caso de exito
TRANSCRIPT
Caso de Caso de ééxito de Telefxito de TelefóónicanicaGerardo Lucas Gerardo Lucas –– Gerente. Data Gerente. Data CenterCenterAndrewAndrew OteizaOteiza –– Jefe Jefe A&CA&C Data Data CenterCenter
Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
AgendaAgenda1.1. Servicio del Data Servicio del Data CenterCenter de Telefde Telefóónica. Estrategianica. Estrategia
2.2. Desarrollo de CapacidadesDesarrollo de Capacidades
3.3. Despliegue de Procesos ITILDespliegue de Procesos ITIL
4.4. CertificaciCertificacióón ISO 27001:2005n ISO 27001:2005
5.5. ConclusiConclusióónn
6.6. Preguntas y respuestasPreguntas y respuestas
Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
1.1.-- Servicio del Data Servicio del Data CenterCenter de Telefde Telefóónicanica
Soluciones Soluciones customizadascustomizadas
5500 mts25500 mts2
Sistema de energSistema de energíía ininterrumpidoa ininterrumpido
26 entidades financieras26 entidades financieras
Data Data CenterCenter TIER 3TIER 3
Profesionales de ITProfesionales de IT
Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
1.1.-- Estructura del Data Estructura del Data CenterCenter
Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
1.1.-- EstrategiaEstrategia
Tablero de Comando Integral (BalancedScorecard – BSC)
Mejora Continua
Documentación Dinámica de
Procesos
Aseguramiento de las Mejoras
Modelo Modelo IntegradorIntegrador
Gestión Incidentes Gestión
CambiosGe
stió
n Re
leas
e
Gestión
Problemas G
estió
n
Conf
ig.
Gestión SLA
Certificaciones:•ISO 27001•ITIL
Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar6
1- Situación inicial
2- En base a la estrategia, determinamos QUE
queríamos3- Analizamos los indicadores de
gestión y la madurez de la organización. Determinamos
COMO y CUANDO lo haríamos
4- Lo implementamos en EQUIPO
5- Medimos los beneficios y resultados
2.2.-- Por donde comenzamos?Por donde comenzamos?
Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
2.2.-- De donde partimos y que es lo que De donde partimos y que es lo que hicimos?hicimos?
• Procedimientos•Formularios• Informes•Minutas•Registros
• Procedimientos•Formularios• Informes•Minutas•Registros
• Procedimientos•Formularios• Informes•Minutas•Registros
• Procedimientos• Instructivos•Formularios• Informes•Minutas
Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
2.2.-- CCóómo y cumo y cuáándo lo harndo lo harííamos?amos?Certificación del 100% en ITIL
FoundationCertificación en ITIL Practitioner
2006 2007
Capacitación en ISO 27001
Ampliación de capacidades para dar un servicio de mayor calidad
Integración de distintas herramientas
Mantenimiento de la BS7799:2 y A3198
Mapeo de procesos
Medición de desempeño con BSC
Re-certificación a ISO27001:2005
Despliegue de procesos ITIL
Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
2.2.-- Desarrollo de CapacidadesDesarrollo de Capacidades
100% ITIL Foundation (Exin)
2 ITIL Practitioner Support & Restore (Exin)
3 ITIL Practitioner Release & Control (Exin)
100% ISMS bajo ISO27001
4 Auditores internos ISMS (ISO27001)
Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
3.3.-- Despliegue de Procesos ITILDespliegue de Procesos ITIL
•Determinación de nivel de madurez.•Análisis FODA•Plan de acción
•Entradas•Salidas•Responsables•Actividades
ProcedimientosInstructivosPolíticasRegistrosIndicadores (KPIs)
Responsables de los “7”procesos restantes + mejoras puntuales
•Procesos controlados•Previsibilidad de resultados
Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
3.3.-- Re CertificaciRe Certificacióón ISO 27001:2005n ISO 27001:2005
•Requisitos Legales, contractuales, etc.
•Tres Pilares:ConfidencialidadIntegridadDisponibilidad
•Redefinición de la política de seg.
•Identificación y análisis de riesgo
•Análisis detallado del alcance de los procesos.
•Definición de aplicabilidad hacia los puntos de control (125)
•Planificación de la implementación
•Plan de tratamiento de riesgos
•Definición de procedimientos/instructivos/registros
•Capacitación a todos los niveles
•Auditorías internas planificadas
•Gestión de evidencias objetivas
•Proceso certificado por DQS (alcance: todos los procesos del Data Center)
•Mantenimiento anual
•Validez 3 años
Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
3.3.-- Modelo ConvergenteModelo Convergente
• Procedimientos•Formularios• Informes•Minutas•Registros
P
DA
C
Sistema de Gestión Integral :ISO 27.001“A” 4609ITILCobitCosoISO 20.000
Documentación eficiente
Gestión de Conocimiento
Sinergia de Procesos
Indicadores de gestión
Revisión constante
Objetivos de Mejora
Mayor compromiso y participación de todos
Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
5.5.-- ÁÁreas de Peso en nuestra gestireas de Peso en nuestra gestióónn
Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
5.5.-- Organizadores para nuestro Clima Organizadores para nuestro Clima LaboralLaboral
Personal Gerencia Corporación
Objetivos
Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Movilidad, Adaptación y
Transformación
5.5.-- Nuestro sistema de Auto GestiNuestro sistema de Auto Gestióónn
Solidez Estructural
•Aseguramiento•Repetición Controlada•Todas las respuestas Controladas•Cumplimiento•Estereotipo
MEJORA CONTINUA
•Innovación•Creatividad•Comunicación•Aprendizaje•Transformación Permanente
Segurinfo 2008 – Cuarto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Si quieres resultados distintos, no Si quieres resultados distintos, no hagas siempre lo hagas siempre lo mismomismo……..
AlbertAlbert EinsteinEinstein
Muchas Gracias!!!Muchas Gracias!!!
¿¿Preguntas?Preguntas?
Gerardo Lucas (Gerardo Lucas ([email protected]@telefonica.com.ar))AndrewAndrew OteizaOteiza (([email protected]@telefonica.com.ar))