Professional Documents
Culture Documents
Enero 2012
AENOR
INDICE
ndice
AENOR
AENOR
Asociacin privada de Normalizacin y
Certificacin
AENOR es el representante de ISO en Espaa
y algunos pases de Latinoamrica.
Sin nimo de lucro
Constitucin: 1986
Real decreto 2200/95
AENOR Corporacin
AENOR INTERNACIONAL (12 filiales)
AENOR Mxico ( +10 aos en Mxico DF y
Delegaciones)
Multisectorial
Normalizacin
Certificacin productos, servicios, sistemas de
gestin y personal
Servicios de Formacin
AENOR es miembro de IQNET
3
AENOR
Producto
Ms de 89.570 Certificados
Internacional
Medioambiente
6.220 Certificados ISO 14000
558 Certificados EMAS
Normalizacin
Ms de25.000 Normas (UNE
y Ratificadas)
Recursos Humanos
500 Auditores/25 auditores TICs
Cambio Climtico
Ms de 200 proyectos MDL, AC y Voluntarios
AENOR
AENOR N+C
AENOR N+C
Normalizacin
International Standardisation
Organisation (ISO)
Certificacin
Certification World Net (IQNet)
AENOR
Es un Conjunto de:
- Personas (Humanware)
- Sistemas o Tecnologas (Base de Datos, software,
aplicaciones, Hardware, Telecomunicaciones y sala
de servers e infraestructura).
- Procesos
AENOR
WEB 1.0
WEB 2.0
WEB 3.0?
MOBILITY
Pdas
Smartphone
Blakberry / Iphone / HTC
Portal Corporativo
Redes Sociales
Wikis
GIS
RFID
CRM
ERP
SCM
e-Branding
e-Mailing
e-Learning
CLOUD COMPUTING
SaaS (Software As A Service)
IaaS (Infraestructure As A Service)
PaaS (Platform As A Service)
FACTORIA DE TICs
(Nuevos Servicios y Operaciones de TICs)
7
AENOR
SGCN
UNE 71599-2
Gobierno de TI
ISO / IEC 38500
IT Governance
Procesos / Servicios
Desarrollo de Software
ISO 12207
Ciclo de Vida de Desarrollo de
Software
Adicionalmente:
Datacenter Green. Gestin.
BPCE Buenas Prctica Comercio Electrnico
SWO Gestin del Software Original
SGAS - SAM
ISO 19770-1
SGSTI
ISO 20000-1
SGSI
ISO 27001
Sistema de Gestin Seguridad de
la Informacin
ISO 27002
Gua de Controles
AENOR
PDCA
Motor
M
E
T
R
SGSI
ISO 27001
SGSTI
ISO 20000-1
ISO..
ISO..
Conocimiento
C
A
D
E
ISO27002
ISO 20000-2
(ITIL)
LIBRERA
INFRAESTRUCTURA
CPD
I
M
PL
A
N
T
A
CI
O
N
AENOR
D
Aplicar mejora continua
Plan y Adoptar las acciones correctivas
Plan y Adoptar las acciones preventivas
C
10
Monitorizar el SG
Revisar internamente el SG
Realizar auditorias internas del SG
Indicadores y Mtricas
Revisin por Direccin
AENOR
PROCESO
Entradas
-Tareas / Actividades
- Procedimientos
-Instrucciones Tcnicas
- Registros (evidencias)
Salidas
Indicadores / mtricas
Un proceso es un conjunto estructurado de actividades diseado para cumplir un objetivo
concreto. Un proceso tiene entradas y salidas. Las organizaciones que persiguen la eficacia en
su funcionamiento tienen que identificar y gestionar numerosos procesos que estn
relacionados entre s, ya que es frecuente que la salida de un proceso pase directamente a ser
la entrada del siguiente proceso.
11
AENOR
12
Informe Penteo:
Slo un 21% de las cas gestionan el Dpto. de SI con criterios de
negocio
31 % gestionan el dpto. de SI slo con criterios tecnolgicos
48 % gestionan con criterios hbridos
Conclusiones:
La Direccin de las cas. Tiene una percepcin ms positiva de los
CIOs que siguen criterios de Negocio. Les dan el rol de lderes
contribuidores de negocio en un 58%
La Gestin de las TICs mejora el posicionamiento del dpto. de SI y
del CIO
En un futuro los CIOS ms gestores y menos tecnlogos
(Encuesta a: 85 Directores de TICs, 36 Dir. Generales y 12 Presidentes)
AENOR
AENOR
Una solucin al gobierno y la gestin de las TICs es el modelo de AENOR de ISO en las
TICs donde se realiza el gobierno y la gestin de las TICs alineadas con los objetivos
de negocio.
14
AENOR
15
AENOR
15
16
AENOR
Modelo ISO para las TICs y otros entornos (como un CIO duerme tranquilo/a)
Objetivo: Gobierno y Gestin de las TICs con estndares ISO.
SGCN
UNE 71599-2
Gobierno de TI
ISO / IEC 38500
IT Governance
Procesos / Servicios
Desarrollo de Software
ISO 12207
Ciclo de Vida de Desarrollo de
Software
Adicionalmente:
Datacenter Green. Gestin.
BPCE Buenas Prctica Comercio Electrnico
SWO Gestin del Software Original
SGAS - SAM
ISO 19770-1
SGSTI
ISO 20000-1
SGSI
ISO 27001
Sistema de Gestin Seguridad de
la Informacin
ISO 27002
Gua de Controles
17
AENOR
18
AENOR
19
AENOR
20
AENOR
(1 de 3)
21
AENOR
(2 de 3)
4. A las empresas de outsourcing y/o proveedores de TICs ser una exigencia del
mercado. Espaa ocupa el 5lugar en el mundo en certificaciones de SGSI. El lder en
Espaa de certificaciones es AENOR , empezamos en el 2004,con ms de 300
empresas certificadas en Espaa, Latinoamrica, Europa, etc.).
5. La inclusin del PDCA en el SGSI implica una gestin pragmtica de la Seguridad
de SI, aprendiendo de las incidencias de seguridad de SI y gestionando las
adecuadamente.
6. La auditora de certificacin de concesin y las auditoras de seguimiento de
AENOR son una herramienta de la Direccin de las organizaciones para comprobar
que el SGSI cumple con los objetivos de Seguridad de SI y con lo objetivos de
negocio. Adems de ser un benchmark al tener esa experiencia los auditores de AENOR
de SGSI, en mltiples empresas
22
AENOR
(3 de 3)
23
AENOR
AENOR
DISPONIBILIDAD
CONFIDENCIALIDAD
INTEGRIDAD
Garantizar la exactitud y
completitud de la informacin
y los mtodos de su proceso
AENOR
C
26
AENOR
Activos de SI
Riesgo Residual
Sistemas de
informacin (aplicativos)
R=F(X1,X2,X3,Xn)
Activo1-------R1
Software
Confidencialidad (X2)
Hardware
Disponibilidad (X3)
Telecomunicaciones
Personas
Integridad (X1)
Amenazas (X4)
Vulnerabilidades (X5)
Impacto Econmico (X6)
XN
27
Activo2-------R2
Aplicando
ISO/IEC 27002
(Seleccin de
Controles)
AENOR
11 REAS
39 OBJETIVOS
CONTROL
133 CONTROLES
28
AENOR
29
AENOR
Nivel 1
Manual de seguridad
Poltica(s), alcance
evaluacin de riesgo,
declaracin de aplicabilidad
Nivel 2
Nivel 3
Nivel 4
Procedimientos
Instrucciones de trabajo,
listas de comprobacin,
formularios, etc.
Registros
AENOR
31
AENOR
SGCN
UNE 71599-2
Gobierno de TI
ISO / IEC 38500
IT Governance
Procesos / Servicios
Desarrollo de Software
ISO 12207
Ciclo de Vida de Desarrollo de
Software
Adicionalmente:
Datacenter Green. Gestin.
BPCE Buenas Prctica Comercio Electrnico
SWO Gestin del Software Original
SGAS - SAM
ISO 19770-1
SGSTI
ISO 20000-1
SGSI
ISO 27001
Sistema de Gestin Seguridad de
la Informacin
ISO 27002
Gua de Controles
32
AENOR
Hitos ms relevantes
En Junio 2007 se traspone la ISO/IEC 20000-1:2005 a norma UNE-ISO/IEC 200001:2007 (A instancias del captulo espaol de itSMF)
Piloto con grandes corporaciones: durante el periodo de 2006 y 2007 se realiza
piloto con Telefnica Soluciones y El Corte Ingls (Centro de Clculo). El 21 de
Junio de 2007 AENOR certifica a estas 2 grandes corporaciones espaolas.
Piloto con 16 empresas TICs en el segmento de Mediana y Pequea empresa
con las asociaciones: CONETIC y GAIA. Con la colaboracin de NEXTEL. Dentro
del plan avanza con subvencin del MICYT durante el periodo 2008 y 2009. En
Diciembre 2009 se certifican las 16 empresas.
Proyecto AGESTIC 2009 para ISO 20000-1 (Plan Avanza)
Publicacin en 2010 por AENOR Ediciones y Telefnica del libro: ISO/IEC 20000
Gua completa de aplicacin para la gestin de los servicios y tecnologas de la informacin.
Publicacin en 2010 por AENOR Ediciones, MICYT. el libro: ISO/IEC 20000 para
pymes. Como implantar un sistema de gestin de los servicios de tecnologas de la informacin
33
AENOR
AENOR
Motor
35
AENOR
P
Implementar los objetivos y plan de gestin de los servicios
ISO 20000-parte 2
(Procesos-Gua)
1.- Gestin del Nivel de Servicio
2-.Informes del Servicio
3.-Gestin de la Capacidad
4.-Gestin de la continuidad y de la
disponibilidad del servicio
5.-Gestin de la Seguridad de la Informacin
6.- Gestin de Presupuestos y contabilidad de
los servicios
7.-Gestin de Incidencias
8.- Gestin de Problemas
9.- Gestin de Configuracin
10.- Gestin del Cambio
11.- Gestin de relaciones con el Negocio
12. Gestin de Proveedores
13: Gestin de la entrega
C
36
AENOR
Gestin de la continuidad y
disponibilidad del servicio
Gestin de la Seguridad de la
Informacin
Elaboracin de presupuestos y
contabilidad de los servicios de TI
Procesos de control
Proceso de entrega
Gestin de la configuracin
Gestin del cambio
Gestin de la entrega
Procesos de relaciones
Procesos de resolucin
Gestin de suministradores
37
AENOR
Gestin de Continuidad
Gestin del Account
Probar
Construir
USUARIO
(operacional)
Peticin Cambio
RfC
Service Desk
Gestin de
Disponibilidad
Gestin
Financiera
Gestin de
Capacidad
CMDB
Gestin de Cambios
Gestin de
Incidencias
Servicios de Soporte
Diseo y
Gestin del
Servicio
Gestin de
Problemas
Gestin de
Configuracin
PROVEEDORES
CLIENTE
(tctico)
Gestin de Seguridad
Entrega de Servicios
Gestin de
Entrega
Produccin
SERVICIO
Fuente: IPW . Quint Wellington Redwood
38
AENOR
SGCN
UNE 71599-2
Gobierno de TI
ISO / IEC 38500
IT Governance
Procesos / Servicios
Desarrollo de Software
ISO 12207
Ciclo de Vida de Desarrollo de
Software
Adicionalmente:
Datacenter Green. Gestin.
BPCE Buenas Prctica Comercio Electrnico
SWO Gestin del Software Original
SGAS - SAM
ISO 19770-1
SGSTI
ISO 20000-1
SGSI
ISO 27001
Sistema de Gestin Seguridad de
la Informacin
ISO 27002
Gua de Controles
39
AENOR
Proyectos de Desarrollo
Desarrollo - SDLC
Explotacin
ISO
12207
40
AENOR
41
AENOR
42
MODELO DE
PROCESOS
MODELO DE
EVALUACIN
ISO/IEC 12207:2008
ISO/IEC 15504
Procesos
Resultados del Proceso
(RP)
AENOR
Nivel 2 de
madurez
Nivel 1 de
madurez
43
Proceso de Suministro
Proceso de Definicin de Requisitos de los
Stakeholders
Proceso de Anlisis de los Requisitos del Sistema
Proceso de Gestin del Modelo de Ciclo de Vida
Proceso de Planificacin del Proyecto
Proceso de Evaluacin y Control del Proyecto
Proceso de Gestin de la Configuracin del Software
Proceso de Gestin de la Configuracin
Proceso de Medicin
Proceso de Aseguramiento de la Calidad del Software
AENOR
Nivel 3 de madurez
Nivel 2 de madurez
Nivel 1 de madurez
44
AENOR
Portal www.iso15504.es
Artculos
Foro
AENOR
SGCN
UNE 71599-2
Gobierno de TI
ISO / IEC 38500
IT Governance
Procesos / Servicios
Desarrollo de Software
ISO 12207
Ciclo de Vida de Desarrollo de
Software
Adicionalmente:
Datacenter Green. Gestin.
BPCE Buenas Prctica Comercio Electrnico
SWO Gestin del Software Original
SGAS - SAM
ISO 19770-1
SGSTI
ISO 20000-1
SGSI
ISO 27001
Sistema de Gestin Seguridad de
la Informacin
ISO 27002
Gua de Controles
46
AENOR
UNE 71599-1
(CONOCIMIENTO CODIGO DE PRACTICA)
1.
2.
3.
47
AENOR
6.
Mantenimien
to y Mejora
4.
Implantacin
y Operacin
5. Supervisin
y Revisin
3. Planificacin (Plan):
definir la poltica de continuidad de negocio, los objetivos, las metas, los
controles, los procesos y los procedimientos correspondientes a la gestin de
riesgos y a la mejora de la continuidad de negocio, con el fin de obtener resultados
acordes con las polticas y objetivos generales de la organizacin
AENOR
SGCN
UNE 71599-2
Gobierno de TI
ISO / IEC 38500
IT Governance
Procesos / Servicios
Desarrollo de Software
ISO 12207
Ciclo de Vida de Desarrollo de
Software
Adicionalmente:
Datacenter Green. Gestin.
BPCE Buenas Prctica Comercio Electrnico
SWO Gestin del Software Original
SGAS - SAM
ISO 19770-1
SGSTI
ISO 20000-1
SGSI
ISO 27001
Sistema de Gestin Seguridad de
la Informacin
ISO 27002
Gua de Controles
49
AENOR
50
AENOR
Planificar
Actuar
SAM
Plan
Do
Chek
Act
Planificar
Hacer
Verificar
Actuar
Hacer
Los procesos de cualquier norma ISO / IEC
se adaptan a este ciclo, los de la ISO IEC
19770-1 tambin
Verificar
51
AENOR
SGCN
UNE 71599-2
Gobierno de TI
ISO / IEC 38500
IT Governance
Procesos / Servicios
Desarrollo de Software
ISO 12207
Ciclo de Vida de Desarrollo de
Software
Adicionalmente:
Datacenter Green. Gestin.
BPCE Buenas Prctica Comercio Electrnico
SWO Gestin del Software Original
SGAS - SAM
ISO 19770-1
SGSTI
ISO 20000-1
SGSI
ISO 27001
Sistema de Gestin Seguridad de
la Informacin
ISO 27002
Gua de Controles
52
AENOR
Definiciones Bsicas
Gobierno Corporativo de TI (Corporate governance of IT)
El sistema mediante el cual se dirige y controla el uso actual y
futuro de las TI. (Plan de negocio Plan de TI)
Gestin de las TI (IT Management)
El sistema de procesos y/o controles requeridos para lograr los
objetivos establecidos por la Direccin. (Negocio).
La direccin, planificacin, diseo, desarrollo, implantacin,
operacin y mantenimiento de las TI para satisfacer las
necesidades de la empresa.
53
AENOR
54
AENOR
Este estndar deja claro que se debe cumplir con la legislacin vigente
AENOR
Auditoras de mantenimiento de la
certificacin
CUESTIONARIO
PRELIMINAR Y SOLICITUD
56
AUDITORAS DE
RENOVACIN
(AL TERCER AO)
AENOR
Auditora de Certificacin
(ISO 17021 e ISO 19011)
Informe
final
Hoja de datos
Alcance : de acuerdo
al XXX vigente
AUDITORAS DE
SEGUIMIENTO
(AL SEGUNDO AO)
AUDITORAS DE
SEGUIMIENTO
(AL PRIMER AO)
FASE 2:
REALIZACIN DE
LA AUDITORA (presencial)
REGISTRAR LOS
RESULTADOS
Informe de
Evaluacin y
Decisin
CONCESIN DEL
CERTIFICADO
AENOR
Decisin
(Concesin / no concesin)
Auditor Jefe
57
Revisin de Propuesta
(Concesin / no concesin)
Propuesta
(Concesin / no concesin)
AENOR
311
294
250
200
202
TOTAL ANUAL
TOTAL
150
100
50 4
4
0
2004
99
7 11
2005
23
34
2006
55
21
2007
103
44
92
17
2008
2009
2010
2011
Destacar como empresas certificadas: BT, UNICAJA, TELEFONICA, INDRA, GMV, FCC, IBERIA, SANITAS,
IECISA, TECNOCOM, MINISTERIO DE SANIDAD, ORG.NAC.TRASPLANTES, S21SEC, NEXTEL, INTECO,
FRATERNIDAD MUPRESPA, KUTXA, CAJASTUR, TELECABLE, UPCNET, UNIV.JAIME I, OHL, SIA,etc.
58
AENOR
59
AENOR
60
AENOR
Miembros
61
AENOR
62
AENOR
63
AENOR
AENOR
65
AENOR