Sistemas de

Gestin para
Tecnologas de la
Informacin.
-TICs -
Carlos Manuel Fdez.
CISA, CISM

Product Manager
Certificacin TICs
Octubre-07
AENOR
 Sistemas de
Gestin para
Tecnologas de la
Informacin.
-TICs -
Carlos Manuel Fdez.
CISA, CISM

Product Manager
Certificacin TICs
Octubre-07
AENOR
AENOR

La Asociacin Espaola de Normalizacin y

Certificacin (AENOR), creada en 1986, es una
entidad espaola, privada, independiente, sin
nimo de lucro, reconocida en los mbitos
nacional, comunitario e internacional, que
contribuye, mediante el desarrollo de las
actividades normalizacin y certificacin, a
mejorar la calidad en las empresas, sus
productos y servicios, as como proteger el
medio ambiente y, con ello, el bienestar de la
sociedad . (de la informacin).
 AENOR
Buy Now to Create PDF without Trial Watermark!!
Asociacin privada
Sin nimo de lucro
Constitucin: 1986
Real decreto 2200/95
AENOR Corporacin.
AENOR INTERNACIONAL (9 filiales).
AENOR Mxico (10 aos en Mxico
DF y Delegaciones) .
Multisectorial
Normalizacin
Certificacin productos, servicios,
sistemas de gestin y personal
Servicios de Formacin.

Created by eDocPrinter PDF Pro!!

Compromisos
Buy de PDF
Now to Create AENOR (I) Trial Watermark!!
without

Elaborar normas tcnicas espaolas con la

participacin abierta a todas las partes
interesadas, y colaborar impulsando la
aportacin espaola en la elaboracin de
normas europeas e internacionales

Certificar productos, servicios y empresas

(sistemas) confiriendo a los mismos un valor
competitivo diferencial que contribuya a
favorecer los intercambios comerciales y la
cooperacin internacional
Created by eDocPrinter PDF Pro!!
Sistemas de Gestin Integrados
Compromisos
Buy de PDF
Now to Create AENOR (II)Trial Watermark!!
without

Orientar la gestin a la satisfaccin de

nuestros clientes y la participacin activa de
nuestras personas, con criterios de calidad
total, y obtener resultados que garanticen un
desarrollo competitivo

Impulsar la difusin de una cultura que nos

relacione con la calidad y nos identifique como
apoyo de quien busca la excelencia

Created by eDocPrinter PDF Pro!!

Sistemas de Gestin Integrados.
AENOR:
Buy Now toOrganismo
Create PDFde Normalizacin
without Trial Watermark!!

Normalizacin multisectorial
Miembro espaol de los siguientes
organismos internacionales:
Internacionales (ISO/IEC)
Europeos (CEN/CENELEC/ETSI)
Americanos (COPANT)
Datos relevantes:
25.700 normas UNE en catlogo
1.730 normas elaboradas en 2006
184 Comits Tcnicos de Normalizacin
Created by eDocPrinter PDF Pro!!
Sistemas de Gestin Integrados
AENOR:
Buy Now toEntidad de certificacin
Create PDF without Trial Watermark!!

Certificacin de productos y servicios

Certificacin de sistemas de gestin (calidad,
medioambiente, prevencin de riesgos
laborales y otros referenciales)
Validaciones y evaluaciones (GRI, AyERM,
EMAS)
Entidad operacional designada, DOE, para la
validacin y verificacin de gases de efecto
invernadero
Created by eDocPrinter PDF Pro!!
Sistemas de Gestin Integrados
AENOR:
Buy entidad
Now to Createde
PDFcertificacin
without Trial Watermark!!
productos y

Amplio rango de marcas de certificacin de

productos y servicios
Miembro espaol de la Asociacin Europea
de Certificacin de Productos Elctricos
(EEPCA)
Ms de 75.000 productos o servicios
certificados pertenecientes a ms de 3.725
empresas

Created by eDocPrinter PDF Pro!!

Sistemas de Gestin Integrados
AENOR:
Buy Now entidad
to Createde certificacin
PDF sistemas
without Trial -
Watermark!!

Acreditada por la Entidad Nacional de

Acreditacin para 38 sectores en calidad y
para 48 cdigos en medio ambiente
Miembro espaol de IQNet y de GEN
Sistemas de Aseguramiento de la Calidad
(ISO 9000): 17.600 empresas certificadas
Sistemas de Gestin Medioambiental (ISO
14001): ms de 3.700 empresas certificadas
370 validaciones EMAS

Created by eDocPrinter PDF Pro!!

Sistemas de Gestin Integrados
Marcas
Buy Nowde AENORPDF without Trial Watermark!!
to Create

Las marcas de AENOR

Created by
Sistemas de Gestin Integrados
evidencian la certificacin y
constituyen un elemento
diferenciador en el mercado,
mejorando la imagen de
productos y servicios
ofrecidos y generando
confianza entre clientes y
eDocPrinterconsumidores
PDF Pro!!
Buy Now to Create PDF without Trial Watermark!!

INDICE
La Gestin de las TICs alineada al Negocio.
Calidad, competitividad e innovacin.
SGSI (UNE ISO 27001).
Certificaciones SGSI .
Futuro del SGSI .

Created by eDocPrinter PDF Pro!!

Buy Now to Create PDF without Trial Watermark!!
Certificacin de
Sistemas de
Gestin en las
TICs : la
Seguridad de los
SI. La solucin a
los Riesgos
Empresariales

AENOR
Created by eDocPrinter PDF Pro!!
 Factores
Buy Now to Createque
PDF influyen enWatermark!!
without Trial la
Seguridad de los SI:
Actualmente: Nueva York y en los 80s :
Mainframe Ciudad de vila. Magerit
Amplio uso de la Tecnologa.
Interconectividad de los sistemas. Sistemas
abiertos y distribuidos.
Cambios muy rpidos en las TICs.
Ataques a Organizaciones. Tema atractivo?.
Factores externos: Legislacin .etc...
(Information Security Governance. 2001. IT
Governance Institute).
Created by eDocPrinter PDF Pro!!
Buy Now to Create PDF without Trial Watermark!!
Riesgos Empresariales
En el World Economic Forums Annual DAVOS meeting-, SWISS
RE informa de su estudio encuesta a nivel mundial (60 entrevistas a
senior executives en : USA, Francia, Alemania, Italia , Japn y Reino
Unido-Dic-2005 ).

El riesgo de los Ordenadores-SI- y las TICs, ocupa el primer lugar en

3 pases (Japn, Reino Unido y USA), y en el top three de los otros
pases, para sus negocios.

Como herramienta primordial para mitigar estos riesgos de SI

indican el Control Interno Informtico. SWISS RE.
SGSI- ISO 27001- y ISO 27002. (Fuente: AENOR- Carlosmf)

Created by eDocPrinter PDF Pro!!

Buy Now to Create PDF without Trial Watermark!!
Informe de riesgos en las TICs

Uno de cada 5 empleados deja a su familia y

amigos usar sus porttiles corporativos para
acceder a Internet. (21%)
Uno de cada diez confiesa que baja algn tipo de
contenido que no debiera mientras est en el
trabajo.
Dos tercios admiten tener conocimientos muy
limitados en materia de seguridad.
Un 5% dice que tienen acceso a areas de la red
corporativa que no deberan tener.
Fuente: McAffee.
Created by eDocPrinter PDF Pro!!
 Gestin
Buy Now de las
to Create PDFTICs con
without criterios
Trial Watermark!!
de Negocio-calidad en el servicio
Informe Penteo (2006):
TICs
Slo un 21% de las cas gestionan el dpto. de SI con criterios de
negocio.
31 % gestionan el dpto. de SI slo con criterios tecnolgicos
48 % gestionan con criterios hbridos.
Conclusiones:
La Direccin de las cas. Tiene una percepcin ms positiva de
los CIOs que siguen crtierios de Negocio. Les dan el rol de
lderes contribuidores de negocio en un 58%.
La Gestin de las TICs mejora el posicionamiento del dpto. de
SI y del CIO.
En un futuro los CIOS ms gestores y menos tecnlogos.
(Encuesta a : 85 Directores de TICs, 36 Dir. Generales y 12
Presidentes ).

Created by eDocPrinter PDF Pro!!

Buy Now to Create PDFDEwithout
SISTEMAS Trial Watermark!!
GESTIN DETICs

G
PDCA U
(Motor) I
A
S
M
E
SGSI SGSIT D
ISO.. ISO.. E
T ISO 27001 ISO 20000-1

R (Conocimiento)
I
I M
LIBRERA P
C ISO 20000-2 L
ISO17799 INFRAESTRUCTURA ? A
(ITIL)
A CPD N
T
S A
C
I
O
N

Created by eDocPrinter PDF Pro!!

Buy Now to Createde
Certificacin PDF withoutde
Sistemas Trial Watermark!!
Gestin de
la Seguridad de la Informacin-SGSI-
En que consiste?
Establecer y reordenar la Seguridad de los Sistemas de
Informacin en concordancia con los Planes
Estratgicos de la Organizacin y con sus Polticas de
Seguridad.

Un nuevo Ciclo de Mejora Continua: SGSI

una Gestin eficaz de la Seguridad de los SI permite
garantizar:
la Confidencialidad,
la Integridad y
la Disponibilidad de los Sistemas de Informacin.
Created by eDocPrinter PDF Pro!!
 AENOR
Buy Now to Create
QUPDF without Trial Watermark!!
PRESERVAR?

Cada organizacin tiene que preservar 3 CARACTERSTICAS

asociadas a la informacin:

DISPONIBILIDAD CONFIDENCIALIDAD

Asegurar que los usuarios Asegurar que la informacin es accesible

autorizados tienen acceso solo para aquellos autorizados a tener
cuando lo requieran a la acceso.
informacin y sus activos
asociados.

INTEGRIDAD
Garantizar la exactitud y
completitud de la informacin y los
mtodos de su proceso
Created by eDocPrinter PDF Pro!!
Buy Now to CreateDE
DEFINICION PDF withoutDE
SISTEMA Trial Watermark!!
GESTION
DE SI

Aquella parte del sistema general de gestin que

comprende la poltica, la estructura organizativa, los
procedimientos, los procesos, y los recursos
necesarios para implantar la gestin de la seguridad
de la informacin.

Es la herramienta de que dispone la Direccin para

implantar las polticas y objetivos de Seguridad de la
Informacin.

Created by eDocPrinter PDF Pro!!

 AENOR
Buy NowCertificacin
to Create PDF SGSI
without(ISO
Trial27001)
Watermark!!
MODELO PDCA Plan-Do-Check-Act
Definir poltica de seguridad
Establecer alcance del al SGSI P Implantar plan de gestin de riesgos
Realizar anlisis de riesgos Implantar el SGSI
Seleccionar los controles Implantar los controles

ISO IEC 27002

A
1 Poltica de Seguridad de Informacin 6 Gestin de comunicaciones y operaciones

2 Estructura organizativa de la SI 7 Control de accesos

3 Clasificacin y control de activos 8 Desarrollo y mantenimiento de sistemas

4 Seguridad ligada al personal 9 Gestin de Incidentes de Seguridad

D
5 Seguridad fsica y del entorno 10. Gestin Continuidad de Negocio
-----------------------------------------------------------
11 Conformidad y Cumplimiento legislacin

Adoptar las acciones correctivas

Adoptar las acciones preventivas
Revisar internamente el SGSI
Realizar auditorias internas del SGSI

C
Created by eDocPrinter PDF Pro!!
Buy Now to Create PDF
Procesos without Trial Watermark!!
S.G.S.I.

Activos de SI Anlisis y Gestin de Riesgo Residual

riesgos
Sistemas de
informacin R=F(X1,X2,X3,Xn)
Activo1-------R1
(aplicativos) Integridad (X1)
Software Confidencialidad (X2) Activo2-------R2
Hardware Disponibilidad (X3)
Telecomunicaciones Amenazas (X4) Aplicando
Personas Vulnerabilidades (X5) UNE ISO 17799

Impacto Econmico (X6) (Seleccin de

XN Controles)

Created by eDocPrinter PDF Pro!!

 NORMA
Buy Now toISO 27001:
Create PDF without Trial
Especificaciones Watermark!!
para los Sistemas de
Gestin de la
Seguridad de la Informacin
INDICE
1 Objeto y Alcance
2 Referencias Normativas
3 TRMINOS Y DEFINICIONES
4 SGSI
5 Responsabilidad de Direccin.
6 Auditoras Internas
7 REVISIN DEL SGSI por la Direccin
8 Mejora del SGSI
9 BIBLIOGRAFA
Anexo A: Objetivos de Control y Controles
Anexo B: Principios de OCDE.
Anexo C: Correspondencia con ISO 9001:200, ISO 14001:2004
Created by eDocPrinter PDF Pro!!
BuyNORMA
Now toISO 27001:
Create PDFEspecificaciones para los
without Trial Watermark!!
Sistemas de Gestin de la
Seguridad de la Informacin

Objeto yAlcance
Esta norma especifica los requisitos para establecer,
implantar, documentar y evaluar un SGSI de acuerdo
con la UNE-ISO 17799.
Especifica los requisitos de los controles de seguridad
de acuerdo con las necesidades de las organizaciones,
independientemente de su tipo, tamao o rea de
actividad.

Created by eDocPrinter PDF Pro!!

Buy Now to Create
NORMA PDF without
ISO/IEC Trial Watermark!!
17799:
OBJETIVOS Y CONTROLES
Cada rea o dominio tiene asociados uno o varios objetivos de
seguridad
Para cada objetivo se definen, a su vez, uno o ms controles de
seguridad cuya implantacin debe traducirse en la consecucin
del objetivo de seguridad asociado

11 REAS

39 OBJETIVOS
CONTROL

133 CONTROLES
Created by eDocPrinter PDF Pro!!
Buy Now to Create PDF without Trial Watermark!!
Caracterstica de SGSI

Este Sistema proporciona mecanismos para la

salvaguarda:
De los Activos de Informacin.
De los Sistemas que los procesan.
En concordancia con las polticas de Seguridad
y planes estratgicos de la Organizacin.
Es la herramienta de que dispone la Direccin para implantar las polticas y
objetivos de Seguridad de la Informacin: integridad, confidencialidad y
disponibilidad.

Created by eDocPrinter PDF Pro!!

 Factores
Buy Now crticos
to Create paraTrial
PDF without el xito
Watermark!!
Una seguridad orientada al negocio
Implementar la Seguridad en consonancia con la cultura de
la empresa
Apoyo visible y compromiso de la Direccin.
Buen entendimiento de los requisitos de seguridad, de la
evaluacin y gestin de los riesgos.
Convencer de la necesidad de la seguridad a directivos y
empleados.
Proveer formacin y guas sobre polticas y normas a toda
la organizacin.
Un sistema de medicin para evaluar el rendimiento de la
gestin de la seguridad y sugerir mejoras.

Created by eDocPrinter PDF Pro!!

Buy NowVENTAJAS
to Create PDF
DE without Trial Watermark!!
CERTIFICAR LAS
ACTIVIDADES DE SI -1/2-
Con respecto a los Sistemas de Informacin:
Sistematizar las actividades de SI
Ahorro de recursos en las actividades de SI, mejorando la
motivacin e implicacin de los empleados
Analizar riesgos: identificar amenazas, vulnerabilidades e
impactos en la actividad empresarial
Establecer objetivos y metas que permitan aumentar el nivel de
confianza en la seguridad
Planificar, organizar y estructurar los recursos asignados a
seguridad de la informacin
Identificar y clasificar los activos de informacin

Created by eDocPrinter PDF Pro!!

Buy NowVENTAJAS
to Create PDF
DE without Trial Watermark!!
CERTIFICAR LAS
ACTIVIDADES DE SI -2/2-

Seleccionar controles y dispositivos fsicos y lgicos

adecuados a la estructura de la organizacin
Asegurar el nivel necesario de disponibilidad,
integridad, y confidencialidad de la informacin
Establecer planes para adecuada gestin de la
continuidad del negocio
Establecer procesos y actividades de revisin, mejora
continua y auditora de la gestin y tratamiento de la
informacin
Created by eDocPrinter PDF Pro!!
Buy NowVENTAJAS
to Create PDF
DE without Trial Watermark!!
CERTIFICAR LAS
ACTIVIDADES DE SI -1/1
Con respecto al Negocio:
Integrar la gestin de la seguridad de la informacin con
otras modalidades de gestin empresarial
Mejorar la imagen confianza y competitividad
empresarial. La organizacin que desarrolle un SGSI segn
la norma, tendr ventajas de reconocimiento por los
organismos que certifican los sistemas.
Comprobar su compromiso con el cumplimiento de la
legislacin: proteccin de datos de carcter personal,
servicios sociedad de informacin, comercio electrnico,
propiedad intelectual, etc...
Dar satisfaccin a accionistas y demostrar el valor aadido
de las actividades de seguridad de la informacin en la
Created by eDocPrinter PDF Pro!!
empresa
 Resumen de Beneficios de SGSI
Buy Now to Create PDF
en las without Trial
Organizaciones Watermark!!

Created by eDocPrinter PDF Pro!!

Buy Now to Create PDF without Trial Watermark!!
Estado Actual. Un buen presagio.
La Seguridad de los SI en los procesos de
Negocio.
Ingeniera de la Seguridad de los Sistemas
de Informacin. Mediante un ciclo de
mejora continua.
Reordenar nuestro Sistema de SSI.
Interface con otros Sistemas. SDLC, etc..

Created by eDocPrinter PDF Pro!!

DIAGRAMA DECreate
Buy Now to FLUJO DEL
PDFPROCESO
without DE CERTIFICACIN
Trial Watermark!!
ANLISIS DE LA DOCUMENTACIN
(MANUAL, PROCEDIMIENTOS) VISITA PREVIA

CUESTIONARIO INFORME
INFORME
PRELIMINAR Y SOLICITUD
AUDITORA DEL
SISTEMA

REGISTRO INFORME
AUDITORAS DE SISTEMA DE
RENOVACIN
GESTIN PLAN DE ACCIONES
SERVICIOS CORRECTORAS
TECNOLOGAS DE 1 mes
INFORMACIN
AUDITORAS DE
SEGUIMIENTO
ANUALES
AUDITORA
CONCESIN DEL EXTRAORDINARIA
CERTIFICADO
Created by eDocPrinter
AENOR
PDF Pro!! 34
BuyActividades de without
Now to Create PDF AENOR Trialen TICs
Watermark!!
BCM 25999 IT Governance
Bussines
Bussines Continuity
Continuity Gobierno
Gobierno de
de las
las TIC.
TIC.
Management.
Management. BSI
BSI standard
standard Norma
Norma Australiana
Australiana

Proyectos Procesos /
Servicios

SAM SGSTI
SPICE ISO 15504 ISO 19770 ISO 20000-1
Modelo
Modelo de
de Evaluacin,
Evaluacin, Mejora
Mejora yy Capacidad
Capacidad de
de Software
Software Asset
Asset Sistema
Sistema de
de Gestin
Gestin Servicios
Servicios IT
IT
Software
Software Management
Management
ISO
ISO 20000-2
20000-2
ISO
ISO 12207
12207 Gua
Guade
deBuenas
Buenas
Prcticas
Prcticas
Ciclo
Ciclode
deVida
VidadedeDesarrollo
Desarrollode
de
Software
Software

SGSI
Adicionalmente:
Certificacin Accesibilidad TIC
ISO 27001
Sitios WEB. Sistema
Sistema de
de Gestin
Gestin Seguridad
Seguridad
de la Informacin
de la Informacin
Infraestructura CPD
ISO
ISO 17799:2005
Electrnico Created by eDocPrinter PDF Pro!!
Buenas Prcticas Comercio
Gua
17799:2005
Gua de
de Controles
Controles
AENOR
Software Original
Buy Now to Create PDF without Trial Watermark!!

Actividades de AENOR en TICs

IT Governance :
Proyecto en estudio de Norma Australiana.(IT management).
Plan estratgico de TICs incorporado a Gobierno Corporativo
(Corporate Governance)..
BCM BSI 25999 :
Piloto en desarrollo. Normas de BSI. Fase Inicial.
Plan de Continuidad de Negocio.
Norma certificable.
reas: de Desarrollo y rea de Procesos / Servicios y
nuevos productos:

Created by eDocPrinter PDF Pro!!

Buy Now to Create PDF without Trial Watermark!!
Actividades de AENOR en TICs
rea de Desarrollo:
Spice ISO 15504 :
Modelo de madurez del desarrollo de software. Evaluacin por niveles.
AENOR se le concede PROFIT. + 25 empresas.
Proyecto PROCER orientado a PYMES.
Es la competencia a CMMI.
ISO 12207 :
Ciclo de Vida de Desarrollo de Software. Fases en la creacin de un software.

SAM (Software Asset Mangement) ISO 19770 :

El software como activo. Fase Inicial. Traduccin norma.
Proyecto BSA . Espaa y LatinoAmerica.

Created by eDocPrinter PDF Pro!!

Buy Now to Create PDF without Trial Watermark!!

Actividades de Aenor en TICs

rea de Procesos / servicios:
SGSTI- UNE-ISO 20000 :
Sistema de Gestin de Tecnologas de Informacin. Calidad en la
Gestin de servicios de TICs a la empresa o clientes.(CPD externo o
CPD interno). Modelo PDCA. (Basado en las libreras ITIL).
AENOR-DDEC certifica a EL Corte Ingls-CPD y Telefnica
Soluciones . (Despus de un piloto de ms de seis meses).

SGSI UNE ISO 27001:

Sistema de Gestin de la Seguridad de la Informacin. Modelo PDCA
Aprox.: 50 empresas certificadas. De todos los sectores.
Premio revista SIC a mejor labor en Seguridad de SI. 2006.
Proyecto con comunidades: Andaluca, Asturias,

Created by eDocPrinter PDF Pro!!

Certificacin
Buy en elPDF
Now to Create sector TIC Trial Watermark!!
without
Sistemas de informacin
Marca AENOR de Sistemas de Gestin de Seguridad de la
Informacin (norma UNE ISO/IEC 27001): ms de 60 empresas.
Final del 2007 aprox.: 100 empresas . (En Mxico: INFONAVIT,
Bur de Credito, etc.)
Gestin del Servicio en TI (norma UNE- ISO 20001): 2 empresas:
Tefnica Soluciones , El Corte Ingls. Final del 2007: aprox.: 10
empresas..

Software
Certificado AENOR de Sistemas de Gestin de Software Original
SAM :Administracin de activos informticos (norma
ISO/IEC/19770 SAM)
SPiCE (norma UNE-EN ISO 15504).

Otras certificaciones
Certificacin Accesibilidad TIC sitios WEB (UNE 139803
Requistos de accesibilidad para contenidos WEB. Pautas de
accesibilidad WAI : A, AA y AAA.
Marca AENOR de Buenas Prcticas Comerciales para el
Created
Comercio by eDocPrinter PDF Pro!!
Electrnico