ESTRATEGIAS PARA LA IMPLEMENTACION DE ISO 20000 E ISO 27001 EN UNA UNIVERSIDAD PBLICA COLOMBIANA.

Diana Rocio Plata Arango Diana.plata@uptc.edu.co

Por qu es Importante??
La Gestin de Servicios de Tecnologa de Informacin se ha convertido en un requisito, para las Organizaciones y en las Universidades no hay excepcin, cada vez es ms comn que se requiera calidad en la prestacin de los servicios, el reto para los Departamentos de Tecnologa es cada da mayor, dados los diferentes estndares, para la adopcin de buenas prcticas que existen en el mercado, no se conoce an una metodologa que se pueda seguir para lograr con xito la implementacin de estndares. Sin embargo persiste la exigencia de qu pasos se deberan seguir para garantizar que los servicios de tecnologa en la Universidades estn garantizando el servicio, la seguridad y demostrando la mejora continua?

Caractersticas UPTC Universidad Pedaggica Y Tecnolgica de Colombia

UPTC - cifras
Estudiantes : 27000 Docentes: 1600 Funcionarios: 1100 Sedes en Tunja, Duitama, Sogamoso, Chiquinquir. Bogot, Paipa 25 CREADS en el pas.

Grupo Organizacin y Sistemas.

Tiene definidas 4 reas de trabajo: Desarrollo y administracin de los sistemas de Informacin, Redes y Telecomunicaciones Soporte a Usuarios en Hardware y Software. Administracin de aulas de Informtica para prstamo a Docentes y estudiantes.
SEDE INTERNET DATOS COMPUTADORES CENTROS DE CABLEADO

Tunja Duitama Sogamoso Chiquinquira

120 Mbps 50 Mbps 50 Mbps 25 Mbps

40 Mbps 6 Mbps 6 Mbps 4 Mbps

1900 250 250 100

23 6 7 3

ESTRATEGIAS
Contar con el apoyo de la Alta Direccin.
2010: inclusin del proyecto Adopcin de Buenas Prcticas en el rea de TI bajo los estndares ISO 20000 e ISO 27000. Meta certificados a 2014.

Buscar Asesora con expertos. Empresas Consultoras. CAPACITACIN - MOTIVACIN. Trabajo por procesos.
Universidad Certificada con las normas ISO 9001 y NTCGP:1000 Proceso Gestin de Recursos Informticos

Proceso Gestin de Recursos Informticos.

El objetivo del proceso es: Gestionar La Infraestructura Informtica Y De Telecomunicaciones, Que Permita La Prestacin De Servicios Para La Satisfaccin De Necesidades De Los Clientes Contiene 4 procedimientos. 1. Procedimiento para la Incorporacin de los Sistemas de Informacin. 2. Soporte y Administracin de Recursos Informticos. 3. Seguridad de la Informacin 4. Administracin de Aulas de Informtica.

ESTRATEGIAS
Proponer un modelo

ESTRATEGIAS
IMPLEMENTACIN DE PROCESOS COMUNES
1. Proceso Control de Documentos, se tiene ya plenamente establecido, en el cual se protegen y controlan los documentos, adems se observa que se tienen previsto las actividades para elaboracin, actualizacin y control de versiones de los documentos que hacen parte de los sistemas de Gestin. Proceso Control de Registros, el proceso existente garantiza que se establecen y se mantienen los registros para establecer la evidencia y la conformidad con la operacin y los requisitos de los dos estndares. Proceso Auditoras Internas. Las dos normas lo requieren y este proceso debe contar con los criterios, el alcance, la frecuencia y los mtodos de auditoria adems los criterios de seleccin de los auditores. Proceso de Revisin por la Direccin. Se establece la frecuencia, y las entradas para el proceso de la revisin tal como est requerido por los dos estndares.

2. 3. 4.

ESTRATEGIAS
PROCESOS COMUNES ENTRE LAS NORMAS Proceso Gestin de Incidencias requerido por las dos normas. Proceso Gestin de activos en ISO 27001 se relaciona con Gestin de la Configuracin en ISO 20000. Proceso Seguridad de la Informacin, requerido por ISO 20000 se cumple con las polticas adoptadas a partir de ISO 27001.

ESTRATEGIAS ISO 20000

La norma ISO 20000, se presenta como una alternativa, para mejorar el procesos desde ISO 9001 y que permitan garantizar la prestacin satisfactoria de los servicios de TI y la gestin que se realice sobre estos, para lograr la satisfaccin de los Usuarios.

Concepto ITSM
ITSM:ITService Management es la disciplina que se enfoca a la gestin del conjunto personas, procesos ytecnologa que cooperan para asegurar la calidad de los servicios TI, con arreglo a unos niveles deservicio acordados previamente con el cliente.

Procesos de ISO 20000

ESTRATEGIAS ISO 20000

Apoyarse en una Herramienta de Software.
Actualmente las empresas dedicadas a ofrecer servicios de TI, son las mas interesadas en certificar sus servicios bajo este estndar. De tal forma que se han desarrollado diferentes herramientas de Software que ayudan a cumplir los procesos de ITIL que son la base de ISO 20000. Se busca implementar de manera ms rpida algunos de los procesos requeridos por la norma: Entra las disponibles se encuentran: SAP Solution Manager. BMSC Software ITSM V 8.1 PROACTIVA NET v8 EASY VISTA 2012 HELPEOPLE ARANDA SOFTWARE

ESTRATEGIAS ISO 20000

La Universidad UPTC seleccion PROACTIVA NET, cumple 10 procesos, es muy fcil de manejar, se encuentra en espaol y ofrece una interfaz muy amigable al usuario final, con la seleccin de esta herramienta se contaba con el avance en los siguientes procesos: Gestin de la Configuracin y gestin de activos, ofrece diferentes opciones para el levantamiento de informacin de los diferentes elementos de Configuracin que hacen parte de la Infraestructura dela Universidad, es decir equipos de cmputo, porttiles, servidores, impresoras, switch, Telfonos IP, Software. A partir de esto se puede crear la CMDB, junto con el catlogo de servicios que ofrece el rea de TI.. Gestin de Incidentes, Gestin de problemas. Ofrece toda la infraestructura para el reporte de incidentes y la debida atencin por parte de los tcnicos de primer y segundo nivel, adems el escalamiento en caso de que se conviertan en problema se puede realizar automticamente y all dejar definidos los diferentes reportes de cada caso.

ESTRATEGIAS ISO 20000

Gestin de cambios y Gestin de entregas. Se realizan las solicitudes y se generan los planes requeridos para nuevas implementaciones y la debida implementacin de las mismas. Gestin del nivel del servicio y presentacin de Informes. La herramienta genera todos los reportes al nivel de detalle que se desee, adems all mismo se crean los acuerdos de niveles de servicio, y se puede realizar el seguimiento del cumplimiento que se le da a los mismos.

ESTRATEGIAS ISO 20000

Apoyo con la empresa Consultora. Aprovechar el conocimiento de la empresa consultora para crear las polticas del Sistema de Gestin de Servicios de TI SGSTI, y un primer borrador de la documentacin requerida como planes de la gestin del servicio, esto es crear el plan de gestin del Servicio que se entiende como un Plan Estratgico de tecnologa Informtica que debe ir alineado con los objetivos de la universidad y el plan de desarrollo para garantizar asignacin de fondos y presupuestos, funciones y responsabilidades y riesgos entre otros.

ESTRATEGIAS ISO 20000

Apoyo con la empresa Consultora Se debe identificar la relacin con los otros procesos como Talento Humano, Jurdica y manejo de proveedores, para implementar los roles requeridos por la norma, la aplicacin de acuerdos de nivel de servicio en el manejo de contratos, entre otras caractersticas. Mejorar el proceso actual existente para la gestin financiera, de tal forma que incorpore el presupuesto y contabilidad de los servicios de Tecnologa de la Informacin. El procedimiento de Seguridad de la Informacin, se vincula con lo desarrollado en ISO 27001. Mejorar el proceso existente para el manejo de los proveedores con el fin de que tenga en cuenta los requisitos de la norma, basada en el entendimiento del cliente y su negocio, para los proveedores internos y los proveedores externos.

ISO 27001.
Las vulnerabilidades cada vez son mas frecuentes. La utilizacin de modelos, normas y/o estndares, se ha convertido en la herramienta ms eficiente para evitar incidentes de seguridad, en especial aquellos que contemplan no solo el tema tecnolgico, sino, que abarcan toda la Organizacin. Un ejemplo se puede observar en la circular 052 de 2007, de la Superintendencia Financiera de Colombia, en la cual se imparten instrucciones relacionadas con los requerimientos mnimos de seguridad y calidad en el manejo de informacin, a travs de medios y canales de distribucin de productos y servicios para clientes y usuarios [7].

ISO 27001
Actualmente son muy comunes los ataques informticos, y los usuarios que se ven afectados por desconocer de qu manera pueden protegerse, incluso el Estado colombiano ha comenzado programas como Gobierno en lnea donde unos de los componentes importantes busca que las organizaciones estatales generen estrategias relacionadas con la seguridad de la Informacin. Otra iniciativa es la Ley de proteccin de Datos personales que se aplica al tratamiento de datos personales efectuado por entidades pblicas o privadas, dentro del pas o cuando el Responsable o Encargado no establecido en territorio nacional le sea aplicable la legislacin colombiana en virtud de normas y tratados internacionales.

ISO 27001
Casos para recordar el ataque hacia la plataforma tecnolgica de la Registradura del Estado Civil de Colombia, durante la realizacin de las pasadas elecciones presidenciales del mes de junio de 2011, y no muy lejano el de las pasadas elecciones en Venezuela en el mes de abril de 2013, donde ingresaron a la cuenta del entonces candidato Nicols Maduro. Casos de suplantacin de Identidad (Phishing)

ISO 27001
Componentes de un modelo de ISO 27001

Estrategias ISO 27001

APOYO CON LA EMPRESA CONSULTORA DOCUMENTAR REQUERIMIENTOS DE LA NORMA. Gestin de activos La gestin de activos busca, entre otros, identificar todos aquellos activos que componen un proceso o la cadena de valor de la Organizacin, indicando la propiedad de los mismos. As mismo se deben establecer las directrices de clasificacin de los activos identificados, adems de los procedimientos para etiquetar y manejar la informacin. Todo esto se puede resumir en el inventario y clasificacin de activos de informacin.

Estrategias ISO 27001

Gestin de riesgos

Comprende el conjunto de actividades para controlar y dirigir la identificacin y administracin de los riesgos de la seguridad de la informacin para poder alcanzar los objetivos del negocio. En este punto se trabaja con los activos inventariados y clasificados anteriormente y para lograr el objetivo es necesario identificar las amenazas contra tales activos y las vulnerabilidades que se pueden aprovechar. La gestin de riesgos debe garantizar que el impacto de las amenazas que explotan las vulnerabilidades estn dentro de los lmites y costos aceptables

Estrategias ISO 27001

Gestin de la continuidad Consiste en desarrollar y administrar una capacidad para responder ante incidentes destructivos y perjudiciales, relacionados con la seguridad de la informacin y la forma de recuperarse de los mismos. En otras palabras, permitirle a la Organizacin continuar con sus operaciones en caso de una interrupcin y restaurar los servicios tan rpida y eficazmente como sea posible. En este punto es importante la realizacin de tres etapas: Anlisis de impacto al negocio, BIA Anlisis de riesgos por prdida de disponibilidad Definicin de la estrategia(s) de recuperacin

Estrategias ISO 27001

Gestin de la cultura en seguridad de la informacin Premisa: no existen parches para lidiar con el desconocimiento de las personas. Para llevar a buen trmino la implantacin de un SGSI es importante tener en cuenta las personas. Todo el personal de la Organizacin debe estar involucrado y debe hacer parte activa del proceso y parte de la exigencia de la norma de contar con el apoyo manifiesto de la Alta Gerencia.

Estrategias ISO 27001

Gestin del cumplimiento Hace referencia al cumplimiento de todos aquellos requisitos legales, polticas y normas de seguridad de la informacin y algunas consideraciones de auditora exigidas por la norma. Se deben tener en cuenta leyes (Habeas data y Delitos Informticos, por ejemplo), normatividad del sector (circulas 052 y 038 de la SFC), normatividad interna (resoluciones), polticas (de seguridad de la informacin) y en general todos aquellos requisitos legales y de cumplimiento que la Organizacin debe cumplir.

Estrategias ISO 27001

Gestin de incidentes El ltimo y no menos importante proceso, hace referencia a la gestin de incidentes. Es muy importante resaltar la definicin de incidente dentro de la norma ISO 27001: evento o serie de eventos de seguridad de la informacin no deseados o inesperados, que tienen una probabilidad significativa de comprometer las operaciones del negocio y amenazar la seguridad de la informacin

ESTRATEGIAS CAPACITACION.
Con la inmersin de formacin, las empresas pueden reducir la sensibilidad media de empleados a los ataques dirigidos a menos del 10%. No slo los empleados capacitados son mejores a la hora de evitar las trampas del phishing, adems pueden ser los ojos y los odos que sirvan para alertar a los miembros relevantes del equipo de seguridad de la organizacin de intentos de allanamiento. Tomado de: http://iso27000.es/

PARA FINALIZAR
BENEFICIOS RESUMEN

BENEFICIOS ISO 20000

La estrategia de Tecnologa alineada con el Plan de Desarrollo de la Universidad. Costos reducidos y controlados, esto se logra a travs de la aplicacin de los procedimientos de Gestin financiera para el rea de TI. Tiempo ms rpido en la implementacin de los cambios, debido a que se encuentran controlados y descritos en los procedimientos, no solo las actividades a realizar en un cambio sino el responsable de llevarlo a cabo. Fiabilidad y Disponibilidad del servicio , lo que resulta en la satisfaccin del cliente, esto llevado a cabo a travs de los acuerdos de nivel de servicio y la correcta gestin de incidencias o de problemas segn sea el caso.

BENEFICIOS ISO 20000

Integracin con los proveedores y socios, pues estarn ms enfocados en los servicios requeridos por la Organizacin y el correcto cumplimiento de lo contratado. Reduccin y Control de los riesgos, aunque en este punto se lograrn mejores resultados combinando con ISO 27000. Calidad de los servicios de Tecnologa de la Informacin y Fiabilidad de los Sistemas de Tecnologa. Motivacin y compromiso en el personal

Beneficios ISO 27001

Establecimiento de una metodologa de gestin de la seguridad clara y estructurada. Reduccin del riesgo de prdida, robo o corrupcin de informacin. Los clientes tienen acceso a la informacin a travs medidas de seguridad. Los riesgos y sus controles son continuamente revisados. Confianza de clientes y socios estratgicos por la garanta de calidad y confidencialidad comercial. Las auditoras externas ayudan cclicamente a identificar las debilidades del sistema y las reas a mejorar. Tomado de: http://iso27000.es/

Beneficios ISO 27001

Continuidad de las operaciones necesarias de negocio tras incidentes de gravedad. Conformidad con la legislacin vigente sobre informacin personal, propiedad intelectual y otras. Imagen de empresa a nivel internacional y elemento diferenciador de la competencia. Confianza y reglas claras para las personas de la organizacin. Reduccin de costes y mejora de los procesos y servicio. Aumento de la motivacin y satisfaccin del personal. Aumento de la seguridad en base a la gestin de procesos en vez de en la compra sistemtica de productos y tecnologas.

RESUMEN ESTRATEGIAS
Cuente con el apoyo de la Alta Direccin. Contrate con empresas expertas para dar inicio al proceso. Si ya cuenta con una gestin por procesos como ISO 9001:2008 ya hay bastante abonado para los procesos comunes. Sino el trabajo por procesos sirve para las dos normas. Rena a los lderes de procesos como talento Humano, Financiera, Proveedores y Jurdica. Capacitar al personal del rea de TI en las normas. Socialice y capacite a otros lderes de proceso

RESUMEN ESTRATEGIAS
Genere estrategias para la divulgacin a los usuarios finales, videos, radio, impresos, mensajes al correo, en la intranet. Para ISO 27001 permita que los asesores de la empresa consultora realicen el anlisis GAP, la gestin de activos, gestin de riesgos y gestin de continuidad y vulnerabilidad Empodere al personal de Administracin de redes y servidores para generar polticas para proteger los activos de los equipos. Capacitarse en Auditoras internas de cada norma para conocer el punto de vista del auditor y preparase para las auditoras internas y de certificacin. Realice auditoras internas.

GRACIAS