dar respuesta a las necesidades que las
PYMES Españolas tienen a día de hoy en:
• Seguridad de la Información: ISO 27001
• Gestión de Servicios TI: ISO 20000
Para ello, la mejor opción es la implantación y certificación bajo la norma ISO correspondiente a
través de las subvenciones concedidas por el Plan Avanza del Ministerio de Industria (MITYC).
A lo largo de esta presentación detallaremos los hitos más destacados del proyecto.
www.audisec.es
PRESENTACIÓN DEL PROYECTO
Audisec, Seguridad de la Información S.L. ha demostrado su saber hacer en lo que a
petición, gestión, ejecución y justificación de proyectos subvencionados, participando en:
EN 2009 AUDISEC CONSIGUIÓ CASI EL 50% DEL TOTAL DE PROYECTOS ISO 27001- ISO 20000
QUE CONCEDIO EL MINISTERIO A NIVEL NACIONAL
• Proyecto INTECO: 148 empresas certificadas
•Proyectos Avanza:
•2008: 48 empresas certificadas con el apoyo de Global SGSI (ISO 27001)
•2009: Más de 100 empresas certificadas o en proceso de implantación y
certificación con el apoyo de la Suite Global (ISO 27001 – ISO 20000)
•2010: El objetivo es superar el número de empresas de 2009.
• Proyectos INNOEMPRESA REGIONALES:
•Dos proyectos Innoempresa regionales gestionados y uno en trámite.
CASO DE EXITO
•ISO 27001: Mejorar la Seguridad de la Información
•ISO 20000: Mejorar la Gestión de Servicios TI
Como método de mejora EN SEGURIDAD se ha optado por la implantación y
certificación de un sistema de gestión de seguridad de la información (en adelante SGSI)
basado en el estándar internacional de seguridad de la información ISO/IEC 27001:2005.
Por otro lado, obtendremos la adecuación a la ley orgánica de protección de datos de
carácter personal (LOPD).
Como método de mejora EN GESTIÓN DE SERVICIOS TI se ha optado por la implantación
y certificación de un sistema de gestión de servicios TI (en adelante SGSTI) basado en el
estándar internacional de gestión de servicios TI ISO 20000-1
I. Objetivo del Proyecto: CERTIFICACIÓN ISO 27001- ISO 20000
Beneficios directos :
1. Mejora en la seguridad de la información, en la gestión de servicios, con un
sistema certificado por un tercero independiente (ENTIDAD CERTIFICADORA).
Beneficios indirectos :
1. Posicionamiento en el mercado.
2. Mejora de la imagen de la empresa.
3. Mejora de la competitividad de la empresa.
4. Depuración de procesos internos.
5. Empleados formados y concienciados en Seguridad.
6. Cumplimiento legal (LOPD).
7. Captación de clientes
I. Objetivo del Proyecto
En el proyecto hay CUATRO figuras fundamentales
II. Organización del Proyecto
PYME
Organismo intermedio
Consultora
CERTIFICADORA
En el proyecto hay cuatro figuras fundamentales
1. Organismo intermedio: solicita la subvención en nombre de la PYME para conseguir la
máxima intensidad en la subvención.
2. PYME: beneficiaria de una subvención del Plan Avanza 2. Tendrá que establecer un
grupo de trabajo para dar soporte a la consultora.
3. Consultora: asesorará a la PYME para cumplir con todo lo dispuesto en el estándar y
conseguir así la certificación en dicha norma. Hará labores de OFICINA TÉCNICA DEL
PROYECTO.
4. Entidad certificadora: es la encargada de acreditar mediante una auditoría que los
trabajos realizados por la PYME en colaboración con la consultora cumplen con todo
lo establecido en la norma correspondiente.
II. Organización del Proyecto
Oficina técnica del proyecto, tendrá dos labores principales:
1. Coordinación técnica del proyecto: asegurando la correcta ejecución de los trabajos
de consultoría conforme a unos requisitos de calidad y estandarización de procesos.
Se harán seguimientos para conocer el avance del proyecto y evitar desviaciones
que pusieran en riesgo el buen devenir del mismo.
2. Coordinación económica: se dará soporte a las PYMES para la tramitación de todos
los requisitos necesarios para la correcta justificación y obtención de la subvención.
II. Organización del Proyecto. Oficina técnica
902 056 203
III. Presupuestos 2010
LA PYME NO TIENE NINGÚN COMPROMISO REAL CON EL PROYECTO HASTA QUE SEPA LA
SUBVENCIÓN QUE LE HAN CONCEDIDO. EN ESE MOMENTO DECIDE CONTINUAR O NO
ADELANTE.
La subvención del Plan Avanza llega hasta un máximo de 13.000 euros (ISO 27001) y
20.000 euros (ISO 20000) , por lo que en función de la cantidad final concedida por el
ministerio el proyecto puede llegar a ser a coste cero.
Los conceptos subvencionables incluyen tanto el proceso de consultoría (por parte de
AudiSec) como el proceso de auditoría y posterior emisión del certificado, a cargo de una
entidad certificadora.
El ministerio entregará la subvención una vez concedida por adelantado y sin necesidad
de presentar garantías por la PYME..
EQUIPO DEL PROYECTO: GRUPO DE TRABAJO
Por parte de Audisec, doble perfil técnico-jurídico:
1 Consultor Técnico:
• Ingeniero Informático.
• CISA, CISM, LEAD AUDITOR
• Experto implantador ISO 27001, ISO 20000.
• Experiencia en proyectos de implantación ISO 27001, ISO 20000.
1 Consultor Jurídico:
• Abogado en ejercicio.
• CISA, CISM, LEAD AUDITOR
• Experto implantador ISO 27001, ISO 20000.
• Experiencia en proyectos de implantación ISO 27001, ISO 20000.
Por parte de la Pyme beneficiaria:
• Al menos 1 persona con perfil preferentemente técnico, que se encargue de ser el coordinador entre Audisec y el resto de la
empresa, además de ser el encargado de liderar la implantación de los diferentes hitos del proyecto.
• Resto de equipo designado a elección de la empresa.
SOLUCIONES DE ÉXITO EN LA IMPLANTACIÓN
El proyecto será desarrollado con la ayuda de la
SuiteGlobal:
•GLOBALSGSI: De apoyo a la implantación de la
Norma ISO 2700.
•GLOBAL20000: De apoyo a la implantación de
la Norma ISO 20000.
IV. Hitos y Fases del Proyecto ISO 27001
13
•Inicio del proyecto
•Análisis diferencial
•Formación
•Inventario activos
•Análisis de riesgos
•Gestión de riesgos
•Implementación de controles
•Gestión de riesgos
•Cuadro de mandos•Auditoría interna
•Plan acciones correctivas
•Mejora continua
•Revisión por la dirección
El cronograma anterior supone un escenario en el que la implantación se desarrolla
en 6 meses incluyendo la certificación del sistema.
IV. Gestión técnica. Consultoría
El proyecto de implantación ISO 20000 contempla los siguientes procesos:
Procesos de provisión de servicio
Gestión de capacidadGestión de continuidad
Gestión de nivel de servicioInformes del servicio
Gestión de la seguridad de la informaciónPresupuestos y contabilidad
Procesos de entrega
Gestión de capacidadGestión de continuidad
Procesos de resolución
Gestión de incidenciasGestión de problemas
Procesos de relación
Gestión de relaciones con el negocioGestión de suministradores
Procesos de control
Gestión de la configuraciónGestión de cambios
IV. Hitos y Fases del Proyecto ISO 20000
15
•Inicio del proyecto
•Alcance y catálogo de servicios.
•Análisis de riesgos
•Análisis de impacto en el negocio
•Gestión de niveles de servicio
•Relaciones con el negocio
•Relaciones con suministradores
•Gestión de incidentes y problemas.
•Gestión de cambios y entregas.
•Gestión de la configuración
•Gestión de la capacidad
•Gestión de la disponibilidad.
•Gestión de la continuidad.
•Gestión de la seguridad
•Gestión financiera
•Plan de gestión del servicio
•Informes del servicio.
•Plan de mejora del servicio
•Planificación estratégica
•Auditoría interna
•Plan acciones correctivas
•Mejora continua
•Revisión por la dirección
El cronograma anterior supone un escenario en el que la implantación se desarrolla
en 9 meses incluyendo la certificación del sistema.
IV. Gestión técnica. Certificación.
P5: Certificación
La auditoría de certificación se dividirá en dos partes:
• Fase I: documental.
• Fase II: in situ, en casa de la PYME, para comprobar el cumplimiento de todo lo
dispuesto en la documentación que ha sido revisada en fase I.
En caso de existir no conformidades se subsanarán, realizando el oportuno plan de
acciones correctivas (PAC).
Una vez realizado el PAC, obtendremos el certificado
V. Plazos del proyecto
Los proyectos se realizarán e implantarán de acuerdo con la PYME beneficiaria a lo
largo de 2010-2011:
• Las empresas que opten por la doble certificación comenzarán con ISO 27001 y
posteriormente ISO 20000.
• El plazo óptimo de implantación de los sistemas oscila entre seis meses a un año.
VI. Adhesión al proyecto
Los pasos necesarios para adherirse al proyecto son:
FASE I (INICIAL): TOTALMENTE GRATUITA
• Completar solicitud de adhesión, se puede solicitar en nuestra web o directamente
a través de [email protected]
• Firmar autorización para solicitar subvención en nombre de la Pyme
• Solicitud formal ante el Ministerio antes del 7 de junio.
FASE II (CONCESIÓN PROVISIONAL): Julio a Diciembre de 2010
• Firma de contratos
• Firma de convenio entre Pymes participantes
• Envío de documentación al Ministerio (obligatorio estar al corriente de obligaciones
tributarias y frente a la seguridad social).
•Una vez concedida provisionalmente la subvención se constituirá una garantía para
seguir adelante con el proyecto, 1.500 euros, devolución integra una vez justificado.
(La constitución de una garantía por las PYMES es una garantía para ellas de que el proyecto llegará al final, puesto que las
empresas que sigan adelante estarán comprometidas. (EXISTEN PROYECTOS DE OTRAS ORGANIZACIONES SIN GARANTÍAS EN AÑOS
ANTERIORES QUE SE HAN CAÍDO Y AUDISEC NO QUIERE CORRER RIESGOS CON LAS EMPRESAS QUE PRESENTA.)
VI. Adhesión al proyecto
FASE III (CONCESIÓN DEFINITIVA): Octubre 2010-Febrero 2011.
• Ministerio verifica corrección documentación y concede definitivamente la
subvención
• Puede pedir documentación adicional o corrección de información
• Ejecución de la implantación 2010-2011
FASE IV (JUSTIFICACIÓN DE LA SUBVENCIÓN): A lo largo de 2011.
• La justificación se hace a través del Organismo Intermedio
• Es necesario justificar gastos de implantación, certificación y trabajo interno por
parte de las PYME beneficiarias.
• Puede ser necesario justificar en dos partes la subvención.
• Todo el proceso será asistido por Audisec.
(Todos los plazos expresados están basados en la convocatoria de 2009 no pudiendo garantizar que será así puesto que depende
del Ministerio.)