Professional Documents
Culture Documents
Por qu es Importante??
La Gestin de Servicios de Tecnologa de Informacin se ha convertido en un requisito, para las Organizaciones y en las Universidades no hay excepcin, cada vez es ms comn que se requiera calidad en la prestacin de los servicios, el reto para los Departamentos de Tecnologa es cada da mayor, dados los diferentes estndares, para la adopcin de buenas prcticas que existen en el mercado, no se conoce an una metodologa que se pueda seguir para lograr con xito la implementacin de estndares. Sin embargo persiste la exigencia de qu pasos se deberan seguir para garantizar que los servicios de tecnologa en la Universidades estn garantizando el servicio, la seguridad y demostrando la mejora continua?
UPTC - cifras
Estudiantes : 27000 Docentes: 1600 Funcionarios: 1100 Sedes en Tunja, Duitama, Sogamoso, Chiquinquir. Bogot, Paipa 25 CREADS en el pas.
23 6 7 3
ESTRATEGIAS
Contar con el apoyo de la Alta Direccin.
2010: inclusin del proyecto Adopcin de Buenas Prcticas en el rea de TI bajo los estndares ISO 20000 e ISO 27000. Meta certificados a 2014.
Buscar Asesora con expertos. Empresas Consultoras. CAPACITACIN - MOTIVACIN. Trabajo por procesos.
Universidad Certificada con las normas ISO 9001 y NTCGP:1000 Proceso Gestin de Recursos Informticos
ESTRATEGIAS
Proponer un modelo
ESTRATEGIAS
IMPLEMENTACIN DE PROCESOS COMUNES
1. Proceso Control de Documentos, se tiene ya plenamente establecido, en el cual se protegen y controlan los documentos, adems se observa que se tienen previsto las actividades para elaboracin, actualizacin y control de versiones de los documentos que hacen parte de los sistemas de Gestin. Proceso Control de Registros, el proceso existente garantiza que se establecen y se mantienen los registros para establecer la evidencia y la conformidad con la operacin y los requisitos de los dos estndares. Proceso Auditoras Internas. Las dos normas lo requieren y este proceso debe contar con los criterios, el alcance, la frecuencia y los mtodos de auditoria adems los criterios de seleccin de los auditores. Proceso de Revisin por la Direccin. Se establece la frecuencia, y las entradas para el proceso de la revisin tal como est requerido por los dos estndares.
2. 3. 4.
ESTRATEGIAS
PROCESOS COMUNES ENTRE LAS NORMAS Proceso Gestin de Incidencias requerido por las dos normas. Proceso Gestin de activos en ISO 27001 se relaciona con Gestin de la Configuracin en ISO 20000. Proceso Seguridad de la Informacin, requerido por ISO 20000 se cumple con las polticas adoptadas a partir de ISO 27001.
Concepto ITSM
ITSM:ITService Management es la disciplina que se enfoca a la gestin del conjunto personas, procesos ytecnologa que cooperan para asegurar la calidad de los servicios TI, con arreglo a unos niveles deservicio acordados previamente con el cliente.
ISO 27001.
Las vulnerabilidades cada vez son mas frecuentes. La utilizacin de modelos, normas y/o estndares, se ha convertido en la herramienta ms eficiente para evitar incidentes de seguridad, en especial aquellos que contemplan no solo el tema tecnolgico, sino, que abarcan toda la Organizacin. Un ejemplo se puede observar en la circular 052 de 2007, de la Superintendencia Financiera de Colombia, en la cual se imparten instrucciones relacionadas con los requerimientos mnimos de seguridad y calidad en el manejo de informacin, a travs de medios y canales de distribucin de productos y servicios para clientes y usuarios [7].
ISO 27001
Actualmente son muy comunes los ataques informticos, y los usuarios que se ven afectados por desconocer de qu manera pueden protegerse, incluso el Estado colombiano ha comenzado programas como Gobierno en lnea donde unos de los componentes importantes busca que las organizaciones estatales generen estrategias relacionadas con la seguridad de la Informacin. Otra iniciativa es la Ley de proteccin de Datos personales que se aplica al tratamiento de datos personales efectuado por entidades pblicas o privadas, dentro del pas o cuando el Responsable o Encargado no establecido en territorio nacional le sea aplicable la legislacin colombiana en virtud de normas y tratados internacionales.
ISO 27001
Casos para recordar el ataque hacia la plataforma tecnolgica de la Registradura del Estado Civil de Colombia, durante la realizacin de las pasadas elecciones presidenciales del mes de junio de 2011, y no muy lejano el de las pasadas elecciones en Venezuela en el mes de abril de 2013, donde ingresaron a la cuenta del entonces candidato Nicols Maduro. Casos de suplantacin de Identidad (Phishing)
ISO 27001
Componentes de un modelo de ISO 27001
Comprende el conjunto de actividades para controlar y dirigir la identificacin y administracin de los riesgos de la seguridad de la informacin para poder alcanzar los objetivos del negocio. En este punto se trabaja con los activos inventariados y clasificados anteriormente y para lograr el objetivo es necesario identificar las amenazas contra tales activos y las vulnerabilidades que se pueden aprovechar. La gestin de riesgos debe garantizar que el impacto de las amenazas que explotan las vulnerabilidades estn dentro de los lmites y costos aceptables
ESTRATEGIAS CAPACITACION.
Con la inmersin de formacin, las empresas pueden reducir la sensibilidad media de empleados a los ataques dirigidos a menos del 10%. No slo los empleados capacitados son mejores a la hora de evitar las trampas del phishing, adems pueden ser los ojos y los odos que sirvan para alertar a los miembros relevantes del equipo de seguridad de la organizacin de intentos de allanamiento. Tomado de: http://iso27000.es/
PARA FINALIZAR
BENEFICIOS RESUMEN
RESUMEN ESTRATEGIAS
Cuente con el apoyo de la Alta Direccin. Contrate con empresas expertas para dar inicio al proceso. Si ya cuenta con una gestin por procesos como ISO 9001:2008 ya hay bastante abonado para los procesos comunes. Sino el trabajo por procesos sirve para las dos normas. Rena a los lderes de procesos como talento Humano, Financiera, Proveedores y Jurdica. Capacitar al personal del rea de TI en las normas. Socialice y capacite a otros lderes de proceso
RESUMEN ESTRATEGIAS
Genere estrategias para la divulgacin a los usuarios finales, videos, radio, impresos, mensajes al correo, en la intranet. Para ISO 27001 permita que los asesores de la empresa consultora realicen el anlisis GAP, la gestin de activos, gestin de riesgos y gestin de continuidad y vulnerabilidad Empodere al personal de Administracin de redes y servidores para generar polticas para proteger los activos de los equipos. Capacitarse en Auditoras internas de cada norma para conocer el punto de vista del auditor y preparase para las auditoras internas y de certificacin. Realice auditoras internas.
GRACIAS