Implantación de la norma ISO 27001

Implantación de la norma ISO 20000

en Pymes Españolas

Financiado por:

1

El proyecto AvanzaSec, liderado por Audisec, nace para dar respuesta a las necesidades que las

PYMES Españolas tienen a día de hoy en:

• Seguridad de la Información: ISO 27001

• Gestión de Servicios TI: ISO 20000

Para ello, la mejor opción es la implantación y certificación bajo la norma ISO correspondiente a

través de las subvenciones concedidas por el Plan Avanza del Ministerio de Industria (MITYC).

A lo largo de esta presentación detallaremos los hitos más destacados del proyecto.

www.audisec.es

PRESENTACIÓN DEL PROYECTO

Audisec, Seguridad de la Información S.L. ha demostrado su saber hacer en lo que a

petición, gestión, ejecución y justificación de proyectos subvencionados, participando en:

EN 2009 AUDISEC CONSIGUIÓ CASI EL 50% DEL TOTAL DE PROYECTOS ISO 27001- ISO 20000

QUE CONCEDIO EL MINISTERIO A NIVEL NACIONAL

• Proyecto INTECO: 148 empresas certificadas

•Proyectos Avanza:

•2008: 48 empresas certificadas con el apoyo de Global SGSI (ISO 27001)

•2009: Más de 100 empresas certificadas o en proceso de implantación y

certificación con el apoyo de la Suite Global (ISO 27001 – ISO 20000)

•2010: El objetivo es superar el número de empresas de 2009.

• Proyectos INNOEMPRESA REGIONALES:

•Dos proyectos Innoempresa regionales gestionados y uno en trámite.

CASO DE EXITO

4

PLAN AVANZA 2010:

ESPECIFICACIONES

•ISO 27001: Mejorar la Seguridad de la Información

•ISO 20000: Mejorar la Gestión de Servicios TI

Como método de mejora EN SEGURIDAD se ha optado por la implantación y

certificación de un sistema de gestión de seguridad de la información (en adelante SGSI)

basado en el estándar internacional de seguridad de la información ISO/IEC 27001:2005.

Por otro lado, obtendremos la adecuación a la ley orgánica de protección de datos de

carácter personal (LOPD).

Como método de mejora EN GESTIÓN DE SERVICIOS TI se ha optado por la implantación

y certificación de un sistema de gestión de servicios TI (en adelante SGSTI) basado en el

estándar internacional de gestión de servicios TI ISO 20000-1

I. Objetivo del Proyecto: CERTIFICACIÓN ISO 27001- ISO 20000

Beneficios directos :

1. Mejora en la seguridad de la información, en la gestión de servicios, con un

sistema certificado por un tercero independiente (ENTIDAD CERTIFICADORA).

Beneficios indirectos :

1. Posicionamiento en el mercado.

2. Mejora de la imagen de la empresa.

3. Mejora de la competitividad de la empresa.

4. Depuración de procesos internos.

5. Empleados formados y concienciados en Seguridad.

6. Cumplimiento legal (LOPD).

7. Captación de clientes

I. Objetivo del Proyecto

En el proyecto hay CUATRO figuras fundamentales

II. Organización del Proyecto

PYME

Organismo intermedio

Consultora

CERTIFICADORA

En el proyecto hay cuatro figuras fundamentales

1. Organismo intermedio: solicita la subvención en nombre de la PYME para conseguir la

máxima intensidad en la subvención.

2. PYME: beneficiaria de una subvención del Plan Avanza 2. Tendrá que establecer un

grupo de trabajo para dar soporte a la consultora.

3. Consultora: asesorará a la PYME para cumplir con todo lo dispuesto en el estándar y

conseguir así la certificación en dicha norma. Hará labores de OFICINA TÉCNICA DEL

PROYECTO.

4. Entidad certificadora: es la encargada de acreditar mediante una auditoría que los

trabajos realizados por la PYME en colaboración con la consultora cumplen con todo

lo establecido en la norma correspondiente.

II. Organización del Proyecto

Oficina técnica del proyecto, tendrá dos labores principales:

1. Coordinación técnica del proyecto: asegurando la correcta ejecución de los trabajos

de consultoría conforme a unos requisitos de calidad y estandarización de procesos.

Se harán seguimientos para conocer el avance del proyecto y evitar desviaciones

que pusieran en riesgo el buen devenir del mismo.

2. Coordinación económica: se dará soporte a las PYMES para la tramitación de todos

los requisitos necesarios para la correcta justificación y obtención de la subvención.

II. Organización del Proyecto. Oficina técnica

902 056 203

avanza@audisec.es

III. Presupuestos 2010

LA PYME NO TIENE NINGÚN COMPROMISO REAL CON EL PROYECTO HASTA QUE SEPA LA

SUBVENCIÓN QUE LE HAN CONCEDIDO. EN ESE MOMENTO DECIDE CONTINUAR O NO

ADELANTE.

La subvención del Plan Avanza llega hasta un máximo de 13.000 euros (ISO 27001) y

20.000 euros (ISO 20000) , por lo que en función de la cantidad final concedida por el

ministerio el proyecto puede llegar a ser a coste cero.

Los conceptos subvencionables incluyen tanto el proceso de consultoría (por parte de

AudiSec) como el proceso de auditoría y posterior emisión del certificado, a cargo de una

entidad certificadora.

El ministerio entregará la subvención una vez concedida por adelantado y sin necesidad

de presentar garantías por la PYME..

EQUIPO DEL PROYECTO: GRUPO DE TRABAJO

Por parte de Audisec, doble perfil técnico-jurídico:

1 Consultor Técnico:

• Ingeniero Informático.

• CISA, CISM, LEAD AUDITOR

• Experto implantador ISO 27001, ISO 20000.

• Experiencia en proyectos de implantación ISO 27001, ISO 20000.

1 Consultor Jurídico:

• Abogado en ejercicio.

• CISA, CISM, LEAD AUDITOR

• Experto implantador ISO 27001, ISO 20000.

• Experiencia en proyectos de implantación ISO 27001, ISO 20000.

Por parte de la Pyme beneficiaria:

• Al menos 1 persona con perfil preferentemente técnico, que se encargue de ser el coordinador entre Audisec y el resto de la

empresa, además de ser el encargado de liderar la implantación de los diferentes hitos del proyecto.

• Resto de equipo designado a elección de la empresa.

SOLUCIONES DE ÉXITO EN LA IMPLANTACIÓN

El proyecto será desarrollado con la ayuda de la

SuiteGlobal:

•GLOBALSGSI: De apoyo a la implantación de la

Norma ISO 2700.

•GLOBAL20000: De apoyo a la implantación de

la Norma ISO 20000.

IV. Hitos y Fases del Proyecto ISO 27001

13

•Inicio del proyecto

•Análisis diferencial

•Formación

•Inventario activos

•Análisis de riesgos

•Gestión de riesgos

•Implementación de controles

•Gestión de riesgos

•Cuadro de mandos•Auditoría interna

•Plan acciones correctivas

•Mejora continua

•Revisión por la dirección

El cronograma anterior supone un escenario en el que la implantación se desarrolla

en 6 meses incluyendo la certificación del sistema.

IV. Gestión técnica. Consultoría

El proyecto de implantación ISO 20000 contempla los siguientes procesos:

Procesos de provisión de servicio

Gestión de capacidadGestión de continuidad

Gestión de nivel de servicioInformes del servicio

Gestión de la seguridad de la informaciónPresupuestos y contabilidad

Procesos de entrega

Gestión de capacidadGestión de continuidad

Procesos de resolución

Gestión de incidenciasGestión de problemas

Procesos de relación

Gestión de relaciones con el negocioGestión de suministradores

Procesos de control

Gestión de la configuraciónGestión de cambios

IV. Hitos y Fases del Proyecto ISO 20000

15

•Inicio del proyecto

•Alcance y catálogo de servicios.

•Análisis de riesgos

•Análisis de impacto en el negocio

•Gestión de niveles de servicio

•Relaciones con el negocio

•Relaciones con suministradores

•Gestión de incidentes y problemas.

•Gestión de cambios y entregas.

•Gestión de la configuración

•Gestión de la capacidad

•Gestión de la disponibilidad.

•Gestión de la continuidad.

•Gestión de la seguridad

•Gestión financiera

•Plan de gestión del servicio

•Informes del servicio.

•Plan de mejora del servicio

•Planificación estratégica

•Auditoría interna

•Plan acciones correctivas

•Mejora continua

•Revisión por la dirección

El cronograma anterior supone un escenario en el que la implantación se desarrolla

en 9 meses incluyendo la certificación del sistema.

IV. Gestión técnica. Certificación.

P5: Certificación

La auditoría de certificación se dividirá en dos partes:

• Fase I: documental.

• Fase II: in situ, en casa de la PYME, para comprobar el cumplimiento de todo lo

dispuesto en la documentación que ha sido revisada en fase I.

En caso de existir no conformidades se subsanarán, realizando el oportuno plan de

acciones correctivas (PAC).

Una vez realizado el PAC, obtendremos el certificado

V. Plazos del proyecto

Los proyectos se realizarán e implantarán de acuerdo con la PYME beneficiaria a lo

largo de 2010-2011:

• Las empresas que opten por la doble certificación comenzarán con ISO 27001 y

posteriormente ISO 20000.

• El plazo óptimo de implantación de los sistemas oscila entre seis meses a un año.

18

PLAN AVANZA 2010:

COMO ADHERIRSE AL

PROYECTO

VI. Adhesión al proyecto

Los pasos necesarios para adherirse al proyecto son:

FASE I (INICIAL): TOTALMENTE GRATUITA

• Completar solicitud de adhesión, se puede solicitar en nuestra web o directamente

a través de avanza@audisec.es

• Firmar autorización para solicitar subvención en nombre de la Pyme

• Solicitud formal ante el Ministerio antes del 7 de junio.

FASE II (CONCESIÓN PROVISIONAL): Julio a Diciembre de 2010

• Firma de contratos

• Firma de convenio entre Pymes participantes

• Envío de documentación al Ministerio (obligatorio estar al corriente de obligaciones

tributarias y frente a la seguridad social).

•Una vez concedida provisionalmente la subvención se constituirá una garantía para

seguir adelante con el proyecto, 1.500 euros, devolución integra una vez justificado.

(La constitución de una garantía por las PYMES es una garantía para ellas de que el proyecto llegará al final, puesto que las

empresas que sigan adelante estarán comprometidas. (EXISTEN PROYECTOS DE OTRAS ORGANIZACIONES SIN GARANTÍAS EN AÑOS

ANTERIORES QUE SE HAN CAÍDO Y AUDISEC NO QUIERE CORRER RIESGOS CON LAS EMPRESAS QUE PRESENTA.)

VI. Adhesión al proyecto

FASE III (CONCESIÓN DEFINITIVA): Octubre 2010-Febrero 2011.

• Ministerio verifica corrección documentación y concede definitivamente la

subvención

• Puede pedir documentación adicional o corrección de información

• Ejecución de la implantación 2010-2011

FASE IV (JUSTIFICACIÓN DE LA SUBVENCIÓN): A lo largo de 2011.

• La justificación se hace a través del Organismo Intermedio

• Es necesario justificar gastos de implantación, certificación y trabajo interno por

parte de las PYME beneficiarias.

• Puede ser necesario justificar en dos partes la subvención.

• Todo el proceso será asistido por Audisec.

(Todos los plazos expresados están basados en la convocatoria de 2009 no pudiendo garantizar que será así puesto que depende

del Ministerio.)

VI. Conclusiones

Un proyecto de su empresa, para su empresa