Auditorías de ISO20000/ISO27000 ¿cómo actuar ante ellas?

Con la colaboración de ...Alhambra Eidos:

C/Albasanz 16, Madrid (España)

+34917872300

www.formaciontic.com

formaciontic@a-e.es

@formacionTIC

Guillermo Hernández

Experto en gestión de servicios de TI y desarrollo.

Ha trabajado y conoce la gestión y organización

de distintas instituciones y empresas, y tiene

conocimiento de distintas herramientas de gestión

como Service Desk o Remedy. Formador desde

hace 5 años, su principal objetivo es el énfasis en

la utilidad real de los pequeños detalles de la

gestión de servicios.

Las normas ISO 27000/20000

• 270000: focaliza en la seguridad de la información, gestión de riesgos

y una serie de controles

• 20000: focalize en diseño, transición, provisión y mejora de los

servicios.

El enfoque

El enfoque

El enfoque

Esfuerzo continuado

En caso de que se tome la decisión de la certificación de una norma

ISO:

• Comprobar que estamos preparados para el esfuerzo

• Acordar la implicación de todos los afectados por el alcance

Riesgos

• Exceso de complicación

• Todo a última hora

• Sin acuerdo en la organización

¡Cuiado!

Situación

Certificación

• Varios días

• Exhaustiva

• Gran cantidad de No

conformidades

Revisión

• Corta

• Observaciones y no

conformidades

• Aleatoria

Evidencias

Evidencias

• Trata de que sean fáciles de encontrar

• Si son muy complejas tal vez falta un Sistema o alguna forma de

guardarlas

• Pueden ser simples: correos electrónicos, actas de reuniones,

registros de incidencias

Evidencias

¡¡¡CUIDADO CON LAS EVIDENCIAS ANECDÓTICAS!!!

Revisar todos los posibles registros es importante, una anecdota

evidenciara falta de seguimiento

No conformidades y observaciones

• En caso de revisión es importante centrarse en ellas primero

• Las no conformidades son prioritarias

• Las observaciones se pueden considerer

• Resolver rápido las incidencias mayores post-auditoría

Auditoría interna

Auditoría interna

• Es obligatoría antes de la auditoría externa

• Si hay tiempo tratar de emular la auditoría externa e involucrar todo el

posibles afectados

• Ser abierto y escuchar todas las recomendaciones

Mejora continua

Acciones abiertas

Motivos

• Las normas obligan a la consideración y demostración de una serie de

actividades, pero como se realizan esta motivado por negocio

• Es importante poder fundamentar y, si es necesario, mostrar

evidencias de porque se toman o no se toman acciones; por ejemplo,

porque hemos retrasado una plan de acción para hace 2 meses

La gente

• No esta mal que cada persona revise que todo su trabajo está en

orden

• Mantener la tranquilidad, a cada uno se le preguntará por lo que sabe

y como trabaja, lo cual debería estar apoyado por la organización

Documentación

Documentación

• Identificar toda la posible documentación física o digital necesaría

• No es necesario tener un registro para cada punto de las normas, pero

si hacer referencia a donde se encuentran las respuestas a los

distintos requisites

• Importante la revision y versionado de los procesos y documentación

Otras consideraciones

• Tener en cuenta todos los requisites de las Normas, nada sobra y no

son recomendaciones. Por ejemplo, si se pide un listado que

demuestre acciones en 3 campos, realizar los 3 (o fundamentar

porque no)

• Revisar métricas

Otras consideraciones

• Reuniones y cómites de ultima hora

• Tratrar de cuadrar las auditorias con momentos tranquilos o

coordinados a otras revisiones

• Realización de la revisión por la dirección

Resumen

• Negocio

• Revisión

• Justificación

• Acción

• Reacción

Preguntas

Con la colaboración de ...Alhambra Eidos:

C/Albasanz 16, Madrid (España)

+34917872300

www.formaciontic.com

formaciontic@a-e.es

@formacionTIC

Guillermo Hernández

Experto en gestión de servicios de TI y desarrollo.

Ha trabajado y conoce la gestión y organización

de distintas instituciones y empresas, y tiene

conocimiento de distintas herramientas de gestión

como Service Desk o Remedy. Formador desde

hace 3 años, su principal objetivo es el énfasis en

la utilidad real de los pequeños detalles de la

gestión de servicios.

Con la colaboración de:

@exin_es

¡GRACIAS!

youtube/exinexams

facebook.com/EXINEnCastellano

slideshare.net/EXINEnCastellano