Normas (Estándares) ISO Relativas A TICs PDF

Normas (estndares) ISO relativas a TICs
Modelo de ISO en las TICs
Carlos Manuel FERNNDEZ

Coordinador de TICs (AENOR)
Ing. en Informtica. CISA, CISM.

MBA CECO.
Vocal de la junta Directiva del Colegio
Profesional de Ingenieros en
Informatica de Madrid.
Profesor universitario de UPSAM.
1
Enero 2012
AENOR
INDICE
ndice
Que son las Normas vs Google.

Teora del caos vs AENOR-Desarrollo Estratgico
Gestin de las TICs : Gestin del CITI (incluyendo PDCA)
Gobierno de TI ISO/IEC 38500 Aspectos bsicos
Certificacin de Sistemas de Gestinsegn ISO 17021
Futuro de las TICs con ISO
2
AENOR
AENOR
Asociacin privada de Normalizacin y
Certificacin
AENOR es el representante de ISO en Espaa
y algunos pases de Latinoamrica.
Sin nimo de lucro
Constitucin: 1986
Real decreto 2200/95
AENOR Corporacin
AENOR INTERNACIONAL (12 filiales)
AENOR Mxico ( +10 aos en Mxico DF y
Delegaciones)
Multisectorial
Normalizacin
Certificacin productos, servicios, sistemas de
gestin y personal
Servicios de Formacin
AENOR es miembro de IQNET
3
AENOR
AENOR Datos relevantes
Calidad y Seguridad Medioambiente
25.300 Certificados ISO 9000
1.200 Certificados OHSAS 18001
+ 300 Certificados IS0 27001 6.220 Certificados ISO 14000
+ 95 Certificados ISO 20000-1 558 Certificados EMAS
23 Certificados SPICE nivel 2
1 Certificados SPICE nivel 3
Producto Normalizacin
Ms de 89.570 Certificados Ms de25.000 Normas (UNE

y Ratificadas)
Internacional Recursos Humanos

500 Auditores/25 auditores TICs
Ms de 45 Acuerdos internacionales para certificacin de
sistemas
Cambio Climtico
Ms de 40 Pases donde AENOR concedido certificados
Ms de 200 proyectos MDL, AC y Voluntarios
4
AENOR
AENOR N+C
AENOR N+C
Normalizacin
International Standardisation
Organisation (ISO)
International Electro- European Committee for Electro-

technique Commission (IEC) technique Standardisation
(CENELEC)
Comisin Pan-Americana Normas European Institute for

Tcnicas (COPANT) Telecommunications
Standardisation (ETSI)
Certificacin
Certification World Net (IQNet)
5
AENOR
Centro de Proceso de Datos o Tecnologas de Informacin y Comunicaciones
Es un Conjunto de:
- Personas (Humanware)
- Sistemas o Tecnologas (Base de Datos, software,
aplicaciones, Hardware, Telecomunicaciones y sala
de servers e infraestructura).
- Procesos
6
AENOR
LAS TICs COMO APOYO A LA GESTION E INNOVACION EN LAS EMPRESAS
New Business and Tools for Business

To CEOs & CIOs
B2C WEB 1.0 Portal Corporativo e-Branding

Redes Sociales e-Mailing
B2B WEB 2.0 e-Learning
Wikis
WEB 3.0?
MOBILITY GIS CRM CLOUD COMPUTING

Pdas RFID ERP SaaS (Software As A Service)
Smartphone SCM IaaS (Infraestructure As A Service)
Blakberry / Iphone / HTC PaaS (Platform As A Service)
BUSINESS PLAN = PLAN DE TICS

(Integracin y Alineamiento)
FACTORIA DE TICs
(Nuevos Servicios y Operaciones de TICs)
7
Fte: UPSAM - Carlos Manuel Fernndez AENOR
Modelo ISO para las TICs y otros entornos
Objetivo: Gobierno y Gestin de las TICs con estndares ISO.
SGCN Gobierno de TI
UNE 71599-2 ISO / IEC 38500
Sistema de Gestin Continuidad del Negocio. IT Governance
Desarrollo de Software Procesos / Servicios
Nivel de Madurez. Ciclo de Vida de SW SGAS - SAM SGSTI

SPICE ISO 15504 ISO 19770-1 ISO 20000-1
Modelo de Evaluacin, Mejora y Madurez de Software Sistema de Gestin Activos Software Sistema de Gestin Servicios TI
ISO 12207 ISO 20000-2

Ciclo de Vida de Desarrollo de Gua de Buenas
Software Prcticas
SGSI
Adicionalmente: ISO 27001
Datacenter Green. Gestin. Sistema de Gestin Seguridad de
la Informacin
BPCE Buenas Prctica Comercio Electrnico
SWO Gestin del Software Original
ISO 27002
Gua de Controles
Copyright AENOR. Diciembre 2006
8 AENOR
Concepto de Motor Conocimiento TICs
G
PDCA UI
A
Motor
S
M
E D
E
T SGSI SGSTI
ISO.. ISO..
R ISO 27001 ISO 20000-1
I
I M
Conocimiento PL
C A
LIBRERA N
ISO 20000-2
A ISO27002 INFRAESTRUCTURA ? T
(ITIL) A
CPD
S CI
O
N
Fte: tesis doctoral Carlos Manuel Fernndez
9
AENOR
MODELO PDCA. (Motor PDCA-1 y Conocimiento-2)
Identificar Objetivos del Negocio (medibles) Implantar plan de gestin
Tener apoyo de la Direccin
Definir poltica
Establecer alcance del al SG
P (tareas, actividades, PERT, GANTT, etc.)
Implantar el SG
Implantar los procesos/procedimientos/controles
Seleccionar procesos/procedimientos/controles Asignar recursos
Formacin y Concienciacin
A GUIAS DE BUENAS PRACTICAS -2

CONOCIMIENTO
REPOSITORIO DE PROCESOS / PROCEDIMIENTOS / CONTROLES
D
Aplicar mejora continua
Plan y Adoptar las acciones correctivas
Monitorizar el SG
Plan y Adoptar las acciones preventivas
Revisar internamente el SG
Realizar auditorias internas del SG
C Indicadores y Mtricas
Revisin por Direccin
10
AENOR
Descripcin genrica de un proceso
Relaciones con otros procesos
PROCESO
-Tareas / Actividades
Entradas - Procedimientos
Salidas
-Instrucciones Tcnicas
- Registros (evidencias)
Nota: es conveniente la utilizacin de workflows en el proceso
Indicadores / mtricas
Un proceso es un conjunto estructurado de actividades diseado para cumplir un objetivo
concreto. Un proceso tiene entradas y salidas. Las organizaciones que persiguen la eficacia en
su funcionamiento tienen que identificar y gestionar numerosos procesos que estn
relacionados entre s, ya que es frecuente que la salida de un proceso pase directamente a ser
la entrada del siguiente proceso.
11 AENOR
Gestin de las TICs con criterios de negocio
Informe Penteo:
Slo un 21% de las cas gestionan el Dpto. de SI con criterios de
negocio
31 % gestionan el dpto. de SI slo con criterios tecnolgicos
48 % gestionan con criterios hbridos
Conclusiones:
La Direccin de las cas. Tiene una percepcin ms positiva de los
CIOs que siguen criterios de Negocio. Les dan el rol de lderes
contribuidores de negocio en un 58%
La Gestin de las TICs mejora el posicionamiento del dpto. de SI y
del CIO
En un futuro los CIOS ms gestores y menos tecnlogos
(Encuesta a: 85 Directores de TICs, 36 Dir. Generales y 12 Presidentes)
12
AENOR
El tiempo de los Procesos en las TICs
80s (mecanizar operaciones)

90s (Help Desk y control presupuestario)
Finales 90s (E-Commerce y marketplace)
XXI- (ITIL, CMMI, COBIT, ISO, etc..) : definir, medir y
analizar: Ciclo Mejora Continua. Los procesos en
TICs:incrementando el desarrollo de productos e
innovacin)
CIOs se convierten en CPOs (Chief Process Officers)
integrados con los objetivos del negocio.
Fuente: David Flint. Vice President de Gartner. Research. (Junio -2008).
13
AENOR
Cmo perciben los ejecutivos los Sistemas de Informacin
71% de los ejecutivos estn de acuerdo que es una

palanca las TI para transformar el negocio
62% creen que las TICs deben focalizarse en la
innovacin de los procesos de negocio
66% estn de acuerdo que las TICs han implicado una
gestin de riesgos ms compleja en las corporaciones.
Fuente: Ernst&Young study What next for the CIO? (Enero 2011).
Una solucin al gobierno y la gestin de las TICs es el modelo de AENOR de ISO en las
TICs donde se realiza el gobierno y la gestin de las TICs alineadas con los objetivos
de negocio.
14
AENOR
Cuando el EL CIO (chief Information Officer) es esencial
Conclusiones del Estudio Mundial de CIOs 2011 de IBM
(EN BASE A ENTREVISTAS PERSONALES CON MS DE 3000 CiOs DE TODO EL MUNDO)
-Los CIOs piensan actualmente ms parecido a los CEOs.

-Los Cios ayudan a enfrentarse a la complejidad , simplificando operaciones, los procesos de negocio, los
productos y servicios.
- Los CIOs para incrementar la competitividad : Planes visionarios que incluyen la analtica y la inteligencia del
negocio (BI) el 83% , soluciones de movilidad el 74% y virtualizacin el 68%, etc...
-Solucin de IBM (con los Mandatos del CIO) que es como se ve el rol del CIO.
Potenciar
Proveedor de servicios de TI, para una mayor eficacia en la organizacin.
Expandir
Liderar las operaciones de TI para unos mejores procesos de negocio y la colaboracin en la empresa.
Transformar
Mejorar la cadena de valor sectorial mejorando las relaciones con clientes, partners y clientes internos.
Explorar
Pioneros, redisear productos, mercados y modelos de negocio.
-En conclusin: Los CEOs en el 2010 clasificaron los factores tecnolgicos como la segunda fuerza externa ms
importante que impactara en sus organizaciones. (1 Factores de Mercado y/o Factores macroeconmicos)
15
AENOR 15
Cmo se realizan los pilotos en AENOR DD
Hitos ms relevantes en ISO 27001
En el ao 2004 se publica la UNE 71502 con las ISO 17799.

Piloto con la PNE-UNE 71502 con una empresa del sector financiero: durante
el primer cuatrimestre del 2004. (EUROFACTOR HISPANIA, S.A. E.F.C.)
En 2006 lanzamiento de ISO 27001, similar a UNE 71502. AENOR migras la
compaas certificadas en UNE 71502 a ISO 27001.
Pilotos con ETICOM (Asociacin TIC de Andaluca), ClusterTIC (Asturias), etc.
durante los aos 2005-2007 mediante planes Avanza, etc.
Road-Show por toda Espaa durante los aos 2006-2010 del SGSI por AENOR
Acreditados por ENAC para el SGSI desde 2008
Publicacin en 2009 por AENOR Ediciones y Start-up: Gua de Aplicacin de la
Norma UNE-ISO/IEC 27001 sobre seguridad en Sistema de Informacin para pymes (en
base a la experiencia de implantacin en +40 pymes)
16
AENOR
Modelo ISO para las TICs y otros entornos (como un CIO duerme tranquilo/a)
SGCN Gobierno de TI
UNE 71599-2 ISO / IEC 38500

SPICE ISO 15504 ISO 19770-1 ISO 20000-1
ISO 12207 ISO 20000-2

Software Prcticas
SGSI
la Informacin
ISO 27002
Gua de Controles
17 AENOR
Factores que influyen en la Seguridad de los SI
Actualmente: Nueva York y en los 80s :

Mainframe Ciudad de vila. Magerit
Amplio uso de la Tecnologa.
Interconectividad de los sistemas. Sistemas abiertos y
distribuidos.
Cambios muy rpidos en las TICs.
Ataques a Organizaciones. Tema atractivo?.
Factores externos: Legislacin .etc...
(Information Security Governance. 2001. IT Governance Institute).
18
AENOR
Factores que influyen en la Seguridad de los SI
Actualmente: Nueva York y en los 80s :

Mainframe Ciudad de vila. Magerit
Amplio uso de la Tecnologa.
Interconectividad de los sistemas. Sistemas abiertos y
distribuidos.
Cambios muy rpidos en las TICs.
Ataques a Organizaciones. Tema atractivo?.
Factores externos: Legislacin .etc...
(Information Security Governance. 2001. IT Governance Institute).
19
AENOR
Informe de Riesgos en las TICs
Uno de cada 5 empleados deja a su familia y amigos usar sus

porttiles corporativos para acceder a Internet. (21%).
Uno de cada diez confiesa que baja algn tipo de contenido

que no debiera mientras est en el trabajo.
Dos tercios admiten tener conocimientos muy limitados en

materia de seguridad.
Un 5% dice que tienen acceso a areas de la red corporativa que

no deberan tener.
Fuente: McAffee.
20
AENOR
Beneficios del SGSI (1 de 3)
1. El SGSI , incorpora un anlisis de riesgos de los Activos de sistemas de Informacin
que dan soporte a los procesos de negocio (exigencia de la certificacin de SGSI de
AENOR) , esto conlleva a tener una interrelacin entre todas las reas de negocio de
la organizaciones y las TICs. Hablar un lenguaje de Seguridad de SI orientado a los
objetivos del negocio.
2. Orientar lo presupuestos de seguridad de SI a donde la organizacin tiene mayor

riesgos segn sus procesos de negocio. (Orientacin de la certificacin SGSI de
AENOR).
3. El presupuesto de Seguridad de SI sale del anlisis de Riesgos. Ahorro de costes de

Seguridad de SI superfluos.
21
AENOR
4. A las empresas de outsourcing y/o proveedores de TICs ser una exigencia del
mercado. Espaa ocupa el 5lugar en el mundo en certificaciones de SGSI. El lder en
Espaa de certificaciones es AENOR , empezamos en el 2004,con ms de 300
empresas certificadas en Espaa, Latinoamrica, Europa, etc.).
5. La inclusin del PDCA en el SGSI implica una gestin pragmtica de la Seguridad

de SI, aprendiendo de las incidencias de seguridad de SI y gestionando las
adecuadamente.
6. La auditora de certificacin de concesin y las auditoras de seguimiento de

AENOR son una herramienta de la Direccin de las organizaciones para comprobar
que el SGSI cumple con los objetivos de Seguridad de SI y con lo objetivos de
negocio. Adems de ser un benchmark al tener esa experiencia los auditores de AENOR
de SGSI, en mltiples empresas
22
AENOR
7. Los auditores de AENOR tienen como mnimo 5 aos de experiencia en TICs y ms

de 2 aos de experiencia en Seguridad de SI. Son titulados universitarios del sector
TICs y la mayora son CISA a nivel mundial. (Certified Information System Auditor)
8. AENOR esta acreditado por ENAC (Entidad Nacional de Acreditacin) para la

certificacin SGSI (solo 2 entidades de certificacin estn acreditadas por ENAC en
Espaa para el SGSI). Adems de la certificacin de AENOR damos la certificacin
IQNET.(Asociacin Internacional de entidades certificadoras a nivel mundial, con
reconocimiento mutuo)
23
AENOR
ISO 27001: SG de la Seguridad de la Informacin
Solucin a los Riesgos Empresariales, Decisin estratgica de la organizacin

Definicin de SGSI: sistema general de gestin que comprende la poltica, la estructura
organizativa, los procedimientos, los procesos, y los recursos necesarios para implantar
la gestin de la seguridad de la informacin
Modelo para la definicin, implementacin, operacin, revisin, mantenimiento y
mejora del SG de la SI.
Reordenar la Seguridad de los SI.
Sigue pautas de ISO 9001 e ISO 14001.
Para todo tipo de organizaciones.
En el marco de los riesgos empresariales generales.
Fin, seleccionar controles de seguridad, adecuados y proporcionados.
Enfoque por procesos, y para la mejora contnua.
La herramienta de que dispone la Direccin para implantar las polticas y objetivos de Seguridad de
la Informacin.
Permite, establecer y reordenar la Seguridad de los Sistemas de Informacin en concordancia con los
Planes Estratgicos de la Organizacin y con sus Polticas de Seguridad.
24
AENOR
Propiedades principales asociadas a la Informacin
DISPONIBILIDAD CONFIDENCIALIDAD
Asegurar que los usuarios Asegurar que la informacin es

autorizados tienen acceso accesible solo para aquellos
cuando lo requieran a la autorizados a tener acceso.
informacin y sus activos
asociados.
INTEGRIDAD
Garantizar la exactitud y
completitud de la informacin
y los mtodos de su proceso
La gestin eficaz de la Seguridad de la Informacin permite a la

organizacin preservarlas.
25
AENOR
SGSI - UNE ISO 27001. MODELO PDCA
Definir poltica de seguridad

Establecer alcance del al SGSI P
Realizar anlisis de riesgos Implantar plan de gestin de riesgos
Seleccionar los controles Implantar el SGSI
Implantar los controles
ISO IEC 27002 / Anexo A. ISO IEC 27001
A.10 Gestin de comunicaciones y

A A.5 Poltica de Seguridad de
operaciones
A.11 Control de accesos
Informacin A.12 Desarrollo y mantenimiento de
A.6 Estructura organizativa de la SI sistemas
A.7 Clasificacin y control de activos
A.8 Seguridad ligada al personal
A.13 Gestin de Incidentes de
Seguridad
D
A.9 Seguridad fsica y del entorno A.14 Gestin Continuidad de Negocio
A15 Conformidad y Cumplimiento
legislacin
Adoptar las acciones correctivas

Adoptar las acciones preventivas
Revisar internamente el SGSI
Realizar auditorias internas del SGSI
C Indicadores y Mtricas
26 Revisin por Direccin
AENOR
Gestin de riesgos Implantacin de controles
Procesos de Negocio
Activos de SI Anlisis y Gestin de riesgos Riesgo Residual

Sistemas de R=F(X1,X2,X3,Xn) Activo1-------R1
informacin (aplicativos) Integridad (X1)
Software Confidencialidad (X2) Activo2-------R2
Hardware Disponibilidad (X3)
Aplicando
Telecomunicaciones Amenazas (X4)
ISO/IEC 27002
Personas Vulnerabilidades (X5)
(Seleccin de
Impacto Econmico (X6)
Controles)
XN
27
AENOR
SGSI Anexo a. ISO 27001 / ISO-IEC 27002: Objetivos y Controles
Cada rea o dominio tiene asociados uno o varios objetivos de seguridad.
Para cada objetivo se definen, a su vez, uno o ms controles de seguridad

cuya implantacin debe traducirse en la consecucin del objetivo de
seguridad asociado
11 REAS
39 OBJETIVOS
CONTROL
133 CONTROLES
28
AENOR
SGSI Anexo a. ISO 27001 / ISO-IEC 27002: Objetivos y Controles
29
AENOR
La documentacin del SGSI
Nivel 1 Manual de seguridad

Poltica(s), alcance
evaluacin de riesgo,
declaracin de aplicabilidad
Nivel 2 Procedimientos
Describe procesos - quin, qu, cundo,
dnde (4.1- 4.10)
Instrucciones de trabajo,
Nivel 3 Describe las tareas y las actividades especficas y listas de comprobacin,
cmo se realizan formularios, etc.
Nivel 4 Proporciona las pruebas objetivas del cumplimiento con las

exigencias del SGSI (clusula 4.3.2-4.3.3) Registros
IMPORTANTE: diferenciar entre procedimiento y registro:
Procedimiento: forma especfica de llevar a cabo una actividad o proceso

Registro (record): resultado de la aplicacin de los procedimientos
30
AENOR
Factores crticos para el xito
Una seguridad orientada al negocio

Implementar la Seguridad en consonancia con la cultura de la empresa
Apoyo visible y compromiso de la Direccin.
Buen entendimiento de los requisitos de seguridad, de la evaluacin y
gestin de los riesgos.
Convencer de la necesidad de la seguridad a directivos y empleados.
Proveer formacin y guas sobre polticas y normas a toda la
organizacin.
Un sistema de medicin para evaluar el rendimiento de la gestin de la
seguridad y sugerir mejoras.
31
AENOR
SGCN Gobierno de TI
UNE 71599-2 ISO / IEC 38500

SPICE ISO 15504 ISO 19770-1 ISO 20000-1
ISO 12207 ISO 20000-2

Software Prcticas
SGSI
la Informacin
ISO 27002
Gua de Controles
32 AENOR
Experiencias en ISO/IEC 20000-1. Una historia reciente
Hitos ms relevantes
En Junio 2007 se traspone la ISO/IEC 20000-1:2005 a norma UNE-ISO/IEC 20000-
1:2007 (A instancias del captulo espaol de itSMF)
Piloto con grandes corporaciones: durante el periodo de 2006 y 2007 se realiza
piloto con Telefnica Soluciones y El Corte Ingls (Centro de Clculo). El 21 de
Junio de 2007 AENOR certifica a estas 2 grandes corporaciones espaolas.
Piloto con 16 empresas TICs en el segmento de Mediana y Pequea empresa
con las asociaciones: CONETIC y GAIA. Con la colaboracin de NEXTEL. Dentro
del plan avanza con subvencin del MICYT durante el periodo 2008 y 2009. En
Diciembre 2009 se certifican las 16 empresas.
Proyecto AGESTIC 2009 para ISO 20000-1 (Plan Avanza)
Publicacin en 2010 por AENOR Ediciones y Telefnica del libro: ISO/IEC 20000
Gua completa de aplicacin para la gestin de los servicios y tecnologas de la informacin.
Publicacin en 2010 por AENOR Ediciones, MICYT. el libro: ISO/IEC 20000 para
pymes. Como implantar un sistema de gestin de los servicios de tecnologas de la informacin
33
AENOR
UNE -ISO 20000 Gestin de Servicios TI
Alcance: Que un proveedor de servicios de TI (CPD) provea
servicios gestionados de una calidad aceptable para sus
clientes
Se basa: en ITIL es un estndar internacional , que es un
conjunto de buenas prcticas en la Gestin del Servicio de TI,
desarrollado por la Office of Goverment Comerce (UK)
Beneficios de ISO 20000-ITIL:
Maximizar la Calidad del servicio
Alinear los servicios de TI a las necesidades del negocio
Reducir Costes
Aumentar la satisfaccin del Cliente
Visin clara de la capacidad del departamento de TI
Minimizar el tiempo de ciclo de cambios y mejorar resultados en base a
mtricas
Toma de decisiones en base a indicadores de negocio y de TI
34 AENOR
UNE -ISO 20000 Gestin de Servicios TI
Est formada por dos partes bajo el mismo ttulo:

Tecnologas de la Informacin Gestin del Servicio
UNE-ISO/IEC 20000-1. Parte1: Especificacin
Promueve la adopcin de un marco de procesos de gestin, para
una provisin de servicios gestionados que estn en lnea con:
las necesidades del negocio
con los requisitos de los clientes
Motor
UNE-ISO/IEC 20000-2. Parte 2: Cdigo de prcticas
Gua y recomendaciones relativas a las buenas prcticas de la
Gestin del Servicio
Esta parte debera usarse junto con la parte 1 de la norma ISO/IEC
20000 relativa a las especificaciones
Conocimiento
35
AENOR
Certificacin SGSTI (ISO 20000-1): MODELO PDCA Plan-Do-Check-Act
Poltica, Alcance, Plan de Gestin Servicio

P
Implementar los objetivos y plan de gestin de los servicios
ISO 20000-parte 2
(Procesos-Gua)
A 1.- Gestin del Nivel de Servicio
2-.Informes del Servicio
3.-Gestin de la Capacidad
4.-Gestin de la continuidad y de la
disponibilidad del servicio
5.-Gestin de la Seguridad de la Informacin
6.- Gestin de Presupuestos y contabilidad de
los servicios
D
7.-Gestin de Incidencias
Mejorar la eficacia y la eficiencia de la prestacin 8.- Gestin de Problemas
9.- Gestin de Configuracin
y gestin de los servicios 10.- Gestin del Cambio
11.- Gestin de relaciones con el Negocio
12. Gestin de Proveedores
Adoptar las acciones correctivas 13: Gestin de la entrega
Adoptar las acciones preventivas
Revisin por Direccin
Auditoras Internas, Mtricas e Indicadores, etc.
C
36
AENOR
Alcance de UNE ISO/IEC 20000
Procesos de Provisin del Servicio

Gestin de la capacidad Gestin del nivel de servicio Gestin de la Seguridad de la
Informacin
Gestin de la continuidad y Informacin del servicio
disponibilidad del servicio Elaboracin de presupuestos y
contabilidad de los servicios de TI
Procesos de control
Gestin de la configuracin
Proceso de entrega Gestin del cambio
Gestin de la entrega Procesos de relaciones
Procesos de resolucin Gestin de relaciones de negocio
Gestin del incidente Gestin de suministradores
Gestin del problema
Fte: ISO / IEC 20000. Gua de Bolsillo. itSMF
37
AENOR
IPW : Workflow de implementacin de procesos
CLIENTE Gestin de Continuidad
(tctico)
Entrega de Servicios
Gestin del Account
Gestin de Seguridad
Probar Construir Diseo y Gestin de
Gestin del Disponibilidad
Servicio
Gestin del Nivel de
servicio Gestin Gestin de
Financiera Capacidad
USUARIO
PROVEEDORES
Peticin Cambio CMDB
(operacional)
RfC
Gestin de Cambios
Gestin de
Incidencias Gestin de
Problemas
Servicios de Soporte
Service Desk
Gestin de
Configuracin
Gestin de
Entrega
Produccin
SERVICIO
Fuente: IPW . Quint Wellington Redwood

38
AENOR
SGCN Gobierno de TI
UNE 71599-2 ISO / IEC 38500

SPICE ISO 15504 ISO 19770-1 ISO 20000-1
ISO 12207 ISO 20000-2

Software Prcticas
SGSI
la Informacin
ISO 27002
Gua de Controles
39 AENOR
Proyectos de Desarrollo
Desarrollo - SDLC Explotacin

ISO
12207
40
AENOR
AGENDA DEL PROYECTO
Para alcanzar los objetivos del proyecto se han

elaborado una serie de trabajos
1. Estudio sobre la relacin entre ISO/IEC 15504 SPICE y CMMI-DEV v1.2
2. Modelo de niveles de madurez
3. Modelo de evaluacin
4. Portal www.iso15504.es
5. Implantacin de los procesos en las empresas
6. Auditora de Certificacin
41
AENOR
MODELO DE NIVELES DE MADUREZ
MEJORA DE LA CALIDAD
DE LOS PROCESOS
SOFTWARE
MODELO DE MODELO DE
PROCESOS EVALUACIN
ISO/IEC 12207:2008 ISO/IEC 15504

Procesos Atributos de Proceso (AP)
Resultados del Proceso Componentes de los
(RP) Atributos de Proceso (CAP)
42
AENOR
PROCESOS DE LOS NIVELES 1 Y 2 DE MADUREZ
AP 2.1 Gestin de la realizacin
CAP 2.1.1 Definir los objetivos del proceso
CAP 2.1.2 Planificar y controlar el proceso
CAP 2.1.3 Adaptar la realizacin del proceso
CAP 2.1.4 Asignar las responsabilidades del proceso
Nivel 2 de CAP 2.1.5 Asignar los recursos y la informacin
madurez CAP 2.1.6 Gestionar la comunicacin entre involucrados
AP 2.2 Gestin de los productos de trabajo
CAP 2.2.1 Definir los requisitos para los productos de trabajo
CAP 2.2.2 Requisitos para la documentacin y control
CAP 2.2.3 Identificar, documentar y controlar los productos de trabajo
CAP 2.2.4 Revisar y adaptar los productos de trabajo
Nivel 1 de
madurez
Proceso de Suministro
Proceso de Definicin de Requisitos de los
Stakeholders
Proceso de Anlisis de los Requisitos del Sistema
Proceso de Gestin del Modelo de Ciclo de Vida
Proceso de Planificacin del Proyecto
Proceso de Evaluacin y Control del Proyecto
Proceso de Gestin de la Configuracin del Software
Proceso de Gestin de la Configuracin
Proceso de Medicin
43 Proceso de Aseguramiento de la Calidad del Software
AENOR
PROCESOS DE NIVEL 3 DE MADUREZ
Proceso de Gestin de Infraestructuras

Nivel 3 de madurez
Proceso de Gestin de Recursos Humanos
Proceso de Gestin de la Decisin
Proceso de Gestin de Riesgos
Proceso de Diseo de la Arquitectura del Sistema
Proceso de Integracin del Sistema
Nivel 2 de madurez Proceso de Anlisis de Requisitos del Software
Proceso de Diseo de la Arquitectura del Software
Proceso de Integracin del Software
Proceso de Verificacin del Software
Proceso de Validacin del Software
Nivel 1 de madurez
44
AENOR
PORTAL Y MATERIAL DE APOYO
Portal www.iso15504.es
Artculos
Foro
Cursos de formacin on line

45
AENOR
SGCN Gobierno de TI
UNE 71599-2 ISO / IEC 38500

SPICE ISO 15504 ISO 19770-1 ISO 20000-1
ISO 12207 ISO 20000-2

Software Prcticas
SGSI
la Informacin
ISO 27002
Gua de Controles
46 AENOR
Sistema de Gestin de Continuidad de Negocio - SGCN
UNE 71599-2
(MOTOR PDCA)
UNE 71599-1
(CONOCIMIENTO CODIGO DE PRACTICA)
1. Aporta al Plan de Continuidad de Negocio -PCN el PDCA

2. Esta norma UNE-71599-2 es la traduccin al espaol de la norma BS 25999-
2:2007 con las modificaciones indicadas en el prlogo de la norma.
3. Correspondencia entre las normas ISO 9001, ISO 14001, ISO 27001 y UNE
71599-2
47
AENOR
Ciclo de PDCA en SGCN
3.
Planificacin
6.
Mantenimien
4.
Implantacin
3. Planificacin (Plan):
definir la poltica de continuidad de negocio, los objetivos, las metas, los
to y Mejora y Operacin
5. Supervisin
y Revisin
controles, los procesos y los procedimientos correspondientes a la gestin de
riesgos y a la mejora de la continuidad de negocio, con el fin de obtener resultados
acordes con las polticas y objetivos generales de la organizacin
4. Implantacin y Operacin (Do):

Implantar y operar la poltica de continuidad del negocio, los controles, los
procesos y los procedimientos.
BIA
5. Supervisin y Revisin (Check):

Realizar el seguimiento y revisar el rendimiento segn los objetivos y la poltica
de continuidad del negocio, informar de los resultados y de las auditoras a la
direccin de la organizacin para su revisin, y determinar y autorizar las medidas
para su correccin y mejora
6. Mantenimiento y Mejora (Act):

Mantener y mejorar el SGCN mediante la aplicacin de medidas preventivas y
correctivas, basadas en los resultados de la revisin por direccin de la
organizacin y reevaluando el alcance del SGCN, la poltica y los objetivos de
continuidad de negocio
AENOR
SGCN Gobierno de TI
UNE 71599-2 ISO / IEC 38500

SPICE ISO 15504 ISO 19770-1 ISO 20000-1
ISO 12207 ISO 20000-2

Software Prcticas
SGSI
la Informacin
ISO 27002
Gua de Controles
49 AENOR
SAM (UNE ISO/IEC 19770). Gestin de Software como Activo
Garantizar un soporte eficaz a la gestin TIC en general en

materia de software
El software que soporta el modelo de negocio debe ser seguro
Dar confianza a la direccin en la idoneidad de los procesos
La gestin informtica del modelo de negocio debe ser garantizada
Alinear la gestin SAM con la ISO/IEC 20000 , 27001, 9000,
Si la empresa tiene intencin de asegurar la gestin TIC, la seguridad, la calidad,
etc.
la gestin de software es un requisito
50 AENOR
SAM (UNE ISO/IEC 19770). Gestin de Software como Activo
Planificar
Plan Planificar
Do Hacer
Chek Verificar
Act Actuar
Actuar SAM Hacer
Los procesos de cualquier norma ISO / IEC

se adaptan a este ciclo, los de la ISO IEC
19770-1 tambin
Verificar
51 AENOR
SGCN Gobierno de TI
UNE 71599-2 ISO / IEC 38500

SPICE ISO 15504 ISO 19770-1 ISO 20000-1
ISO 12207 ISO 20000-2

Software Prcticas
SGSI
la Informacin
ISO 27002
Gua de Controles
52 AENOR
Definiciones Bsicas
Gobierno Corporativo de TI (Corporate governance of IT)
El sistema mediante el cual se dirige y controla el uso actual y
futuro de las TI. (Plan de negocio Plan de TI)
Gestin de las TI (IT Management)

El sistema de procesos y/o controles requeridos para lograr los
objetivos establecidos por la Direccin. (Negocio).
La direccin, planificacin, diseo, desarrollo, implantacin,

operacin y mantenimiento de las TI para satisfacer las
necesidades de la empresa.
53 AENOR
Modelo de Gobierno Corporativo de TI
La direccin ha de gobernar las TI mediante 3 tareas principales:
Evaluar
Dirigir
Monitorizar
54 AENOR
Beneficios del Gobierno de TI
Establece un modelo para el Gobierno de TI, basado en Dirigir, Monitorizar y
Evaluar.
Este estndar establece 6 principios para la eficacia, eficiencia y uso aceptable

de las TI.
Este estndar asegura que las organizaciones realizan un adecuado estudio de

riesgos y evalan nuevas oportunidades en el uso de las TI.
Este estndar fomenta el uso de otros estndares para apuntalar la gestin de

las TI (PDCA y CITI Control Interno Tecnologas Informacin)
Este estndar deja claro que se debe cumplir con la legislacin vigente
Este estndar es un subconjunto del Gobierno Corporativo de las empresas /

instituciones.
55 AENOR
Proceso de Certificacin segn ISO 17021 e ISO 19011
FASE 1: PLANIFICACIN DE LA AUDITORA Y Informe

ESTUDIO DE DOCUMENTACIN (presencial) fase 1
CUESTIONARIO FASE 2:
PRELIMINAR Y SOLICITUD REALIZACIN DE
AENOR LA AUDITORA (presencial)
Auditora de Certificacin Informe Hoja de datos

Auditoras de mantenimiento de la
final Alcance : de acuerdo

AUDITORAS DE (ISO 17021 e ISO 19011) al XXX vigente
RENOVACIN
(AL TERCER AO)
ELABORACIN DEL PLAN DE ACCIONES
certificacin
AUDITORAS DE CORRECTIVAS - PAC

SEGUIMIENTO
(AL SEGUNDO AO)
REGISTRAR LOS
AUDITORAS DE
Informe de
RESULTADOS
SEGUIMIENTO Evaluacin y
(AL PRIMER AO) Decisin
CONCESIN DEL
CERTIFICADO
56
AENOR
Proceso de Certificacin en el modelo de ISO en las TICs
Evaluacin y Decisin
Manteniendo una estructura que permita
independencia e imparcialidad, en la toma de
decisiones para la concesin o no de una
certificacin se establecen tres niveles:
Decisin
Coordinador TICs - Comit
(Concesin / no concesin)
Revisin de Propuesta
TRE (Tcnico Responsable Expediente)
(Concesin / no concesin)
Propuesta
Auditor Jefe (Concesin / no concesin)
57
AENOR
AENOR e ISO 27001 en la actualidad
Evolucin hasta 2011
CERTIFICACIONES EMITIDOS SGSI (2004 - actualmente)
350
300
294 311
250
200
202 TOTAL ANUAL
150
TOTAL
100
99 103
50 4 55 92
4 7 11 34 44
23 21
0
2004
2005 17
2006
2007
2008
2009
2010
2011
Destacar como empresas certificadas: BT, UNICAJA, TELEFONICA, INDRA, GMV, FCC, IBERIA, SANITAS,
IECISA, TECNOCOM, MINISTERIO DE SANIDAD, ORG.NAC.TRASPLANTES, S21SEC, NEXTEL, INTECO,
FRATERNIDAD MUPRESPA, KUTXA, CAJASTUR, TELECABLE, UPCNET, UNIV.JAIME I, OHL, SIA,etc.
58
AENOR
AENOR e ISO 20000-1 en la actualidad
Destacar como empresas certificadas TELEFONICA, INDRA, BANKIA, EL CORTE INGLES, SIEMENS
CEPSA, TECNOCOM, BULL, IECISA, SIA, GMV,, etc..
59
AENOR
Acreditacin de AENOR - SGSI
60
AENOR
Miembros
61
AENOR
Bibliografa ISO 20000-1 / ISO 27001
62
AENOR
Futuro y conclusiones en Sistemas de Gestin en las TICs.
Aspectos a considerar:
El control interno de Tecnologas de Informacin no es
una moda.
El Sistema de Gestin en las TICs ayuda a gestionar el
control interno de Tecnologas de la Informacin
alineado e integrado con los objetivos del negocio y el
cumplimiento normativo legal y sectorial.
El PDCA-motor y el conocimiento-control interno de
TI, cumpliendo objetivos de negocio.
63
AENOR
Sistemas de Gestin en las TICs. Una historia reciente
La simplicidad es la mayor de las sofisticaciones

Leonardo Da Vinci
64
AENOR
Un nuevo reto en las TICs
PDCA Ciclo de mejora Continua (Deming) - Integrado y alineado con los
Objetivos del Negocio.
En conclusin: Dormir tranquilo el/la CIO?
GRACIAS
AENOR
Carlos Manuel FERNNDEZ.CISA,CISM.
Coordinador de TICs (AENOR).
cmfernandez@aenor.es
AENOR Direccin de Desarrollo

Tel.: 914326004 618 779 487
65
AENOR

Normas (Estándares) ISO Relativas A TICs PDF

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Normas (Estándares) ISO Relativas A TICs PDF

Diunggah oleh

Hak Cipta:

Format Tersedia

Normas (estndares) ISO relativas a TICs

Modelo de ISO en las TICs

Carlos Manuel FERNNDEZ

Ing. en Informtica. CISA, CISM.

Que son las Normas vs Google.

Ms de 89.570 Certificados Ms de25.000 Normas (UNE

Internacional Recursos Humanos

International Electro- European Committee for Electro-

Comisin Pan-Americana Normas European Institute for

Certification World Net (IQNet)

New Business and Tools for Business

B2C WEB 1.0 Portal Corporativo e-Branding

MOBILITY GIS CRM CLOUD COMPUTING

BUSINESS PLAN = PLAN DE TICS

Desarrollo de Software Procesos / Servicios

Nivel de Madurez. Ciclo de Vida de SW SGAS - SAM SGSTI

ISO 12207 ISO 20000-2

Fte: tesis doctoral Carlos Manuel Fernndez

A GUIAS DE BUENAS PRACTICAS -2

Nota: es conveniente la utilizacin de workflows en el proceso

80s (mecanizar operaciones)

71% de los ejecutivos estn de acuerdo que es una

-Los CIOs piensan actualmente ms parecido a los CEOs.

Hitos ms relevantes en ISO 27001

En el ao 2004 se publica la UNE 71502 con las ISO 17799.

Desarrollo de Software Procesos / Servicios

Nivel de Madurez. Ciclo de Vida de SW SGAS - SAM SGSTI

ISO 12207 ISO 20000-2

Actualmente: Nueva York y en los 80s :

Actualmente: Nueva York y en los 80s :

Uno de cada 5 empleados deja a su familia y amigos usar sus

Uno de cada diez confiesa que baja algn tipo de contenido

Dos tercios admiten tener conocimientos muy limitados en

Un 5% dice que tienen acceso a areas de la red corporativa que

2. Orientar lo presupuestos de seguridad de SI a donde la organizacin tiene mayor

3. El presupuesto de Seguridad de SI sale del anlisis de Riesgos. Ahorro de costes de

5. La inclusin del PDCA en el SGSI implica una gestin pragmtica de la Seguridad

6. La auditora de certificacin de concesin y las auditoras de seguimiento de

7. Los auditores de AENOR tienen como mnimo 5 aos de experiencia en TICs y ms

8. AENOR esta acreditado por ENAC (Entidad Nacional de Acreditacin) para la

Solucin a los Riesgos Empresariales, Decisin estratgica de la organizacin

Asegurar que los usuarios Asegurar que la informacin es

La gestin eficaz de la Seguridad de la Informacin permite a la

Definir poltica de seguridad

ISO IEC 27002 / Anexo A. ISO IEC 27001

A.10 Gestin de comunicaciones y

Adoptar las acciones correctivas

Activos de SI Anlisis y Gestin de riesgos Riesgo Residual

Cada rea o dominio tiene asociados uno o varios objetivos de seguridad.

Para cada objetivo se definen, a su vez, uno o ms controles de seguridad

Nivel 1 Manual de seguridad

Nivel 4 Proporciona las pruebas objetivas del cumplimiento con las

IMPORTANTE: diferenciar entre procedimiento y registro:

Procedimiento: forma especfica de llevar a cabo una actividad o proceso

Una seguridad orientada al negocio

Desarrollo de Software Procesos / Servicios

Nivel de Madurez. Ciclo de Vida de SW SGAS - SAM SGSTI

ISO 12207 ISO 20000-2

Est formada por dos partes bajo el mismo ttulo:

Poltica, Alcance, Plan de Gestin Servicio

Procesos de Provisin del Servicio

Fte: ISO / IEC 20000. Gua de Bolsillo. itSMF

Gestin del Account