ESTRATEGIAS PARA LA

IMPLEMENTACION DE ISO 20000 E

ISO 27001 EN UNA UNIVERSIDAD
PBLICA COLOMBIANA.
Diana Rocio Plata Arango
Diana.plata@uptc.edu.co
Por qu es Importante??
La Gestin de Servicios de Tecnologa de Informacin se ha
convertido en un requisito, para las Organizaciones y en las
Universidades no hay excepcin, cada vez es ms comn
que se requiera calidad en la prestacin de los servicios, el
reto para los Departamentos de Tecnologa es cada da
mayor, dados los diferentes estndares, para la adopcin de
buenas prcticas que existen en el mercado, no se conoce
an una metodologa que se pueda seguir para lograr con
xito la implementacin de estndares. Sin embargo
persiste la exigencia de qu pasos se deberan seguir para
garantizar que los servicios de tecnologa en la
Universidades estn garantizando el servicio, la seguridad y
demostrando la mejora continua?
Caractersticas UPTC
Universidad Pedaggica Y Tecnolgica
de Colombia
UPTC - cifras
Estudiantes : 27000
Docentes: 1600
Funcionarios: 1100
Sedes en Tunja, Duitama, Sogamoso,
Chiquinquir.
Bogot, Paipa
25 CREADS en el pas.
SEDE INTERNET DATOS COMPUTADORES CENTROS DE CABLEADO
Tunja 120 Mbps 40 Mbps 1900 23
Duitama 50 Mbps 6 Mbps 250 6
Sogamoso 50 Mbps 6 Mbps 250 7
Chiquinquira 25 Mbps 4 Mbps 100 3
Grupo Organizacin y Sistemas.
Tiene definidas 4 reas de trabajo:
Desarrollo y administracin de los sistemas de Informacin,
Redes y Telecomunicaciones
Soporte a Usuarios en Hardware y Software.
Administracin de aulas de Informtica para prstamo a Docentes y estudiantes.
ESTRATEGIAS
Contar con el apoyo de la Alta Direccin.
2010: inclusin del proyecto Adopcin de Buenas
Prcticas en el rea de TI bajo los estndares ISO
20000 e ISO 27000. Meta certificados a 2014.
Buscar Asesora con expertos. Empresas
Consultoras.
CAPACITACIN - MOTIVACIN.
Trabajo por procesos.
Universidad Certificada con las normas ISO 9001 y
NTCGP:1000
Proceso Gestin de Recursos Informticos
El objetivo del proceso es: Gestionar La Infraestructura
Informtica Y De Telecomunicaciones, Que Permita La
Prestacin De Servicios Para La Satisfaccin De Necesidades
De Los Clientes
Contiene 4 procedimientos.
1. Procedimiento para la Incorporacin de los Sistemas de
Informacin.
2. Soporte y Administracin de Recursos Informticos.
3. Seguridad de la Informacin
4. Administracin de Aulas de Informtica.
Proceso Gestin de Recursos
Informticos.
ESTRATEGIAS
Proponer un modelo
ESTRATEGIAS
IMPLEMENTACIN DE PROCESOS COMUNES

1. Proceso Control de Documentos, se tiene ya plenamente establecido, en

el cual se protegen y controlan los documentos, adems se observa que
se tienen previsto las actividades para elaboracin, actualizacin y
control de versiones de los documentos que hacen parte de los sistemas
de Gestin.
2. Proceso Control de Registros, el proceso existente garantiza que se
establecen y se mantienen los registros para establecer la evidencia y la
conformidad con la operacin y los requisitos de los dos estndares.
3. Proceso Auditoras Internas. Las dos normas lo requieren y este proceso
debe contar con los criterios, el alcance, la frecuencia y los mtodos de
auditoria adems los criterios de seleccin de los auditores.
4. Proceso de Revisin por la Direccin. Se establece la frecuencia, y las
entradas para el proceso de la revisin tal como est requerido por los
dos estndares.
PROCESOS COMUNES ENTRE LAS NORMAS

Proceso Gestin de Incidencias requerido por las

dos normas.
Proceso Gestin de activos en ISO 27001 se
relaciona con Gestin de la Configuracin en ISO
20000.
Proceso Seguridad de la Informacin, requerido
por ISO 20000 se cumple con las polticas
adoptadas a partir de ISO 27001.
ESTRATEGIAS
La norma ISO 20000, se presenta como una
alternativa, para mejorar el procesos desde
ISO 9001 y que permitan garantizar la
prestacin satisfactoria de los servicios de TI y
la gestin que se realice sobre estos, para
lograr la satisfaccin de los Usuarios.
ESTRATEGIAS ISO 20000
ITSM:ITService Management es la disciplina que se
enfoca a la gestin del conjunto personas, procesos
ytecnologa que cooperan para asegurar la calidad
de los servicios TI, con arreglo a unos niveles
deservicio acordados previamente con el cliente.
Concepto ITSM
Procesos de ISO 20000
ESTRATEGIAS ISO 20000
Apoyarse en una Herramienta de Software.
Actualmente las empresas dedicadas a ofrecer servicios de TI, son
las mas interesadas en certificar sus servicios bajo este estndar. De
tal forma que se han desarrollado diferentes herramientas de
Software que ayudan a cumplir los procesos de ITIL que son la base
de ISO 20000. Se busca implementar de manera ms rpida
algunos de los procesos requeridos por la norma: Entra las
disponibles se encuentran:
SAP Solution Manager.
BMSC Software ITSM V 8.1
PROACTIVA NET v8
EASY VISTA 2012
HELPEOPLE
ARANDA SOFTWARE
ESTRATEGIAS ISO 20000
La Universidad UPTC seleccion PROACTIVA NET, cumple 10
procesos, es muy fcil de manejar, se encuentra en espaol y ofrece
una interfaz muy amigable al usuario final, con la seleccin de esta
herramienta se contaba con el avance en los siguientes procesos:
Gestin de la Configuracin y gestin de activos, ofrece diferentes
opciones para el levantamiento de informacin de los diferentes
elementos de Configuracin que hacen parte de la Infraestructura
dela Universidad, es decir equipos de cmputo, porttiles,
servidores, impresoras, switch, Telfonos IP, Software. A partir de
esto se puede crear la CMDB, junto con el catlogo de servicios que
ofrece el rea de TI..
Gestin de Incidentes, Gestin de problemas. Ofrece toda la
infraestructura para el reporte de incidentes y la debida atencin
por parte de los tcnicos de primer y segundo nivel, adems el
escalamiento en caso de que se conviertan en problema se puede
realizar automticamente y all dejar definidos los diferentes
reportes de cada caso.
ESTRATEGIAS ISO 20000
Gestin de cambios y Gestin de entregas. Se
realizan las solicitudes y se generan los planes
requeridos para nuevas implementaciones y la
debida implementacin de las mismas.
Gestin del nivel del servicio y presentacin de
Informes. La herramienta genera todos los
reportes al nivel de detalle que se desee, adems
all mismo se crean los acuerdos de niveles de
servicio, y se puede realizar el seguimiento del
cumplimiento que se le da a los mismos.
ESTRATEGIAS ISO 20000
Apoyo con la empresa Consultora.
Aprovechar el conocimiento de la empresa consultora
para crear las polticas del Sistema de Gestin de
Servicios de TI SGSTI, y un primer borrador de la
documentacin requerida como planes de la gestin
del servicio, esto es crear el plan de gestin del Servicio
que se entiende como un Plan Estratgico de
tecnologa Informtica que debe ir alineado con los
objetivos de la universidad y el plan de desarrollo para
garantizar asignacin de fondos y presupuestos,
funciones y responsabilidades y riesgos entre otros.
ESTRATEGIAS ISO 20000
Apoyo con la empresa Consultora
Se debe identificar la relacin con los otros procesos como Talento
Humano, Jurdica y manejo de proveedores, para implementar los
roles requeridos por la norma, la aplicacin de acuerdos de nivel de
servicio en el manejo de contratos, entre otras caractersticas.
Mejorar el proceso actual existente para la gestin financiera, de tal
forma que incorpore el presupuesto y contabilidad de los servicios
de Tecnologa de la Informacin.
El procedimiento de Seguridad de la Informacin, se vincula con lo
desarrollado en ISO 27001.
Mejorar el proceso existente para el manejo de los proveedores con
el fin de que tenga en cuenta los requisitos de la norma, basada en
el entendimiento del cliente y su negocio, para los proveedores
internos y los proveedores externos.
Las vulnerabilidades cada vez son mas frecuentes.
La utilizacin de modelos, normas y/o estndares, se ha
convertido en la herramienta ms eficiente para evitar
incidentes de seguridad, en especial aquellos que
contemplan no solo el tema tecnolgico, sino, que abarcan
toda la Organizacin.
Un ejemplo se puede observar en la circular 052 de 2007,
de la Superintendencia Financiera de Colombia, en la cual
se imparten instrucciones relacionadas con los
requerimientos mnimos de seguridad y calidad en el
manejo de informacin, a travs de medios y canales de
distribucin de productos y servicios para clientes y
usuarios [7].
ISO 27001.
ISO 27001
Actualmente son muy comunes los ataques informticos, y
los usuarios que se ven afectados por desconocer de qu
manera pueden protegerse, incluso el Estado colombiano
ha comenzado programas como Gobierno en lnea donde
unos de los componentes importantes busca que las
organizaciones estatales generen estrategias relacionadas
con la seguridad de la Informacin.
Otra iniciativa es la Ley de proteccin de Datos personales
que se aplica al tratamiento de datos personales efectuado
por entidades pblicas o privadas, dentro del pas o cuando
el Responsable o Encargado no establecido en territorio
nacional le sea aplicable la legislacin colombiana en virtud
de normas y tratados internacionales.
ISO 27001
Casos para recordar el ataque hacia la plataforma
tecnolgica de la Registradura del Estado Civil de
Colombia, durante la realizacin de las pasadas
elecciones presidenciales del mes de junio de
2011, y no muy lejano el de las pasadas
elecciones en Venezuela en el mes de abril de
2013, donde ingresaron a la cuenta del entonces
candidato Nicols Maduro.
Casos de suplantacin de Identidad (Phishing)
ISO 27001
Componentes de un modelo de ISO 27001
APOYO CON LA EMPRESA CONSULTORA DOCUMENTAR
REQUERIMIENTOS DE LA NORMA.
Gestin de activos
La gestin de activos busca, entre otros, identificar todos
aquellos activos que componen un proceso o la cadena de
valor de la Organizacin, indicando la propiedad de los
mismos. As mismo se deben establecer las directrices de
clasificacin de los activos identificados, adems de los
procedimientos para etiquetar y manejar la informacin.
Todo esto se puede resumir en el inventario y clasificacin
de activos de informacin.
Estrategias ISO 27001
Gestin de riesgos

Comprende el conjunto de actividades para controlar y

dirigir la identificacin y administracin de los riesgos
de la seguridad de la informacin para poder alcanzar
los objetivos del negocio. En este punto se trabaja con
los activos inventariados y clasificados anteriormente y
para lograr el objetivo es necesario identificar las
amenazas contra tales activos y las vulnerabilidades
que se pueden aprovechar. La gestin de riesgos debe
garantizar que el impacto de las amenazas que
explotan las vulnerabilidades estn dentro de los
lmites y costos aceptables
Estrategias ISO 27001
Gestin de la continuidad
Consiste en desarrollar y administrar una capacidad para
responder ante incidentes destructivos y perjudiciales,
relacionados con la seguridad de la informacin y la forma
de recuperarse de los mismos. En otras palabras,
permitirle a la Organizacin continuar con sus operaciones
en caso de una interrupcin y restaurar los servicios tan
rpida y eficazmente como sea posible.

En este punto es importante la realizacin de tres etapas:

Anlisis de impacto al negocio, BIA
Anlisis de riesgos por prdida de disponibilidad
Definicin de la estrategia(s) de recuperacin
Estrategias ISO 27001
Gestin de la cultura en seguridad de la
informacin
Premisa: no existen parches para lidiar con el
desconocimiento de las personas. Para llevar a
buen trmino la implantacin de un SGSI es
importante tener en cuenta las personas. Todo el
personal de la Organizacin debe estar
involucrado y debe hacer parte activa del proceso
y parte de la exigencia de la norma de contar con
el apoyo manifiesto de la Alta Gerencia.
Estrategias ISO 27001
Gestin del cumplimiento

Hace referencia al cumplimiento de todos aquellos

requisitos legales, polticas y normas de seguridad de la
informacin y algunas consideraciones de auditora
exigidas por la norma. Se deben tener en cuenta leyes
(Habeas data y Delitos Informticos, por ejemplo),
normatividad del sector (circulas 052 y 038 de la SFC),
normatividad interna (resoluciones), polticas (de
seguridad de la informacin) y en general todos
aquellos requisitos legales y de cumplimiento que la
Organizacin debe cumplir.
Estrategias ISO 27001
Gestin de incidentes

El ltimo y no menos importante proceso, hace

referencia a la gestin de incidentes. Es muy
importante resaltar la definicin de incidente
dentro de la norma ISO 27001: evento o serie de
eventos de seguridad de la informacin no
deseados o inesperados, que tienen una
probabilidad significativa de comprometer las
operaciones del negocio y amenazar la seguridad
de la informacin
Estrategias ISO 27001
ESTRATEGIAS CAPACITACION.
Con la inmersin de formacin, las empresas pueden
reducir la sensibilidad media de empleados a los
ataques dirigidos a menos del 10%. No slo los
empleados capacitados son mejores a la hora de evitar
las trampas del phishing, adems pueden ser los ojos y
los odos que sirvan para alertar a los miembros
relevantes del equipo de seguridad de la organizacin
de intentos de allanamiento.
Tomado de: http://iso27000.es/
PARA FINALIZAR
BENEFICIOS
RESUMEN
BENEFICIOS ISO 20000
La estrategia de Tecnologa alineada con el Plan de
Desarrollo de la Universidad.
Costos reducidos y controlados, esto se logra a travs de la
aplicacin de los procedimientos de Gestin financiera para
el rea de TI.
Tiempo ms rpido en la implementacin de los cambios,
debido a que se encuentran controlados y descritos en los
procedimientos, no solo las actividades a realizar en un
cambio sino el responsable de llevarlo a cabo.
Fiabilidad y Disponibilidad del servicio , lo que resulta en la
satisfaccin del cliente, esto llevado a cabo a travs de los
acuerdos de nivel de servicio y la correcta gestin de
incidencias o de problemas segn sea el caso.
BENEFICIOS ISO 20000
Integracin con los proveedores y socios, pues
estarn ms enfocados en los servicios
requeridos por la Organizacin y el correcto
cumplimiento de lo contratado.
Reduccin y Control de los riesgos, aunque en
este punto se lograrn mejores resultados
combinando con ISO 27000.
Calidad de los servicios de Tecnologa de la
Informacin y Fiabilidad de los Sistemas de
Tecnologa.
Motivacin y compromiso en el personal
Beneficios ISO 27001
Establecimiento de una metodologa de gestin de la
seguridad clara y estructurada.
Reduccin del riesgo de prdida, robo o corrupcin de
informacin.
Los clientes tienen acceso a la informacin a travs
medidas de seguridad.
Los riesgos y sus controles son continuamente revisados.
Confianza de clientes y socios estratgicos por la garanta
de calidad y confidencialidad comercial.
Las auditoras externas ayudan cclicamente a identificar
las debilidades del sistema y las reas a mejorar.
Tomado de: http://iso27000.es/
Beneficios ISO 27001
Continuidad de las operaciones necesarias de negocio
tras incidentes de gravedad.
Conformidad con la legislacin vigente sobre informacin
personal, propiedad intelectual y otras.
Imagen de empresa a nivel internacional y elemento
diferenciador de la competencia.
Confianza y reglas claras para las personas de la
organizacin.
Reduccin de costes y mejora de los procesos y servicio.
Aumento de la motivacin y satisfaccin del personal.
Aumento de la seguridad en base a la gestin de procesos
en vez de en la compra sistemtica de productos y
tecnologas.
RESUMEN ESTRATEGIAS
Cuente con el apoyo de la Alta Direccin.
Contrate con empresas expertas para dar inicio al
proceso.
Si ya cuenta con una gestin por procesos como ISO
9001:2008 ya hay bastante abonado para los procesos
comunes. Sino el trabajo por procesos sirve para las
dos normas.
Rena a los lderes de procesos como talento Humano,
Financiera, Proveedores y Jurdica.
Capacitar al personal del rea de TI en las normas.
Socialice y capacite a otros lderes de proceso
RESUMEN ESTRATEGIAS
Genere estrategias para la divulgacin a los usuarios
finales, videos, radio, impresos, mensajes al correo, en la
intranet.
Para ISO 27001 permita que los asesores de la empresa
consultora realicen el anlisis GAP, la gestin de activos,
gestin de riesgos y gestin de continuidad y vulnerabilidad
Empodere al personal de Administracin de redes y
servidores para generar polticas para proteger los activos
de los equipos.
Capacitarse en Auditoras internas de cada norma para
conocer el punto de vista del auditor y preparase para las
auditoras internas y de certificacin.
Realice auditoras internas.
GRACIAS