1
Enero 2012
AENOR
INDICE
ndice
2
AENOR
AENOR
Asociacin privada de Normalizacin y
Certificacin
AENOR es el representante de ISO en Espaa
y algunos pases de Latinoamrica.
Sin nimo de lucro
Constitucin: 1986
Real decreto 2200/95
AENOR Corporacin
AENOR INTERNACIONAL (12 filiales)
AENOR Mxico ( +10 aos en Mxico DF y
Delegaciones)
Multisectorial
Normalizacin
Certificacin productos, servicios, sistemas de
gestin y personal
Servicios de Formacin
AENOR es miembro de IQNET
3
AENOR
AENOR Datos relevantes
Calidad y Seguridad Medioambiente
25.300 Certificados ISO 9000
1.200 Certificados OHSAS 18001
+ 300 Certificados IS0 27001 6.220 Certificados ISO 14000
+ 95 Certificados ISO 20000-1 558 Certificados EMAS
23 Certificados SPICE nivel 2
1 Certificados SPICE nivel 3
Producto Normalizacin
4
AENOR
AENOR N+C
AENOR N+C
Normalizacin
International Standardisation
Organisation (ISO)
Certificacin
5
AENOR
Centro de Proceso de Datos o Tecnologas de Informacin y Comunicaciones
Es un Conjunto de:
- Personas (Humanware)
- Sistemas o Tecnologas (Base de Datos, software,
aplicaciones, Hardware, Telecomunicaciones y sala
de servers e infraestructura).
- Procesos
6
AENOR
LAS TICs COMO APOYO A LA GESTION E INNOVACION EN LAS EMPRESAS
FACTORIA DE TICs
(Nuevos Servicios y Operaciones de TICs)
7
Fte: UPSAM - Carlos Manuel Fernndez AENOR
Modelo ISO para las TICs y otros entornos
Objetivo: Gobierno y Gestin de las TICs con estndares ISO.
SGCN Gobierno de TI
UNE 71599-2 ISO / IEC 38500
Sistema de Gestin Continuidad del Negocio. IT Governance
SGSI
Adicionalmente: ISO 27001
Datacenter Green. Gestin. Sistema de Gestin Seguridad de
la Informacin
BPCE Buenas Prctica Comercio Electrnico
SWO Gestin del Software Original
ISO 27002
Gua de Controles
Copyright AENOR. Diciembre 2006
8 AENOR
Concepto de Motor Conocimiento TICs
G
PDCA UI
A
Motor
S
M
E D
E
T SGSI SGSTI
ISO.. ISO..
R ISO 27001 ISO 20000-1
I
I M
Conocimiento PL
C A
LIBRERA N
ISO 20000-2
A ISO27002 INFRAESTRUCTURA ? T
(ITIL) A
CPD
S CI
O
N
9
AENOR
MODELO PDCA. (Motor PDCA-1 y Conocimiento-2)
Identificar Objetivos del Negocio (medibles) Implantar plan de gestin
Tener apoyo de la Direccin
Definir poltica
Establecer alcance del al SG
P (tareas, actividades, PERT, GANTT, etc.)
Implantar el SG
Implantar los procesos/procedimientos/controles
Seleccionar procesos/procedimientos/controles Asignar recursos
Formacin y Concienciacin
D
Aplicar mejora continua
Plan y Adoptar las acciones correctivas
Monitorizar el SG
Plan y Adoptar las acciones preventivas
Revisar internamente el SG
Realizar auditorias internas del SG
C Indicadores y Mtricas
Revisin por Direccin
10
AENOR
Descripcin genrica de un proceso
Relaciones con otros procesos
PROCESO
-Tareas / Actividades
Entradas - Procedimientos
Salidas
-Instrucciones Tcnicas
- Registros (evidencias)
Indicadores / mtricas
Un proceso es un conjunto estructurado de actividades diseado para cumplir un objetivo
concreto. Un proceso tiene entradas y salidas. Las organizaciones que persiguen la eficacia en
su funcionamiento tienen que identificar y gestionar numerosos procesos que estn
relacionados entre s, ya que es frecuente que la salida de un proceso pase directamente a ser
la entrada del siguiente proceso.
11 AENOR
Gestin de las TICs con criterios de negocio
Informe Penteo:
Slo un 21% de las cas gestionan el Dpto. de SI con criterios de
negocio
31 % gestionan el dpto. de SI slo con criterios tecnolgicos
48 % gestionan con criterios hbridos
Conclusiones:
La Direccin de las cas. Tiene una percepcin ms positiva de los
CIOs que siguen criterios de Negocio. Les dan el rol de lderes
contribuidores de negocio en un 58%
La Gestin de las TICs mejora el posicionamiento del dpto. de SI y
del CIO
En un futuro los CIOS ms gestores y menos tecnlogos
(Encuesta a: 85 Directores de TICs, 36 Dir. Generales y 12 Presidentes)
12
AENOR
El tiempo de los Procesos en las TICs
Una solucin al gobierno y la gestin de las TICs es el modelo de AENOR de ISO en las
TICs donde se realiza el gobierno y la gestin de las TICs alineadas con los objetivos
de negocio.
14
AENOR
Cuando el EL CIO (chief Information Officer) es esencial
Conclusiones del Estudio Mundial de CIOs 2011 de IBM
(EN BASE A ENTREVISTAS PERSONALES CON MS DE 3000 CiOs DE TODO EL MUNDO)
15
AENOR 15
Cmo se realizan los pilotos en AENOR DD
16
AENOR
Modelo ISO para las TICs y otros entornos (como un CIO duerme tranquilo/a)
Objetivo: Gobierno y Gestin de las TICs con estndares ISO.
SGCN Gobierno de TI
UNE 71599-2 ISO / IEC 38500
Sistema de Gestin Continuidad del Negocio. IT Governance
SGSI
Adicionalmente: ISO 27001
Datacenter Green. Gestin. Sistema de Gestin Seguridad de
la Informacin
BPCE Buenas Prctica Comercio Electrnico
SWO Gestin del Software Original
ISO 27002
Gua de Controles
Copyright AENOR. Diciembre 2006
17 AENOR
Factores que influyen en la Seguridad de los SI
18
AENOR
Factores que influyen en la Seguridad de los SI
19
AENOR
Informe de Riesgos en las TICs
20
AENOR
Beneficios del SGSI (1 de 3)
1. El SGSI , incorpora un anlisis de riesgos de los Activos de sistemas de Informacin
que dan soporte a los procesos de negocio (exigencia de la certificacin de SGSI de
AENOR) , esto conlleva a tener una interrelacin entre todas las reas de negocio de
la organizaciones y las TICs. Hablar un lenguaje de Seguridad de SI orientado a los
objetivos del negocio.
21
AENOR
Beneficios del SGSI (2 de 3)
4. A las empresas de outsourcing y/o proveedores de TICs ser una exigencia del
mercado. Espaa ocupa el 5lugar en el mundo en certificaciones de SGSI. El lder en
Espaa de certificaciones es AENOR , empezamos en el 2004,con ms de 300
empresas certificadas en Espaa, Latinoamrica, Europa, etc.).
22
AENOR
Beneficios del SGSI (3 de 3)
23
AENOR
ISO 27001: SG de la Seguridad de la Informacin
Permite, establecer y reordenar la Seguridad de los Sistemas de Informacin en concordancia con los
Planes Estratgicos de la Organizacin y con sus Polticas de Seguridad.
24
AENOR
Propiedades principales asociadas a la Informacin
DISPONIBILIDAD CONFIDENCIALIDAD
25
AENOR
SGSI - UNE ISO 27001. MODELO PDCA
Procesos de Negocio
27
AENOR
SGSI Anexo a. ISO 27001 / ISO-IEC 27002: Objetivos y Controles
11 REAS
39 OBJETIVOS
CONTROL
133 CONTROLES
28
AENOR
SGSI Anexo a. ISO 27001 / ISO-IEC 27002: Objetivos y Controles
29
AENOR
La documentacin del SGSI
Nivel 2 Procedimientos
Describe procesos - quin, qu, cundo,
dnde (4.1- 4.10)
Instrucciones de trabajo,
Nivel 3 Describe las tareas y las actividades especficas y listas de comprobacin,
cmo se realizan formularios, etc.
30
AENOR
Factores crticos para el xito
31
AENOR
Modelo ISO para las TICs y otros entornos
Objetivo: Gobierno y Gestin de las TICs con estndares ISO.
SGCN Gobierno de TI
UNE 71599-2 ISO / IEC 38500
Sistema de Gestin Continuidad del Negocio. IT Governance
SGSI
Adicionalmente: ISO 27001
Datacenter Green. Gestin. Sistema de Gestin Seguridad de
la Informacin
BPCE Buenas Prctica Comercio Electrnico
SWO Gestin del Software Original
ISO 27002
Gua de Controles
Copyright AENOR. Diciembre 2006
32 AENOR
Experiencias en ISO/IEC 20000-1. Una historia reciente
Hitos ms relevantes
En Junio 2007 se traspone la ISO/IEC 20000-1:2005 a norma UNE-ISO/IEC 20000-
1:2007 (A instancias del captulo espaol de itSMF)
Piloto con grandes corporaciones: durante el periodo de 2006 y 2007 se realiza
piloto con Telefnica Soluciones y El Corte Ingls (Centro de Clculo). El 21 de
Junio de 2007 AENOR certifica a estas 2 grandes corporaciones espaolas.
Piloto con 16 empresas TICs en el segmento de Mediana y Pequea empresa
con las asociaciones: CONETIC y GAIA. Con la colaboracin de NEXTEL. Dentro
del plan avanza con subvencin del MICYT durante el periodo 2008 y 2009. En
Diciembre 2009 se certifican las 16 empresas.
Proyecto AGESTIC 2009 para ISO 20000-1 (Plan Avanza)
Publicacin en 2010 por AENOR Ediciones y Telefnica del libro: ISO/IEC 20000
Gua completa de aplicacin para la gestin de los servicios y tecnologas de la informacin.
Publicacin en 2010 por AENOR Ediciones, MICYT. el libro: ISO/IEC 20000 para
pymes. Como implantar un sistema de gestin de los servicios de tecnologas de la informacin
33
AENOR
UNE -ISO 20000 Gestin de Servicios TI
Alcance: Que un proveedor de servicios de TI (CPD) provea
servicios gestionados de una calidad aceptable para sus
clientes
Se basa: en ITIL es un estndar internacional , que es un
conjunto de buenas prcticas en la Gestin del Servicio de TI,
desarrollado por la Office of Goverment Comerce (UK)
Beneficios de ISO 20000-ITIL:
Maximizar la Calidad del servicio
Alinear los servicios de TI a las necesidades del negocio
Reducir Costes
Aumentar la satisfaccin del Cliente
Visin clara de la capacidad del departamento de TI
Minimizar el tiempo de ciclo de cambios y mejorar resultados en base a
mtricas
Toma de decisiones en base a indicadores de negocio y de TI
34 AENOR
UNE -ISO 20000 Gestin de Servicios TI
35
AENOR
Certificacin SGSTI (ISO 20000-1): MODELO PDCA Plan-Do-Check-Act
ISO 20000-parte 2
(Procesos-Gua)
A 1.- Gestin del Nivel de Servicio
2-.Informes del Servicio
3.-Gestin de la Capacidad
4.-Gestin de la continuidad y de la
disponibilidad del servicio
5.-Gestin de la Seguridad de la Informacin
6.- Gestin de Presupuestos y contabilidad de
los servicios
D
7.-Gestin de Incidencias
Mejorar la eficacia y la eficiencia de la prestacin 8.- Gestin de Problemas
9.- Gestin de Configuracin
y gestin de los servicios 10.- Gestin del Cambio
11.- Gestin de relaciones con el Negocio
12. Gestin de Proveedores
Adoptar las acciones correctivas 13: Gestin de la entrega
Adoptar las acciones preventivas
Revisin por Direccin
Auditoras Internas, Mtricas e Indicadores, etc.
C
36
AENOR
Alcance de UNE ISO/IEC 20000
Procesos de control
Gestin de la configuracin
Proceso de entrega Gestin del cambio
Gestin de la entrega Procesos de relaciones
Procesos de resolucin Gestin de relaciones de negocio
Gestin del incidente Gestin de suministradores
Gestin del problema
37
AENOR
IPW : Workflow de implementacin de procesos
CLIENTE Gestin de Continuidad
(tctico)
Entrega de Servicios
Gestin de Seguridad
Probar Construir Diseo y Gestin de
Gestin del Disponibilidad
Servicio
Gestin del Nivel de
servicio Gestin Gestin de
Financiera Capacidad
USUARIO
PROVEEDORES
Peticin Cambio CMDB
(operacional)
RfC
Gestin de Cambios
Gestin de
Incidencias Gestin de
Problemas
Servicios de Soporte
Service Desk
Gestin de
Configuracin
Gestin de
Entrega
Produccin
SERVICIO
SGCN Gobierno de TI
UNE 71599-2 ISO / IEC 38500
Sistema de Gestin Continuidad del Negocio. IT Governance
SGSI
Adicionalmente: ISO 27001
Datacenter Green. Gestin. Sistema de Gestin Seguridad de
la Informacin
BPCE Buenas Prctica Comercio Electrnico
SWO Gestin del Software Original
ISO 27002
Gua de Controles
Copyright AENOR. Diciembre 2006
39 AENOR
Proyectos de Desarrollo
40
AENOR
AGENDA DEL PROYECTO
3. Modelo de evaluacin
4. Portal www.iso15504.es
6. Auditora de Certificacin
41
AENOR
MODELO DE NIVELES DE MADUREZ
MEJORA DE LA CALIDAD
DE LOS PROCESOS
SOFTWARE
MODELO DE MODELO DE
PROCESOS EVALUACIN
42
AENOR
PROCESOS DE LOS NIVELES 1 Y 2 DE MADUREZ
AP 2.1 Gestin de la realizacin
CAP 2.1.1 Definir los objetivos del proceso
CAP 2.1.2 Planificar y controlar el proceso
CAP 2.1.3 Adaptar la realizacin del proceso
CAP 2.1.4 Asignar las responsabilidades del proceso
Nivel 2 de CAP 2.1.5 Asignar los recursos y la informacin
madurez CAP 2.1.6 Gestionar la comunicacin entre involucrados
AP 2.2 Gestin de los productos de trabajo
CAP 2.2.1 Definir los requisitos para los productos de trabajo
CAP 2.2.2 Requisitos para la documentacin y control
CAP 2.2.3 Identificar, documentar y controlar los productos de trabajo
CAP 2.2.4 Revisar y adaptar los productos de trabajo
Nivel 1 de
madurez
Proceso de Suministro
Proceso de Definicin de Requisitos de los
Stakeholders
Proceso de Anlisis de los Requisitos del Sistema
Proceso de Gestin del Modelo de Ciclo de Vida
Proceso de Planificacin del Proyecto
Proceso de Evaluacin y Control del Proyecto
Proceso de Gestin de la Configuracin del Software
Proceso de Gestin de la Configuracin
Proceso de Medicin
43 Proceso de Aseguramiento de la Calidad del Software
AENOR
PROCESOS DE NIVEL 3 DE MADUREZ
44
AENOR
PORTAL Y MATERIAL DE APOYO
Portal www.iso15504.es
Artculos
Foro
SGCN Gobierno de TI
UNE 71599-2 ISO / IEC 38500
Sistema de Gestin Continuidad del Negocio. IT Governance
SGSI
Adicionalmente: ISO 27001
Datacenter Green. Gestin. Sistema de Gestin Seguridad de
la Informacin
BPCE Buenas Prctica Comercio Electrnico
SWO Gestin del Software Original
ISO 27002
Gua de Controles
Copyright AENOR. Diciembre 2006
46 AENOR
Sistema de Gestin de Continuidad de Negocio - SGCN
UNE 71599-2
(MOTOR PDCA)
UNE 71599-1
(CONOCIMIENTO CODIGO DE PRACTICA)
47
AENOR
Ciclo de PDCA en SGCN
3.
Planificacin
6.
Mantenimien
4.
Implantacin
3. Planificacin (Plan):
definir la poltica de continuidad de negocio, los objetivos, las metas, los
to y Mejora y Operacin
5. Supervisin
y Revisin
controles, los procesos y los procedimientos correspondientes a la gestin de
riesgos y a la mejora de la continuidad de negocio, con el fin de obtener resultados
acordes con las polticas y objetivos generales de la organizacin
SGCN Gobierno de TI
UNE 71599-2 ISO / IEC 38500
Sistema de Gestin Continuidad del Negocio. IT Governance
SGSI
Adicionalmente: ISO 27001
Datacenter Green. Gestin. Sistema de Gestin Seguridad de
la Informacin
BPCE Buenas Prctica Comercio Electrnico
SWO Gestin del Software Original
ISO 27002
Gua de Controles
Copyright AENOR. Diciembre 2006
49 AENOR
SAM (UNE ISO/IEC 19770). Gestin de Software como Activo
50 AENOR
SAM (UNE ISO/IEC 19770). Gestin de Software como Activo
Planificar
Plan Planificar
Do Hacer
Chek Verificar
Act Actuar
Actuar SAM Hacer
Verificar
51 AENOR
Modelo ISO para las TICs y otros entornos
Objetivo: Gobierno y Gestin de las TICs con estndares ISO.
SGCN Gobierno de TI
UNE 71599-2 ISO / IEC 38500
Sistema de Gestin Continuidad del Negocio. IT Governance
SGSI
Adicionalmente: ISO 27001
Datacenter Green. Gestin. Sistema de Gestin Seguridad de
la Informacin
BPCE Buenas Prctica Comercio Electrnico
SWO Gestin del Software Original
ISO 27002
Gua de Controles
Copyright AENOR. Diciembre 2006
52 AENOR
Definiciones Bsicas
Gobierno Corporativo de TI (Corporate governance of IT)
El sistema mediante el cual se dirige y controla el uso actual y
futuro de las TI. (Plan de negocio Plan de TI)
53 AENOR
Modelo de Gobierno Corporativo de TI
La direccin ha de gobernar las TI mediante 3 tareas principales:
Evaluar
Dirigir
Monitorizar
54 AENOR
Beneficios del Gobierno de TI
Establece un modelo para el Gobierno de TI, basado en Dirigir, Monitorizar y
Evaluar.
Este estndar deja claro que se debe cumplir con la legislacin vigente
CUESTIONARIO FASE 2:
PRELIMINAR Y SOLICITUD REALIZACIN DE
AENOR LA AUDITORA (presencial)
CONCESIN DEL
CERTIFICADO
56
AENOR
Proceso de Certificacin en el modelo de ISO en las TICs
Evaluacin y Decisin
Manteniendo una estructura que permita
independencia e imparcialidad, en la toma de
decisiones para la concesin o no de una
certificacin se establecen tres niveles:
Decisin
Coordinador TICs - Comit
(Concesin / no concesin)
Revisin de Propuesta
TRE (Tcnico Responsable Expediente)
(Concesin / no concesin)
Propuesta
Auditor Jefe (Concesin / no concesin)
57
AENOR
AENOR e ISO 27001 en la actualidad
Evolucin hasta 2011
350
300
294 311
250
200
202 TOTAL ANUAL
150
TOTAL
100
99 103
50 4 55 92
4 7 11 34 44
23 21
0
2004
2005 17
2006
2007
2008
2009
2010
2011
Destacar como empresas certificadas: BT, UNICAJA, TELEFONICA, INDRA, GMV, FCC, IBERIA, SANITAS,
IECISA, TECNOCOM, MINISTERIO DE SANIDAD, ORG.NAC.TRASPLANTES, S21SEC, NEXTEL, INTECO,
FRATERNIDAD MUPRESPA, KUTXA, CAJASTUR, TELECABLE, UPCNET, UNIV.JAIME I, OHL, SIA,etc.
58
AENOR
AENOR e ISO 20000-1 en la actualidad
Destacar como empresas certificadas TELEFONICA, INDRA, BANKIA, EL CORTE INGLES, SIEMENS
CEPSA, TECNOCOM, BULL, IECISA, SIA, GMV,, etc..
59
AENOR
Acreditacin de AENOR - SGSI
60
AENOR
Miembros
61
AENOR
Bibliografa ISO 20000-1 / ISO 27001
62
AENOR
Futuro y conclusiones en Sistemas de Gestin en las TICs.
Aspectos a considerar:
El control interno de Tecnologas de Informacin no es
una moda.
El Sistema de Gestin en las TICs ayuda a gestionar el
control interno de Tecnologas de la Informacin
alineado e integrado con los objetivos del negocio y el
cumplimiento normativo legal y sectorial.
El PDCA-motor y el conocimiento-control interno de
TI, cumpliendo objetivos de negocio.
63
AENOR
Sistemas de Gestin en las TICs. Una historia reciente
GRACIAS
AENOR
Carlos Manuel FERNNDEZ.CISA,CISM.
Coordinador de TICs (AENOR).
cmfernandez@aenor.es
65
AENOR