Normas (Estándares) ISO Relativas A TICs

Normas (estndares) ISO relativas a TICs
Modelo de ISO en las TICs
Carlos Manuel FERNNDEZ

Coordinador de TICs (AENOR)
Ing. en Informtica. CISA, CISM.
MBA CECO.
Vocal de la junta Directiva del Colegio
Profesional de Ingenieros en
Informatica de Madrid.
Profesor universitario de UPSAM.
Enero 2012
AENOR
INDICE
ndice
Que son las Normas vs Google.

Teora del caos vs AENOR-Desarrollo Estratgico
Gestin de las TICs : Gestin del CITI (incluyendo PDCA)
Gobierno de TI ISO/IEC 38500 Aspectos bsicos
Certificacin de Sistemas de Gestinsegn ISO 17021
Futuro de las TICs con ISO
AENOR
AENOR
Asociacin privada de Normalizacin y
Certificacin
AENOR es el representante de ISO en Espaa
y algunos pases de Latinoamrica.
Sin nimo de lucro
Constitucin: 1986
Real decreto 2200/95
AENOR Corporacin
AENOR INTERNACIONAL (12 filiales)
AENOR Mxico ( +10 aos en Mxico DF y
Delegaciones)
Multisectorial
Normalizacin
Certificacin productos, servicios, sistemas de
gestin y personal
Servicios de Formacin
AENOR es miembro de IQNET
3
AENOR
AENOR Datos relevantes

Calidad y Seguridad
25.300
1.200
+ 300
+ 95
23
1
Certificados ISO 9000

Certificados OHSAS 18001
Certificados IS0 27001
Certificados ISO 20000-1
Certificados SPICE nivel 2
Certificados SPICE nivel 3
Producto
Ms de 89.570 Certificados
Internacional
Medioambiente
6.220 Certificados ISO 14000
558 Certificados EMAS
Normalizacin
Ms de25.000 Normas (UNE
y Ratificadas)
Recursos Humanos
500 Auditores/25 auditores TICs
Ms de 45 Acuerdos internacionales para certificacin de

sistemas
Ms de 40 Pases donde AENOR concedido certificados

4
Cambio Climtico
Ms de 200 proyectos MDL, AC y Voluntarios
AENOR
AENOR N+C
AENOR N+C
Normalizacin
International Standardisation
Organisation (ISO)
International Electrotechnique Commission (IEC)
European Committee for Electrotechnique Standardisation

(CENELEC)
Comisin Pan-Americana Normas

Tcnicas (COPANT)
European Institute for

Telecommunications
Standardisation (ETSI)
Certificacin
Certification World Net (IQNet)
AENOR
Centro de Proceso de Datos o Tecnologas de Informacin y Comunicaciones
Es un Conjunto de:
- Personas (Humanware)
- Sistemas o Tecnologas (Base de Datos, software,
aplicaciones, Hardware, Telecomunicaciones y sala
de servers e infraestructura).
- Procesos
AENOR
LAS TICs COMO APOYO A LA GESTION E INNOVACION EN LAS EMPRESAS

New Business and Tools for Business
To CEOs & CIOs
B2C
B2B
WEB 1.0
WEB 2.0
WEB 3.0?
MOBILITY
Pdas
Smartphone
Blakberry / Iphone / HTC
Portal Corporativo
Redes Sociales
Wikis
GIS
RFID
CRM
ERP
SCM
e-Branding
e-Mailing
e-Learning
CLOUD COMPUTING
SaaS (Software As A Service)
IaaS (Infraestructure As A Service)
PaaS (Platform As A Service)
BUSINESS PLAN = PLAN DE TICS

(Integracin y Alineamiento)
FACTORIA DE TICs
(Nuevos Servicios y Operaciones de TICs)
7
Fte: UPSAM - Carlos Manuel Fernndez
AENOR
Modelo ISO para las TICs y otros entornos

Objetivo: Gobierno y Gestin de las TICs con estndares ISO.
SGCN
UNE 71599-2
Gobierno de TI
ISO / IEC 38500
Sistema de Gestin Continuidad del Negocio.
IT Governance
Procesos / Servicios
Desarrollo de Software
Nivel de Madurez. Ciclo de Vida de SW
SPICE ISO 15504

Modelo de Evaluacin, Mejora y Madurez de Software
ISO 12207
Ciclo de Vida de Desarrollo de
Software
Adicionalmente:
Datacenter Green. Gestin.
BPCE Buenas Prctica Comercio Electrnico
SWO Gestin del Software Original
SGAS - SAM
ISO 19770-1
SGSTI
ISO 20000-1
Sistema de Gestin Activos Software
Sistema de Gestin Servicios TI

ISO 20000-2
Gua de Buenas
Prcticas
SGSI
ISO 27001
Sistema de Gestin Seguridad de
la Informacin
ISO 27002
Gua de Controles
Copyright AENOR. Diciembre 2006
AENOR
Concepto de Motor Conocimiento TICs

G
UI
A
PDCA
Motor
M
E
T
R
SGSI
ISO 27001
SGSTI
ISO 20000-1
ISO..
ISO..
Conocimiento
C
A
D
E
ISO27002
ISO 20000-2
(ITIL)
LIBRERA
INFRAESTRUCTURA
CPD
I
M
PL
A
N
T
A
CI
O
N
Fte: tesis doctoral Carlos Manuel Fernndez

9
AENOR
MODELO PDCA. (Motor PDCA-1 y Conocimiento-2)

Identificar Objetivos del Negocio (medibles)
Tener apoyo de la Direccin
Definir poltica
Establecer alcance del al SG
Seleccionar procesos/procedimientos/controles
Implantar plan de gestin

(tareas, actividades, PERT, GANTT, etc.)
Implantar el SG
Implantar los procesos/procedimientos/controles
Asignar recursos
Formacin y Concienciacin
GUIAS DE BUENAS PRACTICAS -2

CONOCIMIENTO
REPOSITORIO DE PROCESOS / PROCEDIMIENTOS / CONTROLES
D
Aplicar mejora continua
Plan y Adoptar las acciones correctivas
Plan y Adoptar las acciones preventivas
C
10
Monitorizar el SG
Revisar internamente el SG
Realizar auditorias internas del SG
Indicadores y Mtricas
Revisin por Direccin
AENOR
Descripcin genrica de un proceso

Relaciones con otros procesos
PROCESO
Entradas
-Tareas / Actividades
- Procedimientos
-Instrucciones Tcnicas
- Registros (evidencias)
Salidas
Nota: es conveniente la utilizacin de workflows en el proceso
Indicadores / mtricas
Un proceso es un conjunto estructurado de actividades diseado para cumplir un objetivo
concreto. Un proceso tiene entradas y salidas. Las organizaciones que persiguen la eficacia en
su funcionamiento tienen que identificar y gestionar numerosos procesos que estn
relacionados entre s, ya que es frecuente que la salida de un proceso pase directamente a ser
la entrada del siguiente proceso.
11
AENOR
Gestin de las TICs con criterios de negocio
12
Informe Penteo:
Slo un 21% de las cas gestionan el Dpto. de SI con criterios de
negocio
31 % gestionan el dpto. de SI slo con criterios tecnolgicos
48 % gestionan con criterios hbridos
Conclusiones:
La Direccin de las cas. Tiene una percepcin ms positiva de los
CIOs que siguen criterios de Negocio. Les dan el rol de lderes
contribuidores de negocio en un 58%
La Gestin de las TICs mejora el posicionamiento del dpto. de SI y
del CIO
En un futuro los CIOS ms gestores y menos tecnlogos
(Encuesta a: 85 Directores de TICs, 36 Dir. Generales y 12 Presidentes)
AENOR
El tiempo de los Procesos en las TICs

80s (mecanizar operaciones)
90s (Help Desk y control presupuestario)
Finales 90s (E-Commerce y marketplace)
XXI- (ITIL, CMMI, COBIT, ISO, etc..) : definir, medir y
analizar: Ciclo Mejora Continua. Los procesos en
TICs:incrementando el desarrollo de productos e
innovacin)
CIOs se convierten en CPOs (Chief Process Officers)
integrados con los objetivos del negocio.
Fuente: David Flint. Vice President de Gartner. Research. (Junio -2008).
13
AENOR
Cmo perciben los ejecutivos los Sistemas de Informacin

71% de los ejecutivos estn de acuerdo que es una
palanca las TI para transformar el negocio
62% creen que las TICs deben focalizarse en la
innovacin de los procesos de negocio
66% estn de acuerdo que las TICs han implicado una
gestin de riesgos ms compleja en las corporaciones.
Fuente: Ernst&Young study What next for the CIO? (Enero 2011).
Una solucin al gobierno y la gestin de las TICs es el modelo de AENOR de ISO en las
TICs donde se realiza el gobierno y la gestin de las TICs alineadas con los objetivos
de negocio.
14
AENOR
Cuando el EL CIO (chief Information Officer) es esencial

Conclusiones del Estudio Mundial de CIOs 2011 de IBM
(EN BASE A ENTREVISTAS PERSONALES CON MS DE 3000 CiOs DE TODO EL MUNDO)
-Los CIOs piensan actualmente ms parecido a los CEOs.
-Los Cios ayudan a enfrentarse a la complejidad , simplificando operaciones, los procesos de negocio, los
productos y servicios.
- Los CIOs para incrementar la competitividad : Planes visionarios que incluyen la analtica y la inteligencia del
negocio (BI) el 83% , soluciones de movilidad el 74% y virtualizacin el 68%, etc...
-Solucin de IBM (con los Mandatos del CIO) que es como se ve el rol del CIO.
Potenciar
Proveedor de servicios de TI, para una mayor eficacia en la organizacin.
Expandir
Liderar las operaciones de TI para unos mejores procesos de negocio y la colaboracin en la empresa.
Transformar
Mejorar la cadena de valor sectorial mejorando las relaciones con clientes, partners y clientes internos.
Explorar
Pioneros, redisear productos, mercados y modelos de negocio.
-En conclusin: Los CEOs en el 2010 clasificaron los factores tecnolgicos como la segunda fuerza externa ms
importante que impactara en sus organizaciones. (1 Factores de Mercado y/o Factores macroeconmicos)
15
AENOR
15
Cmo se realizan los pilotos en AENOR DD
Hitos ms relevantes en ISO 27001

En el ao 2004 se publica la UNE 71502 con las ISO 17799.
Piloto con la PNE-UNE 71502 con una empresa del sector financiero: durante
el primer cuatrimestre del 2004. (EUROFACTOR HISPANIA, S.A. E.F.C.)
En 2006 lanzamiento de ISO 27001, similar a UNE 71502. AENOR migras la
compaas certificadas en UNE 71502 a ISO 27001.
Pilotos con ETICOM (Asociacin TIC de Andaluca), ClusterTIC (Asturias), etc.
durante los aos 2005-2007 mediante planes Avanza, etc.
Road-Show por toda Espaa durante los aos 2006-2010 del SGSI por AENOR
Acreditados por ENAC para el SGSI desde 2008
Publicacin en 2009 por AENOR Ediciones y Start-up: Gua de Aplicacin de la
Norma UNE-ISO/IEC 27001 sobre seguridad en Sistema de Informacin para pymes (en
base a la experiencia de implantacin en +40 pymes)
16
AENOR
Modelo ISO para las TICs y otros entornos (como un CIO duerme tranquilo/a)
SGCN
UNE 71599-2
Gobierno de TI
ISO / IEC 38500
IT Governance
SPICE ISO 15504

ISO 12207
Software
Adicionalmente:
SGAS - SAM
ISO 19770-1
SGSTI
ISO 20000-1

ISO 20000-2
Gua de Buenas
Prcticas
SGSI
ISO 27001
la Informacin
ISO 27002
Gua de Controles
17
AENOR
Factores que influyen en la Seguridad de los SI

Actualmente: Nueva York y en los 80s :
Mainframe Ciudad de vila. Magerit
Amplio uso de la Tecnologa.
Interconectividad de los sistemas. Sistemas abiertos y
distribuidos.
Cambios muy rpidos en las TICs.
Ataques a Organizaciones. Tema atractivo?.
Factores externos: Legislacin .etc...
(Information Security Governance. 2001. IT Governance Institute).
18
AENOR
Factores que influyen en la Seguridad de los SI

Actualmente: Nueva York y en los 80s :
Mainframe Ciudad de vila. Magerit
Amplio uso de la Tecnologa.
Interconectividad de los sistemas. Sistemas abiertos y
distribuidos.
Cambios muy rpidos en las TICs.
Ataques a Organizaciones. Tema atractivo?.
Factores externos: Legislacin .etc...
(Information Security Governance. 2001. IT Governance Institute).
19
AENOR
Informe de Riesgos en las TICs

Uno de cada 5 empleados deja a su familia y amigos usar sus
porttiles corporativos para acceder a Internet. (21%).
Uno de cada diez confiesa que baja algn tipo de contenido
que no debiera mientras est en el trabajo.
Dos tercios admiten tener conocimientos muy limitados en
materia de seguridad.
Un 5% dice que tienen acceso a areas de la red corporativa que

no deberan tener.
Fuente: McAffee.
20
AENOR
Beneficios del SGSI
(1 de 3)
1. El SGSI , incorpora un anlisis de riesgos de los Activos de sistemas de Informacin

que dan soporte a los procesos de negocio (exigencia de la certificacin de SGSI de
AENOR) , esto conlleva a tener una interrelacin entre todas las reas de negocio de
la organizaciones y las TICs. Hablar un lenguaje de Seguridad de SI orientado a los
objetivos del negocio.
2. Orientar lo presupuestos de seguridad de SI a donde la organizacin tiene mayor
riesgos segn sus procesos de negocio. (Orientacin de la certificacin SGSI de
AENOR).
3. El presupuesto de Seguridad de SI sale del anlisis de Riesgos. Ahorro de costes de
Seguridad de SI superfluos.
21
AENOR
Beneficios del SGSI
(2 de 3)
4. A las empresas de outsourcing y/o proveedores de TICs ser una exigencia del
mercado. Espaa ocupa el 5lugar en el mundo en certificaciones de SGSI. El lder en
Espaa de certificaciones es AENOR , empezamos en el 2004,con ms de 300
empresas certificadas en Espaa, Latinoamrica, Europa, etc.).
5. La inclusin del PDCA en el SGSI implica una gestin pragmtica de la Seguridad
de SI, aprendiendo de las incidencias de seguridad de SI y gestionando las
adecuadamente.
6. La auditora de certificacin de concesin y las auditoras de seguimiento de
AENOR son una herramienta de la Direccin de las organizaciones para comprobar
que el SGSI cumple con los objetivos de Seguridad de SI y con lo objetivos de
negocio. Adems de ser un benchmark al tener esa experiencia los auditores de AENOR
de SGSI, en mltiples empresas
22
AENOR
Beneficios del SGSI
(3 de 3)
7. Los auditores de AENOR tienen como mnimo 5 aos de experiencia en TICs y ms

de 2 aos de experiencia en Seguridad de SI. Son titulados universitarios del sector
TICs y la mayora son CISA a nivel mundial. (Certified Information System Auditor)
8. AENOR esta acreditado por ENAC (Entidad Nacional de Acreditacin) para la
certificacin SGSI (solo 2 entidades de certificacin estn acreditadas por ENAC en
Espaa para el SGSI). Adems de la certificacin de AENOR damos la certificacin
IQNET.(Asociacin Internacional de entidades certificadoras a nivel mundial, con
reconocimiento mutuo)
23
AENOR
ISO 27001: SG de la Seguridad de la Informacin

Solucin a los Riesgos Empresariales, Decisin estratgica de la organizacin
Definicin de SGSI: sistema general de gestin que comprende la poltica, la estructura

organizativa, los procedimientos, los procesos, y los recursos necesarios para implantar
la gestin de la seguridad de la informacin
Modelo para la definicin, implementacin, operacin, revisin, mantenimiento y
mejora del SG de la SI.
Reordenar la Seguridad de los SI.

Sigue pautas de ISO 9001 e ISO 14001.
Para todo tipo de organizaciones.
En el marco de los riesgos empresariales generales.
Fin, seleccionar controles de seguridad, adecuados y proporcionados.
Enfoque por procesos, y para la mejora contnua.
La herramienta de que dispone la Direccin para implantar las polticas y objetivos de Seguridad de
la Informacin.
Permite, establecer y reordenar la Seguridad de los Sistemas de Informacin en concordancia con los
Planes Estratgicos de la Organizacin y con sus Polticas de Seguridad.
24
AENOR
Propiedades principales asociadas a la Informacin
DISPONIBILIDAD
CONFIDENCIALIDAD
Asegurar que los usuarios

autorizados tienen acceso
cuando lo requieran a la
informacin y sus activos
asociados.
Asegurar que la informacin es

accesible solo para aquellos
autorizados a tener acceso.
INTEGRIDAD
Garantizar la exactitud y
completitud de la informacin
y los mtodos de su proceso
La gestin eficaz de la Seguridad de la Informacin permite a la

organizacin preservarlas.
25
AENOR
SGSI - UNE ISO 27001. MODELO PDCA

Definir poltica de seguridad
Establecer alcance del al SGSI
Realizar anlisis de riesgos
Seleccionar los controles
Implantar plan de gestin de riesgos

Implantar el SGSI
Implantar los controles
ISO IEC 27002 / Anexo A. ISO IEC 27001
A.5 Poltica de Seguridad de

Informacin
A.6 Estructura organizativa de la SI
A.7 Clasificacin y control de activos
A.8 Seguridad ligada al personal
A.9 Seguridad fsica y del entorno
Adoptar las acciones correctivas

Adoptar las acciones preventivas
C
26
A.10 Gestin de comunicaciones y

operaciones
A.11 Control de accesos
A.12 Desarrollo y mantenimiento de
sistemas
A.13 Gestin de Incidentes de
Seguridad
A.14 Gestin Continuidad de Negocio
A15 Conformidad y Cumplimiento
legislacin
Revisar internamente el SGSI

Realizar auditorias internas del SGSI
Indicadores y Mtricas
AENOR
Gestin de riesgos Implantacin de controles

Procesos de Negocio
Activos de SI
Anlisis y Gestin de riesgos
Riesgo Residual
Sistemas de
informacin (aplicativos)
R=F(X1,X2,X3,Xn)
Activo1-------R1
Software
Confidencialidad (X2)
Hardware
Disponibilidad (X3)
Telecomunicaciones
Personas
Integridad (X1)
Amenazas (X4)
Vulnerabilidades (X5)
Impacto Econmico (X6)
XN
27
Activo2-------R2
Aplicando
ISO/IEC 27002
(Seleccin de
Controles)
AENOR
SGSI Anexo a. ISO 27001 / ISO-IEC 27002: Objetivos y Controles
Cada rea o dominio tiene asociados uno o varios objetivos de seguridad.
Para cada objetivo se definen, a su vez, uno o ms controles de seguridad

cuya implantacin debe traducirse en la consecucin del objetivo de
seguridad asociado
11 REAS
39 OBJETIVOS
CONTROL
133 CONTROLES
28
AENOR
SGSI Anexo a. ISO 27001 / ISO-IEC 27002: Objetivos y Controles
29
AENOR
La documentacin del SGSI
Nivel 1
Manual de seguridad
Poltica(s), alcance
evaluacin de riesgo,
declaracin de aplicabilidad
Nivel 2
Nivel 3
Nivel 4
Describe procesos - quin, qu, cundo,

dnde (4.1- 4.10)
Procedimientos
Describe las tareas y las actividades especficas y

cmo se realizan
Proporciona las pruebas objetivas del cumplimiento con las

exigencias del SGSI (clusula 4.3.2-4.3.3)
Instrucciones de trabajo,
listas de comprobacin,
formularios, etc.
Registros
IMPORTANTE: diferenciar entre procedimiento y registro:

Procedimiento: forma especfica de llevar a cabo una actividad o proceso
Registro (record): resultado de la aplicacin de los procedimientos
30
AENOR
Factores crticos para el xito
31
Una seguridad orientada al negocio

Implementar la Seguridad en consonancia con la cultura de la empresa
Apoyo visible y compromiso de la Direccin.
Buen entendimiento de los requisitos de seguridad, de la evaluacin y
gestin de los riesgos.
Convencer de la necesidad de la seguridad a directivos y empleados.
Proveer formacin y guas sobre polticas y normas a toda la
organizacin.
Un sistema de medicin para evaluar el rendimiento de la gestin de la
seguridad y sugerir mejoras.
AENOR

SGCN
UNE 71599-2
Gobierno de TI
ISO / IEC 38500
IT Governance
SPICE ISO 15504

ISO 12207
Software
Adicionalmente:
SGAS - SAM
ISO 19770-1
SGSTI
ISO 20000-1

ISO 20000-2
Gua de Buenas
Prcticas
SGSI
ISO 27001
la Informacin
ISO 27002
Gua de Controles
32
AENOR
Experiencias en ISO/IEC 20000-1. Una historia reciente
Hitos ms relevantes
En Junio 2007 se traspone la ISO/IEC 20000-1:2005 a norma UNE-ISO/IEC 200001:2007 (A instancias del captulo espaol de itSMF)
Piloto con grandes corporaciones: durante el periodo de 2006 y 2007 se realiza
piloto con Telefnica Soluciones y El Corte Ingls (Centro de Clculo). El 21 de
Junio de 2007 AENOR certifica a estas 2 grandes corporaciones espaolas.
Piloto con 16 empresas TICs en el segmento de Mediana y Pequea empresa
con las asociaciones: CONETIC y GAIA. Con la colaboracin de NEXTEL. Dentro
del plan avanza con subvencin del MICYT durante el periodo 2008 y 2009. En
Diciembre 2009 se certifican las 16 empresas.
Proyecto AGESTIC 2009 para ISO 20000-1 (Plan Avanza)
Publicacin en 2010 por AENOR Ediciones y Telefnica del libro: ISO/IEC 20000
Gua completa de aplicacin para la gestin de los servicios y tecnologas de la informacin.
Publicacin en 2010 por AENOR Ediciones, MICYT. el libro: ISO/IEC 20000 para
pymes. Como implantar un sistema de gestin de los servicios de tecnologas de la informacin
33
AENOR
UNE -ISO 20000 Gestin de Servicios TI

Alcance: Que un proveedor de servicios de TI (CPD) provea
servicios gestionados de una calidad aceptable para sus
clientes
Se basa: en ITIL es un estndar internacional , que es un
conjunto de buenas prcticas en la Gestin del Servicio de TI,
desarrollado por la Office of Goverment Comerce (UK)
Beneficios de ISO 20000-ITIL:
Maximizar la Calidad del servicio

Alinear los servicios de TI a las necesidades del negocio
Reducir Costes
Aumentar la satisfaccin del Cliente
Visin clara de la capacidad del departamento de TI
Minimizar el tiempo de ciclo de cambios y mejorar resultados en base a
mtricas
Toma de decisiones en base a indicadores de negocio y de TI
34
AENOR
UNE -ISO 20000 Gestin de Servicios TI

Est formada por dos partes bajo el mismo ttulo:
Tecnologas de la Informacin Gestin del Servicio
UNE-ISO/IEC 20000-1. Parte1: Especificacin
Promueve la adopcin de un marco de procesos de gestin, para
una provisin de servicios gestionados que estn en lnea con:
las necesidades del negocio
con los requisitos de los clientes
Motor
UNE-ISO/IEC 20000-2. Parte 2: Cdigo de prcticas

Gua y recomendaciones relativas a las buenas prcticas de la
Gestin del Servicio
Esta parte debera usarse junto con la parte 1 de la norma ISO/IEC
20000 relativa a las especificaciones
Conocimiento
35
AENOR
Certificacin SGSTI (ISO 20000-1): MODELO PDCA Plan-Do-Check-Act
Poltica, Alcance, Plan de Gestin Servicio
P
Implementar los objetivos y plan de gestin de los servicios
Mejorar la eficacia y la eficiencia de la prestacin

y gestin de los servicios
Adoptar las acciones correctivas

Adoptar las acciones preventivas
ISO 20000-parte 2
(Procesos-Gua)
1.- Gestin del Nivel de Servicio
2-.Informes del Servicio
3.-Gestin de la Capacidad
4.-Gestin de la continuidad y de la
disponibilidad del servicio
5.-Gestin de la Seguridad de la Informacin
6.- Gestin de Presupuestos y contabilidad de
los servicios
7.-Gestin de Incidencias
8.- Gestin de Problemas
9.- Gestin de Configuracin
10.- Gestin del Cambio
11.- Gestin de relaciones con el Negocio
12. Gestin de Proveedores
13: Gestin de la entrega

Auditoras Internas, Mtricas e Indicadores, etc.
C
36
AENOR
Alcance de UNE ISO/IEC 20000
Procesos de Provisin del Servicio

Gestin de la capacidad
Gestin del nivel de servicio
Gestin de la continuidad y
disponibilidad del servicio
Informacin del servicio
Gestin de la Seguridad de la
Informacin
Elaboracin de presupuestos y
contabilidad de los servicios de TI
Procesos de control
Proceso de entrega
Gestin de la configuracin
Gestin del cambio
Gestin de la entrega
Procesos de relaciones
Procesos de resolucin
Gestin de relaciones de negocio
Gestin del incidente
Gestin de suministradores
Gestin del problema
Fte: ISO / IEC 20000. Gua de Bolsillo. itSMF
37
AENOR
Gestin de Continuidad
Gestin del Account
Probar
Construir
Gestin del Nivel de

servicio
USUARIO
(operacional)
Peticin Cambio
RfC
Service Desk
Gestin de
Disponibilidad
Gestin
Financiera
Gestin de
Capacidad
CMDB
Gestin de Cambios
Gestin de
Incidencias
Servicios de Soporte
Diseo y
Gestin del
Servicio
Gestin de
Problemas
Gestin de
Configuracin
PROVEEDORES
CLIENTE
(tctico)
Gestin de Seguridad
Entrega de Servicios
IPW : Workflow de implementacin de procesos
Gestin de
Entrega
Produccin
SERVICIO
Fuente: IPW . Quint Wellington Redwood
38
AENOR

SGCN
UNE 71599-2
Gobierno de TI
ISO / IEC 38500
IT Governance
SPICE ISO 15504

ISO 12207
Software
Adicionalmente:
SGAS - SAM
ISO 19770-1
SGSTI
ISO 20000-1

ISO 20000-2
Gua de Buenas
Prcticas
SGSI
ISO 27001
la Informacin
ISO 27002
Gua de Controles
39
AENOR
Proyectos de Desarrollo
Desarrollo - SDLC
Explotacin
ISO
12207
40
AENOR
AGENDA DEL PROYECTO
Para alcanzar los objetivos del proyecto se han

elaborado una serie de trabajos
1. Estudio sobre la relacin entre ISO/IEC 15504 SPICE y CMMI-DEV v1.2
2. Modelo de niveles de madurez
3. Modelo de evaluacin
4. Portal www.iso15504.es
5. Implantacin de los procesos en las empresas
6. Auditora de Certificacin
41
AENOR
MODELO DE NIVELES DE MADUREZ

MEJORA DE LA CALIDAD
DE LOS PROCESOS
SOFTWARE
42
MODELO DE
PROCESOS
MODELO DE
EVALUACIN
ISO/IEC 12207:2008
ISO/IEC 15504
Procesos
Resultados del Proceso
(RP)
Atributos de Proceso (AP)

Componentes de los
Atributos de Proceso (CAP)
AENOR
PROCESOS DE LOS NIVELES 1 Y 2 DE MADUREZ
Nivel 2 de
madurez
AP 2.1 Gestin de la realizacin

CAP 2.1.1 Definir los objetivos del proceso
CAP 2.1.2 Planificar y controlar el proceso
CAP 2.1.3 Adaptar la realizacin del proceso
CAP 2.1.4 Asignar las responsabilidades del proceso
CAP 2.1.5 Asignar los recursos y la informacin
CAP 2.1.6 Gestionar la comunicacin entre involucrados
AP 2.2 Gestin de los productos de trabajo
CAP 2.2.1 Definir los requisitos para los productos de trabajo
CAP 2.2.2 Requisitos para la documentacin y control
CAP 2.2.3 Identificar, documentar y controlar los productos de trabajo
CAP 2.2.4 Revisar y adaptar los productos de trabajo
Nivel 1 de
madurez
43
Proceso de Suministro
Proceso de Definicin de Requisitos de los
Stakeholders
Proceso de Anlisis de los Requisitos del Sistema
Proceso de Gestin del Modelo de Ciclo de Vida
Proceso de Planificacin del Proyecto
Proceso de Evaluacin y Control del Proyecto
Proceso de Gestin de la Configuracin del Software
Proceso de Gestin de la Configuracin
Proceso de Medicin
Proceso de Aseguramiento de la Calidad del Software
AENOR
PROCESOS DE NIVEL 3 DE MADUREZ
Nivel 3 de madurez
Nivel 2 de madurez
Proceso de Gestin de Infraestructuras

Proceso de Gestin de Recursos Humanos
Proceso de Gestin de la Decisin
Proceso de Gestin de Riesgos
Proceso de Diseo de la Arquitectura del Sistema
Proceso de Integracin del Sistema
Proceso de Anlisis de Requisitos del Software
Proceso de Diseo de la Arquitectura del Software
Proceso de Integracin del Software
Proceso de Verificacin del Software
Proceso de Validacin del Software
Nivel 1 de madurez
44
AENOR
PORTAL Y MATERIAL DE APOYO
Portal www.iso15504.es
Artculos
Foro
Cursos de formacin on line

45
AENOR

SGCN
UNE 71599-2
Gobierno de TI
ISO / IEC 38500
IT Governance
SPICE ISO 15504

ISO 12207
Software
Adicionalmente:
SGAS - SAM
ISO 19770-1
SGSTI
ISO 20000-1

ISO 20000-2
Gua de Buenas
Prcticas
SGSI
ISO 27001
la Informacin
ISO 27002
Gua de Controles
46
AENOR
Sistema de Gestin de Continuidad de Negocio - SGCN

UNE 71599-2
(MOTOR PDCA)
UNE 71599-1
(CONOCIMIENTO CODIGO DE PRACTICA)
1.
2.
3.
47
Aporta al Plan de Continuidad de Negocio -PCN el PDCA

Esta norma UNE-71599-2 es la traduccin al espaol de la norma BS 259992:2007 con las modificaciones indicadas en el prlogo de la norma.
Correspondencia entre las normas ISO 9001, ISO 14001, ISO 27001 y UNE
71599-2
AENOR
Ciclo de PDCA en SGCN

3.
Planificacin
6.
Mantenimien
to y Mejora
4.
Implantacin
y Operacin
5. Supervisin
y Revisin
3. Planificacin (Plan):
definir la poltica de continuidad de negocio, los objetivos, las metas, los
controles, los procesos y los procedimientos correspondientes a la gestin de
riesgos y a la mejora de la continuidad de negocio, con el fin de obtener resultados
acordes con las polticas y objetivos generales de la organizacin
4. Implantacin y Operacin (Do):

Implantar y operar la poltica de continuidad del negocio, los controles, los
procesos y los procedimientos.
BIA
5. Supervisin y Revisin (Check):

Realizar el seguimiento y revisar el rendimiento segn los objetivos y la poltica
de continuidad del negocio, informar de los resultados y de las auditoras a la
direccin de la organizacin para su revisin, y determinar y autorizar las medidas
para su correccin y mejora
6. Mantenimiento y Mejora (Act):

Mantener y mejorar el SGCN mediante la aplicacin de medidas preventivas y
correctivas, basadas en los resultados de la revisin por direccin de la
organizacin y reevaluando el alcance del SGCN, la poltica y los objetivos de
continuidad de negocio
AENOR

SGCN
UNE 71599-2
Gobierno de TI
ISO / IEC 38500
IT Governance
SPICE ISO 15504

ISO 12207
Software
Adicionalmente:
SGAS - SAM
ISO 19770-1
SGSTI
ISO 20000-1

ISO 20000-2
Gua de Buenas
Prcticas
SGSI
ISO 27001
la Informacin
ISO 27002
Gua de Controles
49
AENOR
SAM (UNE ISO/IEC 19770). Gestin de Software como Activo

Garantizar un soporte eficaz a la gestin TIC en general en
materia de software
El software que soporta el modelo de negocio debe ser seguro
Dar confianza a la direccin en la idoneidad de los procesos

La gestin informtica del modelo de negocio debe ser garantizada
Alinear la gestin SAM con la ISO/IEC 20000 , 27001, 9000,

Si la empresa tiene intencin de asegurar la gestin TIC, la seguridad, la calidad,
etc.
la gestin de software es un requisito
50
AENOR
SAM (UNE ISO/IEC 19770). Gestin de Software como Activo
Planificar
Actuar
SAM
Plan
Do
Chek
Act
Planificar
Hacer
Verificar
Actuar
Hacer
Los procesos de cualquier norma ISO / IEC
se adaptan a este ciclo, los de la ISO IEC
19770-1 tambin
Verificar
51
AENOR

SGCN
UNE 71599-2
Gobierno de TI
ISO / IEC 38500
IT Governance
SPICE ISO 15504

ISO 12207
Software
Adicionalmente:
SGAS - SAM
ISO 19770-1
SGSTI
ISO 20000-1

ISO 20000-2
Gua de Buenas
Prcticas
SGSI
ISO 27001
la Informacin
ISO 27002
Gua de Controles
52
AENOR
Definiciones Bsicas
Gobierno Corporativo de TI (Corporate governance of IT)
El sistema mediante el cual se dirige y controla el uso actual y
futuro de las TI. (Plan de negocio Plan de TI)
Gestin de las TI (IT Management)
El sistema de procesos y/o controles requeridos para lograr los
objetivos establecidos por la Direccin. (Negocio).
La direccin, planificacin, diseo, desarrollo, implantacin,
operacin y mantenimiento de las TI para satisfacer las
necesidades de la empresa.
53
AENOR
Modelo de Gobierno Corporativo de TI

La direccin ha de gobernar las TI mediante 3 tareas principales:
Evaluar
Dirigir
Monitorizar
54
AENOR
Beneficios del Gobierno de TI
Establece un modelo para el Gobierno de TI, basado en Dirigir, Monitorizar y

Evaluar.
Este estndar establece 6 principios para la eficacia, eficiencia y uso aceptable

de las TI.
Este estndar asegura que las organizaciones realizan un adecuado estudio de

riesgos y evalan nuevas oportunidades en el uso de las TI.
Este estndar fomenta el uso de otros estndares para apuntalar la gestin de

las TI (PDCA y CITI Control Interno Tecnologas Informacin)
Este estndar deja claro que se debe cumplir con la legislacin vigente
Este estndar es un subconjunto del Gobierno Corporativo de las empresas /

instituciones.
55
AENOR
Proceso de Certificacin segn ISO 17021 e ISO 19011

Informe
fase 1
FASE 1: PLANIFICACIN DE LA AUDITORA Y

ESTUDIO DE DOCUMENTACIN (presencial)
Auditoras de mantenimiento de la
certificacin
CUESTIONARIO
PRELIMINAR Y SOLICITUD
56
AUDITORAS DE
RENOVACIN
(AL TERCER AO)
AENOR
Auditora de Certificacin
(ISO 17021 e ISO 19011)
Informe
final
Hoja de datos
Alcance : de acuerdo
al XXX vigente
ELABORACIN DEL PLAN DE ACCIONES

CORRECTIVAS - PAC
AUDITORAS DE
SEGUIMIENTO
(AL SEGUNDO AO)
AUDITORAS DE
SEGUIMIENTO
(AL PRIMER AO)
FASE 2:
REALIZACIN DE
LA AUDITORA (presencial)
REGISTRAR LOS
RESULTADOS
Informe de
Evaluacin y
Decisin
CONCESIN DEL
CERTIFICADO
AENOR
Proceso de Certificacin en el modelo de ISO en las TICs

Evaluacin y Decisin
Manteniendo una estructura que permita
independencia e imparcialidad, en la toma de
decisiones para la concesin o no de una
certificacin se establecen tres niveles:
Decisin
(Concesin / no concesin)
Coordinador TICs - Comit
TRE (Tcnico Responsable Expediente)
Auditor Jefe
57
Revisin de Propuesta
Propuesta
AENOR
AENOR e ISO 27001 en la actualidad

Evolucin hasta 2011
CERTIFICACIONES EMITIDOS SGSI (2004 - actualmente)
350
300
311
294
250
200
202
TOTAL ANUAL
TOTAL
150
100
50 4
4
0
2004
99
7 11
2005
23
34
2006
55
21
2007
103
44
92
17
2008
2009
2010
2011
Destacar como empresas certificadas: BT, UNICAJA, TELEFONICA, INDRA, GMV, FCC, IBERIA, SANITAS,
IECISA, TECNOCOM, MINISTERIO DE SANIDAD, ORG.NAC.TRASPLANTES, S21SEC, NEXTEL, INTECO,
FRATERNIDAD MUPRESPA, KUTXA, CAJASTUR, TELECABLE, UPCNET, UNIV.JAIME I, OHL, SIA,etc.
58
AENOR
AENOR e ISO 20000-1 en la actualidad

Destacar como empresas certificadas TELEFONICA, INDRA, BANKIA, EL CORTE INGLES, SIEMENS
CEPSA, TECNOCOM, BULL, IECISA, SIA, GMV,, etc..
59
AENOR
Acreditacin de AENOR - SGSI
60
AENOR
Miembros
61
AENOR
Bibliografa ISO 20000-1 / ISO 27001
62
AENOR
Futuro y conclusiones en Sistemas de Gestin en las TICs.

Aspectos a considerar:
El control interno de Tecnologas de Informacin no es

una moda.
El Sistema de Gestin en las TICs ayuda a gestionar el

control interno de Tecnologas de la Informacin
alineado e integrado con los objetivos del negocio y el
cumplimiento normativo legal y sectorial.
El PDCA-motor y el conocimiento-control interno de

TI, cumpliendo objetivos de negocio.
63
AENOR
Sistemas de Gestin en las TICs. Una historia reciente
La simplicidad es la mayor de las sofisticaciones

Leonardo Da Vinci
64
AENOR
Un nuevo reto en las TICs

PDCA Ciclo de mejora Continua (Deming) - Integrado y alineado con los
Objetivos del Negocio.
En conclusin: Dormir tranquilo el/la CIO?

GRACIAS
AENOR
Carlos Manuel FERNNDEZ.CISA,CISM.
Coordinador de TICs (AENOR).
cmfernandez@aenor.es
AENOR Direccin de Desarrollo

Tel.: 914326004 618 779 487
65
AENOR

Normas (Estándares) ISO Relativas A TICs

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Normas (Estándares) ISO Relativas A TICs

Uploaded by

Copyright:

Available Formats

Normas (estndares) ISO relativas a TICs

Modelo de ISO en las TICs

Carlos Manuel FERNNDEZ

Que son las Normas vs Google.

AENOR Datos relevantes

Certificados ISO 9000

Ms de 45 Acuerdos internacionales para certificacin de

Ms de 40 Pases donde AENOR concedido certificados

International Electrotechnique Commission (IEC)

European Committee for Electrotechnique Standardisation

Comisin Pan-Americana Normas

European Institute for

Centro de Proceso de Datos o Tecnologas de Informacin y Comunicaciones

LAS TICs COMO APOYO A LA GESTION E INNOVACION EN LAS EMPRESAS

BUSINESS PLAN = PLAN DE TICS

Fte: UPSAM - Carlos Manuel Fernndez

Modelo ISO para las TICs y otros entornos

Sistema de Gestin Continuidad del Negocio.

Nivel de Madurez. Ciclo de Vida de SW

SPICE ISO 15504

Sistema de Gestin Activos Software

Sistema de Gestin Servicios TI

Copyright AENOR. Diciembre 2006

Concepto de Motor Conocimiento TICs

Fte: tesis doctoral Carlos Manuel Fernndez

MODELO PDCA. (Motor PDCA-1 y Conocimiento-2)

Implantar plan de gestin

GUIAS DE BUENAS PRACTICAS -2

Descripcin genrica de un proceso

Nota: es conveniente la utilizacin de workflows en el proceso

Gestin de las TICs con criterios de negocio

El tiempo de los Procesos en las TICs

Cmo perciben los ejecutivos los Sistemas de Informacin

Cuando el EL CIO (chief Information Officer) es esencial

Cmo se realizan los pilotos en AENOR DD

Hitos ms relevantes en ISO 27001

Sistema de Gestin Continuidad del Negocio.

Nivel de Madurez. Ciclo de Vida de SW

SPICE ISO 15504

Sistema de Gestin Activos Software

Sistema de Gestin Servicios TI

Copyright AENOR. Diciembre 2006

Factores que influyen en la Seguridad de los SI

Factores que influyen en la Seguridad de los SI

Informe de Riesgos en las TICs

Un 5% dice que tienen acceso a areas de la red corporativa que

Beneficios del SGSI

1. El SGSI , incorpora un anlisis de riesgos de los Activos de sistemas de Informacin

Beneficios del SGSI

Beneficios del SGSI

7. Los auditores de AENOR tienen como mnimo 5 aos de experiencia en TICs y ms

ISO 27001: SG de la Seguridad de la Informacin

Definicin de SGSI: sistema general de gestin que comprende la poltica, la estructura

Reordenar la Seguridad de los SI.

Propiedades principales asociadas a la Informacin

Asegurar que los usuarios

Asegurar que la informacin es

La gestin eficaz de la Seguridad de la Informacin permite a la

SGSI - UNE ISO 27001. MODELO PDCA

Implantar plan de gestin de riesgos

ISO IEC 27002 / Anexo A. ISO IEC 27001

A.5 Poltica de Seguridad de

Adoptar las acciones correctivas