Sistema de Gestin Integral con PAS 99, ISO 9001, ISO 27001, ISO 20000, COBIT, BS 25999 / ISO

22301
October 2011

Mario Urea Cuate

CISA, CISM, CGEIT, CISSP, LA BS25999, LA ISO27001

Agenda
Introduccin Sistema de Gestin Integral Elementos comunes de los Sistemas de Gestin Auditora y Certificacin Conclusiones

Introduccin

2008

Introduccin

2011

Introduccin

Introduccin

Introduccin
Estndares originados por BSI (British Standards Institution): 1979 1992 1995 1996 BS 5750 BS 7750 BS 7799 BS 8800 ISO 9001 (Calidad) ISO 14001 (Medioambiente) ISO/IEC 27001 (Seguridad de la Informacin) OHSAS 18001 (Salud Ocupacional y Seguridad) ISO 10002 (Satisfaccin de Clientes) ISO/IEC 20000 (Servicios de TI) ISO/IEC 22301 (Continuidad del Negocio) ISO/IEC 27031 (Continuidad de las TIC) (Proteccin de Datos Personales)

2000
2002 2007 2008 2009

BS 8600
BS 15000 BS 25999 BS 25777 BS 10012

Introduccin
Riesgo
Reducir interrupciones a travs de una efectiva gestin de riesgo

Sustentabilidad
Crear valor a travs de prcticas sustentables

Desempeo
Crear ventaja competitiva a travs de la mejora en el desempeo

Motivadores

Desempeo
Metas del negocio

Cumplimiento

LFPDPPP, SOX, BASILEAII, PCI.

Gobierno corporativo

Balanced Scorecard

Val IT

ISO 31000

COSO

PAS 99

CMMI
Estndares y mejores prcticas

ISO 27005 ISO 9001 SGC ISO 20000 SGSTI ISO 27001 SGSI

SSE-CMM

BS 25999 / ISO 22301/ ISO 27031 SGCN

BS 10012 SGIP

Procesos y procedimientos

Procedimientos de desarrollo y mantenimiento

Procedimientos de calidad

ITIL

Principios de Seguridad (OECD)

DRII

Practicas de proteccin de datos

PMBOK / PRINCE2

Gobierno de TI

COBIT / ISO 38500

Sistema de Gestin Integral

Sistema de gestin que integra todos los sistemas y procesos de una organizacin en un nico marco de referencia, permitiendo a la organizacin trabajar como una unidad con objetivos unificados.

Sistema de Gestin Integral

Beneficios: Enfoque de negocio mejorado Enfoque holstico para gestionar riesgos Menor conflicto entre sistemas Reducir duplicacin y burocracia Auditoras mas eficientes y efectivas tanto internas como externas

Sistema de Gestin Integral

Quien puede implementarlo?
El Sistema de Gestin Integrado es relevante para cualquier organizacin, independientemente de su tamao o sector en el que opera, que busque integrar dos o ms de sus sistemas en uno solo con un conjunto holstico de documentacin, polticas, procedimientos y procesos.

Sistema de Gestin Integral

Basado en P-D-C-A

Sistema de Gestin Integral

La organizacin pregunta: Nosotros no tenemos procesos, aqu trabajamos por funciones Puedo implementar un Sistema de Gestin?

Sistema de Gestin Integral

La organizacin pregunta: Debo tener todo documentado en un mismo Manual de Sistema de Gestin Integral?

Sistema de Gestin Integral

Sistema de Gestin Integral El Manual del Sistema de Gestin NO es un requisito comn.

Manual del Sistema de Gestin Integral

Sistema de Gestin Integral

La organizacin pregunta: Es mandatorio tener un comit para cada Sistema de Gestin? Ejemplo: uno para 9000, otro para Seguridad, etc. ?

Sistema de Gestin Integral

La organizacin pregunta: Puedo tener una sola declaracin de aplicabilidad (SoA) para el Sistema de Gestin Integral?

Sistema de Gestin Integral La Declaracin de Aplicabilidad NO es un requisito comn.

Declaracin de Aplicabilidad (SoA)

Sistema de Gestin Integral

Sistema de Gestin Integral

Cul es el estndar que establece los requisitos del Sistema de Gestin Integral?

Elementos comunes de los SG

Les presento: PAS 99

Elementos comunes de los SG

ISO Guide 72:

Para quienes escriben estndares e incluye un marco de referencia de los elementos comunes de los Sistemas de Gestin.

Elementos comunes de los SG

Estructura de PAS 99:
1. 2. 3. 4. Alcance Referencias Normativas Trminos y definiciones Requerimientos comunes de Sistemas de Gestin 5. Anexo A Gua sobre antecedentes y uso de la publicacin

Elementos comunes de los SG

Principales categoras:
Poltica Planeacin Implementar y operar Evaluacin del desempeo Mejora Revisin de la gerencia

Elementos comunes de los SG

Elementos comunes de los SG

Elementos comunes de los SG

4.1 Requerimientos generales
Alcance del Sistema de Gestin Establecer, documentar, implementar, mantener y mejorar continuamente el Sistema de Gestin Identificar los procesos necesarios Determinar la secuencia e interaccin de estos procesos Determinar criterios y mtodos necesarios Asegurar la disponibilidad de recursos e informacin para soportar la operacin y monitoreo Monitorear, medir y analizar estos procesos

Elementos comunes de los SG

4.2 Poltica del Sistema de Gestin
Apropiada a las actividades, productos y servicios Incluye un compromiso de cumplimiento con todos los requerimientos legales relevantes Provee la base para establecer y revisar objetivos Es comunicada a todas las personas que trabajan en o en nombre de la organizacin Es revisada continuamente para verificar su adecuacin

Sistema de Gestin Integral

Puedo tener un solo documento de poltica para todos los Sistemas de Gestin?

Elementos comunes de los SG

4.3 Planeacin
Identificacin y evaluacin de aspectos, impactos y riesgos Identificacin de requerimientos legales y otros Planeacin de contingencias Objetivos Estructura organizacional, roles, responsabilidades y autoridades Identificar, documentar y comunicar roles, responsabilidades y autoridades de los involucrados

Elementos comunes de los SG

4.4 Implementacin y operacin
Control operacional Gestin de recursos (competencias) Requerimientos de documentacin Comunicacin

Elementos comunes de los SG

4.4.3 Requerimientos de documentacin
Alcance Declaracin de poltica y objetivos Descripcin de los principales elementos del sistema Procedimientos documentados y registros mandatorios Documentos que la organizacin considere como necesarios

Elementos comunes de los SG

4.4.3.3 Control de documentos
Aprobar previo a su uso Revisar, actualizar y re-aprobar documentos Asegurar que los cambios y versin actual estn identificados Asegurar que las versiones relevantes de los documentos se encuentran en los puntos de uso Asegurar que los documentos se mantienen legibles e identificables Asegurar que los documentos de origen externo estn identificados y su distribucin controlada Prevenir el uso no intencionado de documentos obsoletos

Sistema de Gestin Integral

Documentos y registros Son lo mismo, son cosas diferentes, cuales son las diferencias?

Elementos comunes de los SG

4.5 Evaluacin del desempeo
Monitoreo y medicin Evaluacin de cumplimiento Auditora interna Gestin de no conformidades

Elementos comunes de los SG

4.6 Mejora
General Acciones correctivas, preventivas y de mejora

Elementos comunes de los SG

4.6.2 Acciones correctivas, preventivas y de mejora
A) Revisar no conformidades existentes y potenciales B) Determinar las causas de no conformidades C) Evaluar la necesidad de accin para que no vuelvan a ocurrir D) Determinar e implementar la accin necesaria E) Registrar los resultados de la accin tomada F) Revisar la efectividad de las acciones tomadas

Elementos comunes de los SG

4.7 Revisin de la Gerencia
General Entradas Salidas

Elementos comunes de los SG

4.7.2 Entradas
A) B) C) D) E) Resultados de auditoras Retroalimentacin de partes interesadas Estatus de acciones correctivas y preventivas Acciones de seguimiento para revisiones previas Circunstancias cambiantes, incluyendo aspectos legales y otros requerimientos, relacionados con la organizacin y los riesgos que enfrenta F) Recomendaciones de mejora G) Datos e informacin sobre el desempeo H) Resultados de la evaluacin de cumplimiento

Elementos comunes de los SG

4.7.3 Salidas
A) Mejoras en la efectividad del sistema de gestin B) Mejoras relacionadas con los requerimientos de las partes interesadas C) Recursos necesarios para lograr la mejora al Sistema de Gestin y sus procesos

Elementos comunes de los SG

Procedimientos mandatorios:
Control de documentos y registros Auditora Acciones Correctivas Acciones Preventivas

Elementos comunes de los SG

Pasos sugeridos:
1 Combinado
2 Integrable 3 Integracin 4 Integrado
Sistemas son utilizados por separado Se han identificado los elementos comunes Se han identificado los elementos comunes y estn siendo integrados
Un sistema que integra todos los elementos comnes

(Parntesis) y que hay de COBIT?

Sistema de Gestin Integral

Qu estndar define las guas para auditora de Sistemas de gestin?

Auditora y Certificacin

ISO 19011
Guas para la auditora de Sistemas de Gestin de Calidad y/o ambiental

Auditora y Certificacin
Inicio de la Auditora
Revisin de Documentos

Preparar Actividades en Sitio

Ejecutar Actividades en Sitio Preparar, Aprobar y Distribuir el Informe de la Auditora Completar la Auditora Conducir el Seguimiento de la Auditora

Competencia del auditor

Habilidades y atributos personales. Conocimiento y experiencia en la aplicacin de principios de:
Auditora + Sistemas de Gestin + Calidad + Seguridad de la Informacin + Gestin de TI + Continuidad del Negocio +

Auditora y Certificacin

Cumplimiento vs Conformidad

Auditora y Certificacin
La organizacin pregunta: Puedo solicitar la auditora de certificacin para diferentes sistemas en forma simultnea?

Conclusiones

Motivadores

Desempeo
Metas del negocio

Cumplimiento

LFPDPPP, SOX, BASILEAII, PCI.

Gobierno corporativo

Balanced Scorecard

Val IT

ISO 31000

COSO

PAS 99

CMMI
Estndares y mejores prcticas

ISO 27005 ISO 9001 SGC ISO 20000 SGSTI ISO 27001 SGSI

SSE-CMM

BS 25999 / ISO 22301/ ISO 27031 SGCN

BS 10012 SGIP

Procesos y procedimientos

Procedimientos de desarrollo y mantenimiento

Procedimientos de calidad

ITIL

Principios de Seguridad (OECD)

DRII

Practicas de proteccin de datos

PMBOK / PRINCE2

Gobierno de TI

COBIT / ISO 38500

Preguntas y respuestas Gracias!

Mario Urea Cuate
CISA, CISM, CGEIT, CISSP ISO27001LA, BS25999LA