Your SlideShare is downloading. ×
0
01 aenor-cy13-semana cm-mi-nov2013_vfinal_logo
01 aenor-cy13-semana cm-mi-nov2013_vfinal_logo
01 aenor-cy13-semana cm-mi-nov2013_vfinal_logo
01 aenor-cy13-semana cm-mi-nov2013_vfinal_logo
01 aenor-cy13-semana cm-mi-nov2013_vfinal_logo
01 aenor-cy13-semana cm-mi-nov2013_vfinal_logo
01 aenor-cy13-semana cm-mi-nov2013_vfinal_logo
01 aenor-cy13-semana cm-mi-nov2013_vfinal_logo
01 aenor-cy13-semana cm-mi-nov2013_vfinal_logo
01 aenor-cy13-semana cm-mi-nov2013_vfinal_logo
01 aenor-cy13-semana cm-mi-nov2013_vfinal_logo
01 aenor-cy13-semana cm-mi-nov2013_vfinal_logo
01 aenor-cy13-semana cm-mi-nov2013_vfinal_logo
01 aenor-cy13-semana cm-mi-nov2013_vfinal_logo
01 aenor-cy13-semana cm-mi-nov2013_vfinal_logo
01 aenor-cy13-semana cm-mi-nov2013_vfinal_logo
01 aenor-cy13-semana cm-mi-nov2013_vfinal_logo
01 aenor-cy13-semana cm-mi-nov2013_vfinal_logo
01 aenor-cy13-semana cm-mi-nov2013_vfinal_logo
01 aenor-cy13-semana cm-mi-nov2013_vfinal_logo
01 aenor-cy13-semana cm-mi-nov2013_vfinal_logo
01 aenor-cy13-semana cm-mi-nov2013_vfinal_logo
01 aenor-cy13-semana cm-mi-nov2013_vfinal_logo
01 aenor-cy13-semana cm-mi-nov2013_vfinal_logo
01 aenor-cy13-semana cm-mi-nov2013_vfinal_logo
01 aenor-cy13-semana cm-mi-nov2013_vfinal_logo
01 aenor-cy13-semana cm-mi-nov2013_vfinal_logo
01 aenor-cy13-semana cm-mi-nov2013_vfinal_logo
01 aenor-cy13-semana cm-mi-nov2013_vfinal_logo
01 aenor-cy13-semana cm-mi-nov2013_vfinal_logo
01 aenor-cy13-semana cm-mi-nov2013_vfinal_logo
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

01 aenor-cy13-semana cm-mi-nov2013_vfinal_logo

138

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
138
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
5
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Calidad  y Seguridad en la Mejora del sector TIC Español con normas ISO Modelo de AENOR para el Gobierno y Gestión de las TICs Carlos Manuel FERNÁNDEZ Ing. en Informática. CISA, CISM. MBA Gerente de TICs (AENOR) Profesor Máster (UNIR/UAM/UPM) Vocal del Colegio Profesional de Ingenieros en Informática de Madrid (CPIICM) Noviembre 2013 Dirección de Desarrollo Estratégico AENOR 1 AENOR
  • 2. AGENDA 1. QUIÉN ES AENOR 2. MODELO DE GOBIER Y GESTION DE AENOR NO 3. PR INCIPALES SISTEMAS/ ESTÁNDARES DEL MODELO 4. PR OCESO DE CERTIFICACION (SGSI y otros) 5. BIBLIOGRAFIA 2 AENOR
  • 3. AENOR 3 Asociación privada de Normalización y Certificación AENOR es el representante de ISO en España y algunos países de Latinoamérica. Sin ánimo de lucro Constitución: 1986 Real decreto 2200/95 AENOR Corporación AENOR INTERNACIONAL (12 filiales) AENOR México ( +10 años en México DF y Delegaciones) Multisectorial Normalización Certificación productos, servicios, sistemas de gestión y personal Servicios de Formación AENOR es miembro de IQNET AENOR
  • 4. AENOR Datos relevantes Calidad y Seguridad 25.300 Certificados ISO 9000 1.200 + 400 + 120 41 3 Certificados OHSAS 18001 Certificados IS0 27001 Certificados ISO 20000-1 Certificados SPICE nivel 2 Certificados SPICE nivel 3 Producto Más de 89.570 Certificados Internacional Más de 45 Acuerdos internacionales para certificación de sistemas Más de 40 Países donde AENOR concedido certificados 4 Medioambiente 6.220 Certificados ISO 14000 558 Certificados EMAS Normalización Más de25.000 Normas (UNE y R atificadas) Recursos Humanos 500Auditores/ auditores TICs 25 Cambio Climático Más de 200 proyectos MDL, AC y Voluntarios AENOR
  • 5. Gestión de las TICs con criterios de negocio • Informe Penteo: – Sólo un 21% de las cías gestionan el Dpto. de SI con criterios de negocio – 31 % gestionan el dpto. de SI sólo con criterios tecnológicos – 48 % gestionan con criterios híbridos • Conclusiones: – La Dirección de las cías. Tiene una percepción más positiva de los CIOs que siguen criterios de Negocio. Les dan el rol de líderes contribuidores de negocio en un 58% – La Gestión de las TICs mejora el posicionamiento del dpto. de SI y del CIO – En un futuro los CIOS más gestores y menos tecnólogos (Encuesta a: 85 Directores de TICs, 36 Dir. Generales y 12 Presidentes) 5 AENOR
  • 6. Cómo perciben los ejecutivos los Sistemas de Información • 71% de los ejecutivos están de acuerdo que es una palanca las TI para transformar el negocio • 62% creen que las TICs deben focalizarse en la innovación de los procesos de negocio • 66% están de acuerdo que las TICs han implicado una gestión de riesgos más compleja en las corporaciones. » Fuente: Ernst&Young study” What’ next for the CIO? (Enero 2011). 6 Una solución al gobierno y la gestión de las TICs es el modelo de AENOR de ISO en las TICs donde se realiza el gobierno y la gestión de las TICs alineadas con los objetivos de negocio. AENOR
  • 7. a solución: el Modelo de AENOR con ISO para las TI La empresa y su continuidad según procesos críticos SGCN ISO 22301 Objetivo: Gobierno y Gestión de las TICs con estándares ISO. Sistema de Gestión Continuidad del Negocio. Calidad en Desarrollo de la creación de Software Gobierno de TI ISO /IEC 38500 IT Governance Procesos /Servicios Software Nivel de Madurez. Ciclo de Vida de SW SPICE ISO 15504 Modelo de Evaluación, Mejora y Madurez de Software ISO 12207 Ciclo de Vida de Desarrollo de Software Calidad en el producto final Software ISO 25000 Calidad del Producto Software Adicionalmente: • • Funciones del director de TI BPCE – Buenas Práctica Comercio Electrónico Calidad y seguridad en servicios de TI (el día a día) SGSTI ISO 20000-1 Sistema de Gestión Servicios TI ISO 20000-2 Guía de Buenas Prácticas SGSI ISO 27001 Sistema de Gestión Seguridad de la Información ISO 27002 Guía de Controles SGSI-ISO 27001 SCADA Datacenter Green. Sostenibilidad Energética en CPDs- SE CPDCopyright AENOR Diciembre . 2006 Nota: tiene PDCA / Control interno Tecnologías de Información AENOR
  • 8. epto de Motor – Conocimiento TICs G U I A PDCA M otor M S E T R SGSI ISO 27001 I S 8 ISO.. ISO 15504 Conocim iento C A SGSTI ISO 20000-1 ISO27002 ISO 20000-2 (ITIL) LIBRERÍA INFRAESTRUCTURA CPD Todos estos sistemas se han basado en la ISO 9001 que tendrá una nueva versión más pragmática en el 2015. Véase www.aenor.es ISO 12207 D E I M P L A N T A C I O N AENOR
  • 9. MODELO PDCA. (Motor –PDCA-1 y Conocimiento-2) Identificar Objetivos del Negocio (medibles) Tener apoyo de la Dirección Definir política Establecer alcance del al SG Seleccionar procesos/procedimientos/controles “A ” “P” GUIAS DE BUENAS PRACTICAS -2 CONOCIMIENTO R EPOSITORIO DE PR OCESOS /PROCEDIMIENTOS / CONTROLES Aplicar mejora continua Plan y Adoptar las acciones correctivas Plan y Adoptar las acciones preventivas “C” 9 Implantar plan de gestión (tareas, actividades, PERT, GANTT, etc.) Implantar el SG Implantar los procesos/procedimientos/controles Asignar recursos Formación y Concienciación “D ” Monitorizar el SG Revisar internamente el SG Realizar auditorias internas del SG Indicadores y Métricas Revisión por Dirección AENOR
  • 10. Descripción genérica de un proceso Relaciones con otros procesos Entradas PR OCESO -Tareas /Actividades - Procedimientos -Instrucciones Técnicas - Registros (evidencias) Salidas Nota: es conveniente la utilización de wor l kfows en el proceso Indicadores / métricas Un proceso es un conjunto estructurado de actividades diseñado para cumplir un Un proceso es un conjunto estructurado de actividades diseñado para cumplir un objetivo concreto. Un proceso tiene entradas y salidas. Las organizaciones que objetivo concreto. Un proceso tiene entradas y salidas. Las organizaciones que persiguen la eficacia en su funcionamiento tienen que identificar y gestionar persiguen la eficacia en su funcionamiento tienen que identificar y gestionar numerosos procesos que están relacionados entre sí, ya que es frecuente que la numerosos procesos que están relacionados entre sí, ya que es frecuente que la salida de un proceso pase directamente a ser la entrada del siguiente proceso. salida de un proceso pase directamente a ser la entrada del siguiente proceso. 10 AENOR
  • 11. Propiedades principales asociadas a la Información CONFIDENCIALIDAD DISPONIBILIDAD Asegurar que los usuarios autorizados tienen acceso cuando lo requieran a la información y sus activos asociados. Asegurar que la información es accesible solo para aquellos autorizados a tener acceso. INTEGRIDAD Garantizar la exactitud y completitud de la información y los métodos de su proceso La gestión eficaz de la Seguridad de la Información permite a la organización preservarlas.  Re-ordenar la seguridad  Cumplimiento normativo-legal en Europa 11 AENOR
  • 12. Análisis y Gestión de riesgos – Implantación de controles Procesos de Negocio /Servicios de TI Activos de SI Sistemas de información (Base de Datos) Análisis y Gestión de riesgos R=F(X1,X2,X3,Xn) Software (Aplicativos) Integridad (X1) Hardware Confidencialidad (X2) Telecomunicaciones Disponibilidad (X3) Personas Amenazas (X4) Vulnerabilidades (X5) Impacto Económico (X6) 12 XN Riesgo R esidual Activo1-------R’1 Activo2-------R’2 Aplicando ISO/IEC 27002 (Selección de AENOR Controles)
  • 13. Alcance de UNE – ISO/ IEC 20000-1:2011 Sistema de Gestión del Servicio (SGS) • Responsabilidad de la Dirección • Gobierno de los procesos operados por terceros • Establecer el SGS • Gestión de la documentación • Gestión de los recursos Diseño y transición de servicios nuevos o modificados • Gestión de la capacidad Procesos de Provisión del Servicio • Gestión de la Seguridad de la Información • Gestión del nivel de servicio • Gestión de la continuidad y disponibilidad del servicio • Elaboración de presupuestos y contabilidad de los servicios • Informes del servicio Procesos de control • Gestión de la configuración • Gestión del cambio • Gestión de la entrega y despliegue Procesos de resolución Procesos de relación • Gestión de incidencias y peticiones de servicio • Gestión de relaciones con el negocio • Gestión del problema • Gestión de suministradores Fte: ISO /IEC 20000-1:2011 13 AENOR
  • 14. IPW ™: W orkflow de implementación de procesos 14 AENOR
  • 15. OBJETIVO DEL PROYECTO SUBVENCIONADO Objetivo: Crear un modelo ágil para la mejora de la calidad del desarrollo de software de las PYMES españolas conforme a los niveles de madurez de la norma internacional ISO/ IEC 15504 utilizando los procesos de la ISO 12207:2008. Objetivo: Ciclo de ingeniería del software orientado a objetivos de negocio y requisitos de usuario (con trazabilidad y productividad). ybele onsulting 15 AENOR AENOR
  • 16. MODELO DE NIVELES DE MADUREZ MEJORA DE LA CALIDAD DE LOS PROCESOS SOFTWARE MODELO DE PROCESOS MODELO DE EVALUACIÓN ISO/IEC 12207:2008 ••Procesos Procesos •• Resultados del Proceso Resultados del Proceso (RP) (RP) 16 ISO/IEC 15504 •• Atributos de Proceso (AP) Atributos de Proceso (AP) •• Componentes de los Componentes de los Atributos de Proceso (CAP) Atributos de Proceso (CAP) AENOR
  • 17. PROCESOS DE LOS NIVELES 1 Y 2 DE MADUREZ Nivel 2 de madurez AP 2.1 Gestión de la realización CAP 2.1.1 Definir los objetivos del proceso CAP 2.1.2 Planificar y controlar el proceso CAP 2.1.3 Adaptar la realización del proceso CAP 2.1.4 Asignar las responsabilidades del proceso CAP 2.1.5 Asignar los recursos y la información CAP 2.1.6 Gestionar la comunicación entre involucrados AP 2.2 Gestión de los productos de trabajo CAP 2.2.1 Definir los requisitos para los productos de trabajo CAP 2.2.2 Requisitos para la documentación y control CAP 2.2.3 Identificar, documentar y controlar los productos de trabajo CAP 2.2.4 Revisar y adaptar los productos de trabajo Nivel 1 de madurez  Proceso de Suministro  Proceso de Definición de Requisitos de los Stakeholders  Proceso de Análisis de los Requisitos del Sistema  Proceso de Gestión del Modelo de Ciclo de Vida  Proceso de Planificación del Proyecto  Proceso de Evaluación y Control del Proyecto  Proceso de Gestión de la Configuración del Software  Proceso de Gestión de la Configuración  Proceso de Medición  Proceso de Aseguramiento de la Calidad del Software 17 AENOR
  • 18. PROCESOS DE NIVEL 3 DE MADUREZ Nivel 3 de madurez Nivel 2 de madurez Nivel 1 de madurez 18 Proceso de Gestión de Infraestructuras Proceso de Gestión de Infraestructuras Proceso de Gestión de Recursos Humanos Proceso de Gestión de Recursos Humanos Proceso de Gestión de la Decisión Proceso de Gestión de la Decisión Proceso de Gestión de Riesgos Proceso de Gestión de Riesgos Proceso de Diseño de la Arquitectura del Sistema Proceso de Diseño de la Arquitectura del Sistema Proceso de Integración del Sistema Proceso de Integración del Sistema Proceso de Análisis de Requisitos del Software Proceso de Análisis de Requisitos del Software Proceso de Diseño de la Arquitectura del Software Proceso de Diseño de la Arquitectura del Software Proceso de Integración del Software Proceso de Integración del Software Proceso de Verificación del Software Proceso de Verificación del Software Proceso de Validación del Software Proceso de Validación del Software AENOR
  • 19. stema de Gestión de Continuidad de Negocio - SGC ISO 22301:2012 ISO 22301:2012 (MOTOR – PDCA) (MOTOR – PDCA) 1. Aporta al Plan de Continuidad de Negocio -PCN el PDCA 2. Análisis de Impacto en el Negocio (BIA) 3. Correspondencia entre las normas ISO 9001, ISO 14001, ISO 27001 e ISO 22301 19 AENOR
  • 20. Modelo de Gobierno Corporativo de TI La ISO 38500 tiene los siguientes componentes: • La dirección ha de gobernar las TI mediante 3 tareas principales: – Monitorizar – Evaluar – Dirigir Estas tres tareas se incluyen en cada uno de los principios. Principio 1:Responsabilidad Principio 2: Estrategia Principio 3: Adquisición Principio 4: Rendimiento Principio 5: Conformidad Principio 6: Factor 20 Humano AENOR
  • 21. acterísticas de Calidad de la ISO/ IEC 25000 Familia de normas ISO/ IEC 25000 Calidad del Producto Funcionalidad Rendimiento Compatibilidad Usabilidad Fiabilidad Seguridad Aprendizaje Madurez Confidencial. Operabilidad Disponibilidad Integridad Protección a Errores de Usuario Tolerancia a Fallos No repudio Mantenibilidad Portabilidad Inteligibilidad Completitud Comport. en el tiempo Corrección Idoneidad Utilización de Recursos Coexistencia Interoperabilid. Atractividad Autenticidad Capacidad de recuperación Responsabil. Modularidad Reusabilidad Adaptabilidad Analizabilidad Facilidad de Instalación Cambiabilidad Intercambiabil. Capacidad de Ser probado Accesibilidad 21 AENOR
  • 22. Nota de prensa – 25 Septiembre 2013 22 AENOR
  • 23. Proceso de Certificación según ISO 17021 Informe fase 1 FASE 1: PLANIFICACIÓN DE LA AUDITORÍA Y ESTUDIO DE DOCUMENTACIÓN (presencial) Auditorías de mantenimiento de la certificación CUESTIONARIO PRELIMINAR Y SOLICITUD AUDITORÍAS DE RENOVACIÓN (AL TERCER AÑO) AENOR Auditoría de Certificación (ISO 17021) AUDITORÍAS DE SEGUIMIENTO (AL SEGUNDO AÑO) AUDITORÍAS DE SEGUIMIENTO (AL PRIMER AÑO) FASE 2: REALIZACIÓN DE LA AUDITORÍA (presencial) Informe final Hoja de datos Alcance : “… de acuerdo al XXX vigente” ELABORACIÓN DEL PLAN DE ACCIONES CORRECTIVAS - PAC REGISTRAR LOS RESULTADOS Informe de Evaluación y Decisión CONCESIÓN DEL CERTIFICADO La cert if icación de sist emas de gest ión (denominada certificación) es una actividad de evaluación de la conformidad AENOR
  • 24. Proceso de Certificación en Modelo de AENOR en TICs Evaluación y Decisión Manteniendo una estructura que permita independencia e imparcialidad, en la toma de decisiones para la concesión o no de una certificación se establecen tres niveles: Gerente TICs - Comité TRE (Técnico Responsable Expediente) Auditor Jefe 24 Decisión (Concesión /no concesión) Revisión de Propuesta (Concesión /no concesión) Propuesta (Concesión /no concesión) AENOR
  • 25. Acreditación de AENOR y Reconocimiento Internacional mutuo 25 AENOR
  • 26. Salidas profesionales desde el modelo de AENOR AENOR FOR MACION Titulaciones Propias – Ver otras slides ISO 27001 SGSI ISO 20000 SGSTI ISO 22301 SGCN SPICE ISO 15504 Madurez en ciclo de vida de software Responsable Consultor Auditor interno Auditor externo Ídem Ídem Ídem Otros Sistemas en Desarrollo con su titulación Otros Sistemas en Desarrollo con su titulación ISO 38500 Gobierno de TI 26 SAM – ISO 19770 SGAS EA 0044:2013 SE CPD AENOR
  • 27. Testimoniales del Modelo de AENOR ISO 20000ISO 27001 Luís Lopes Luis Manuel Ortiz 1 Director Técnico CESCE Soluçoes Informatica. Portugal del Grupo SIA España “Tenemos un anál de r isis iesgos t al ot ment e adapt ado a nuest as necesidades” r SPICE-ISO 15504/ ISO Maximino Álvarez 12207 Director General Xtream . España “Base de nuest o cr r ecimient o int nacional” er ISO 22301 Cristo M. Pérez Rosquete Área de Seguridad Informática Sanitas. España “Par cont a inuarcuidando” Director Comercial TI América. México “La cerif t icación gar iza a l ant os cl es que nuest os ser ient r vicios se r igen porl mej es pr icas” as or áct ISO 15504 + ISO 25000 Luis Montalban CEO BITWARE. conj España ISO unt de a “La apl icación 1 5504 e ISO 25000 ha supuest una mej a en o or l pr a oduct ividad y un ahoro de cost r es en elmant enimient del60% en el o sof war t e AENOR
  • 28. grafía siglo XXI. Experiencias reales (+ 500 emp Con la colaboración y consenso del Ministerio de Industria al modelo de AENOR basado en ISO, mediante los planes Avanza 28 AENOR
  • 29. TICs COMO APOYO A LA GESTION E INNOVACION EN LAS EMPR E “New Business and Tools for Business” To CEOs & CIOs B2C B2B BIG DATA WEB 1.0 WEB 2.0 WEB 3.0? MOBILITY Pdas Smartphone Blakberry / Iphone / HTC Portal Corporativo Redes Sociales Wikis BYOD GIS RFID CRM ERP SCM e-Branding e-Mailing e-Learning CLOUD COMPUTING SaaS (Software As A Service) IaaS (Infraestructure As A Service) PaaS (Platform As A Service) BUSINESS PLAN = PLAN DE TICS (Integración y Alineamiento) FACTORIA DE TICs (Nuevos Servicios y Operaciones de TICs) Fuente: Carlos MF – AENOR
  • 30. istemas de Gestión en las TICs. Una historia recient “La simplicidad es la mayor de las sofisticaciones” Leonardo Da Vinci 30 AENOR
  • 31. Un nuevo reto en las TICs “PDCA –Ciclo de mejora Continua Sistema de Gestión Integrado y alineado con los Objetivos del Negocio. En conclusión: El modelo de AENOR aporta: confianza, calidad, productividad-costes e innovación ¿Dormirá tranquilo el/ CIO? la ¡¡Muchas Gracias!! Carlos Manuel FERNÁNDEZ. CISA,CISM. Gerente de TICs – Dirección de Desarrollo AENOR cmfernandez@aenor.es 31 AENOR

×