NORMA ISO 20000

¿QUÉ ES ISO 20000?
La norma ISO 20000 se concentra en la gestión de problemas de tecnología de la información mediante el uso de un planteamiento de servicio de asistencia - los problemas se clasifican, lo que ayuda a identificar problemas continuados o interrelaciones. La norma considera también la capacidad del sistema, los niveles de gestión necesarios cuando cambia el sistema, la asignación de presupuestos financieros y el control y distribución del software.
La norma ISO 20000 se denominó anteriormente BS 15000 y está alineada con el planteamiento del proceso definido por la IT Infrastructure Library (ITIL - Biblioteca de infraestructuras de tecnología de la información) de The Office of Government Commerce (OGC).
La norma ISO 20000 consta de dos partes:ISO 20000-1 es la especificación formal y define los requisitos que tiene que cumplir una organización para proporcionar servicios gestionados de una calidad aceptable a los clientes. Su alcance incluye:
requisitos para un sistema de gestión
planificación e implantación de la gestión del servicio
planificación e implantación de servicios nuevos o cambiados
proceso de prestación de servicios
procesos de relaciones
procesos de resolución
procesos de control y liberación
ISO 20000-2 por otra parte, es el código de procedimiento y describe los mejores procedimientos para procesos de gestión de servicios dentro del ámbito de la norma BS 15000-1. El Código de procedimiento resulta especialmente útil para organizaciones que se preparan para someterse a una auditoría según la norma ISO 20000-1 o para planificar mejoras del servicio.
Las ventajas de la norma ISO 20000

La reputación de la ISO y el reconocimiento internacional del IT Service Management System (Sistema de gestión de servicios de tecnología de la información) que conlleva la norma ISO 20000 es un verdadero refuerzo para la reputación de cualquier empresa. Reduce el riesgo ofreciendo apoyo fiable de profesionales de la tecnología de la información (internos o subcontratados), cuando y donde más se necesita. Esto ayuda a poner cualquier situación de tecnología de la información bajo control inmediato y disminuye sus daños potenciales, mejorando la productividad de los empleados y la fiabilidad del sistema de tecnología de la información. Y lo que es más, la certificación aporta motivación a la organización y demuestra la fiabilidad y calidad de los servicios de tecnología de la información para empleados, partes interesadas y clientes.
La certificación de su Sistema de gestión de servicios de tecnología de información a través de SGS ayudará a su organización a desarrollar y mejorar su rendimiento.
Su certificado IT Service Management Sistema según la norma ISO 20000 de SGS le permitirá demostrar altos niveles de calidad y fiabilidad de los servicios de tecnología de información, cuando presente ofertas para contratos internacionales o cuando realice ampliaciones locales para aumentar su volumen de negocio.
La evaluación periódica realizada por SGS le ayudará a utilizar, supervisar y mejorar continuamente su sistema de gestión de los servicios de tecnología de la información y sus procesos. Esto mejorará la fiabilidad de sus operaciones internas para satisfacer las necesidades de los clientes y también para aumentar su rendimiento global. Lo más probable es que también consiga una mejora importante en motivación, compromiso y comprensión de su responsabilidad por parte del personal.
La norma ISO 20000 se puede vincular también con la norma ISO 27000 (norma internacional para seguridad de la información). Integrando las auditorías de estos sistemas de gestión podrá ahorrar tiempo y dinero.
Los principios básicos de ITIL se han incorporado en primer lugar en BS15000 y ahora ISO20000.
Gracias a ello, las organizaciones pueden medir la efectividad de sus servicios de TI con un estándar
Internacional específicamente diseñado para cada función de los servicios TI. Un gran número de
Organizaciones están ahora adoptando ISO 20000 como un requisito clave para conseguir o al menos
Medir la eficiencia de su Gestión de Servicio en TI

NORMA ISO 27000
ISO 27000 es una familia de estándares internacionales, que propone requerimientos de sistemas de gestión de seguridad de la información, gestión de riesgo, métricas y medidas, guías de implantación, vocabulario y mejora continua.
¿En qué consiste la Familia ISO 27000?
La serie de normas ISO/IEC 27000 son estándares de seguridad publicados por la Organización Internacional para la Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC).
La serie contiene las mejores prácticas recomendadas en Seguridad de la información para desarrollar, implementar y mantener Especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI). La mayoría de estas normas se encuentran en preparación e incluyen:
· ISO/IEC 27000 - es un vocabulario estándar para el SGSI. Se encuentra en desarrollo actualmente.
· ISO/IEC 27001 - es la certificación que deben obtener las organizaciones. Norma que especifica los requisitos para la implantación del SGSI. Es la norma más importante de la familia. Adopta un enfoque de gestión de riesgos y promueve la mejora continua de los procesos. Fue publicada como estándar internacional en octubre 2005.
· ISO/IEC 27002 - Information technology - Security techniques - Code of practice for information security management. Previamente BS 7799 Parte 1 y la norma ISO/IEC 17799. Es código de buenas prácticas para la gestión de seguridad de la información.
Fue publicada en julio de 2005 como ISO 17799:2005 y recibió su nombre oficial ISO/IEC 27002:2005 el 01 de julio de 2007.
· ISO/IEC 27003 - son directrices para la implementación de un SGSI. Es el soporte de la norma ISO/IEC 27001. Se encuentra en preparación y probablemente sea publicada en 2008.
· ISO/IEC 27004 - son métricas para la gestión de seguridad de la información. Es la que proporciona recomendaciones de quién, cuándo y cómo realizar mediciones de seguridad de la información. Se encuentra en preparación y probablemente sea publicada en 2008.
· ISO/IEC 27005 - trata la gestión de riesgos en seguridad de la información. Es la que proporciona recomendaciones y lineamientos de métodos y técnicas de evaluación de riesgos de Seguridad en la Información, en soporte del proceso de gestión de riesgos de la norma ISO/IEC 27001. Es la más relacionada a la actual British Standard BS 7799 parte 3. Publicada en Junio de 2008.
· ISO/IEC 27006 - Requisitos para la acreditación de las organizaciones que proporcionan la certificación de los sistemas de gestión de la seguridad de la información. Esta norma especifica requisitos específicos para la certificación de SGSI y es usada en conjunto con la norma 17021-1, la norma genérica de acreditación. Fue publicada en febrero de 2007.
· ISO/IEC 27007 - es una guía para auditar al SGSI. Se encuentra en preparación.
· ISO/IEC 27799 - es una guía para implementar ISO/IEC 27002 en la industria de la salud. Se encuentra en una etapa de preparación.
Seguridad Informática:
Se centra en proteger las infraestructuras tecnológicas y de comunicación que soportan la operación de una organización (se centra básicamente en hardware y software), y que estas sean utilizadas de la manera indicada por la Organización.
Su análisis de riesgos se centra en vulnerabilidades del hardware o software, y llevar el nivel de riesgo a nivel aceptable por la organización.
Seguridad de la Información:
La seguridad de la información tiene como propósito proteger la información de una Organización, independientemente del lugar en que se localice: impresos en papel, en los discos duros de las computadoras 0 incluso en la memoria de las personas que la conocen.
La Seguridad de la Información tiene tres principios fundamentales: Confidencialidad, Integridad y Disponibilidad de la información.
Su radio de acción cubre Análisis de Riesgos, Seguridad del Personal, Seguridad física y del entorno, Gestión de comunicaciones, Desarrollo y Mantenimiento de Sistemas, Control de Accesos, Gestión de Incidentes, y Continuidad de Negocio entre otros (de acuerdo a la ISO 27000)
Busca mantener el riesgo en la gestión de la información por debajo del nivel asumible por la propia organización
· Normas y Estándares
· A semejanza de otras familias de normas ISO, la 27000 está
· formada por:
· _ ISO 27000: Contendrá términos y definiciones que se
· emplean en toda la serie 27000. La aplicación de
· cualquier estándar necesita de un vocabulario claramente
· definido.
· _ ISO 27001. Es la norma principal de la serie y contiene los
· requisitos del Sistema de Gestión de Seguridad de la
· Información. En su Anexo A, enumera en forma de
· resumen los objetivos de control y controles que desarrolla
· la ISO 27002:2005 para que sean seleccionados por las
· organizaciones en el desarrollo de sus SGSI.
· _ ISO 27002: Desde el 1 de Julio de 2007. Es una guía de
· buenas prácticas que describe los objetivos de control y
· controles recomendables en cuanto a Seguridad de la
· Información. No es certificable.
· _ ISO 27003: Consistirá en una guía de implementación de
· SGSI e información acerca del uso del modelo PDCA y de
· los requerimientos de sus diferentes fases.
· _ ISO 27004: Especificará las métricas y las técnicas de
· medida aplicables para determinar la eficacia de un SGSI y
· de los controles relacionados.
· _ ISO 27005: Consistirá en una guía de técnicas para la gestión
· del riesgo de la Seguridad de la Información y servirá, por
· tanto, de apoyo a la ISO 27001 y a la implantación de un SGSI.
· _ ISO 27006: Especifica los requisitos para la acreditación de
· entidades de auditoría y certificación de Sistemas de Gestión
· de Seguridad de la Información.
· _ ISO 27007: Consistirá en una guía de auditoría de un SGSI.
· _ ISO 27011: Consistirá en una guía de gestión de seguridad
· de la información específica para telecomunicaciones.
· _ ISO 27031: Consistirá en una guía de continuidad de
· negocio en cuanto a tecnologías de la información y
· comunicaciones.
· _ ISO 27032: Consistirá en una guía relativa a la ciberseguridad.
· _ ISO 27033: Es una norma consistente en 7 partes: gestión
· de seguridad de redes, arquitectura de seguridad de redes,
· escenarios de redes de referencia, aseguramiento de las
· comunicaciones entre redes mediante gateways, acceso
· remoto, aseguramiento de comunicaciones en redes mediante
· VPNs y diseño e implementación de seguridad en redes.
· _ ISO 27034: Consistirá en una guía de seguridad en aplicaciones.
· _ ISO 27799: Es un estándar de gestión de seguridad de la
· información en el sector.


NORMA ISO 38500

La norma ISO I/EC 38500-2008 se publico en junio del 2008 en base a la norma australiana A58015:105 es la primera de una serie sobre el gobierno de TI conocido en el pasado como ISO-I/EC 29382 (año 2007) esta comenzó a regir a partir de abril del 2008.

OBJETIVOS NORMA ISO 38500
Su objetivo es proporcionar un marco de principios para que la dirección de las organizaciones las utilicen al evaluar, dirigir y monitorear el uso de la tecnología de la información (TI`S).

VA DIRIGIDA:

*gerente generales, miembro de la corte dentro de la organizaciones, especialistas internos y externos de negocios (como abogados y contadores).organismos y asociaciones y especialista proveedores de servicios de TI, auditores consultores de ti (tecnología informativa)

APLICACIONES LA NORMA

*ISO/ice 385000es aplicable a entidades de todos los tamaños, incluidos las empresas púbicas y privadas, organizaciones gubernamentales con o sin ánimo de lucro *ISO /ice 38500 viene a complementar, no sustituir a otra normas 54 estándares basadas buena gestión de los activos y soporte la información (iso27001, cobit, itil, etc)

BENEFICIOS:

Dentro de los beneficios de un buen gobierno de TI estaría la conformidad de la organización con: --los estándares de seguridad, legislación de privacidad. --legislación de seguridad y salud laboral --innovación en servicios, mercados y negocios más por menos.


SEIS PRINCIPIOS:

--RESPONSABILIDAD para TI
--ESTRATEGIA: planear TI para transporte de la organización.
--ADQUISION: de TI/requerimiento de la organización.
--RENDIMIENTO: como lo requiere el negocio.
--CONFORMIDAD: normas, reglas y políticas
--CONDUCTA: humana básica definir responsabilidad.