Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Normas ISO e IEEE

23,023 views

Published on

Documento compilación normas ISO e IEEE
Auditoria II
2011-1

  • Be the first to comment

Normas ISO e IEEE

  1. 1. 2011Universidad nacional de colombia sede manizalesJosé Leonardo Delgado Ramírez 907015Compilación BibliográficaISO/IEC 20000 (estándar británico 15000), Normas IEEE sobre software e ingeniería de software, ISO/IEC 15404:SPICE, ISO/IEC 15408:2005, ISO/IEC 19770:2006 ISO 12207<br />Contenido TOC o "1-3" h z u ISO/IEC 20000 PAGEREF _Toc289244110 h 4Historia y evolución PAGEREF _Toc289244111 h 4Descripción general PAGEREF _Toc289244112 h 5Desarrollo de la temática PAGEREF _Toc289244113 h 6I.El Sistema de Gestión de Servicios TI (SGSTI). PAGEREF _Toc289244114 h 6II.Planificación e Implementación de la Gestión del Servicio PAGEREF _Toc289244115 h 6III.Planificación e Implementación de Servicios PAGEREF _Toc289244116 h 7IV.Procesos de Provisión de Servicio. PAGEREF _Toc289244117 h 8V.Procesos de Relaciones PAGEREF _Toc289244118 h 9VI.Procesos de Resolución PAGEREF _Toc289244119 h 10VII.Procesos de Control PAGEREF _Toc289244120 h 10VIII.Procesos de Entrega PAGEREF _Toc289244121 h 11Comparativo con COBIT PAGEREF _Toc289244122 h 12NORMAS IEEE SOBRE SOFTWARE E INGENIERÍA DE SOFTWARE PAGEREF _Toc289244123 h 13Historia y Evolución PAGEREF _Toc289244124 h 13Descripción general de la temática PAGEREF _Toc289244125 h 13Desarrollo de la temática PAGEREF _Toc289244126 h 15Glosario Estándar de terminología de la IEEE sobre Ingeniería de Software PAGEREF _Toc289244127 h 15Estándar IEEE sobre la taxonomía de Normas de Ingeniería del Software PAGEREF _Toc289244128 h 15IEEE Plan para la Gestión de Proyectos Software PAGEREF _Toc289244129 h 15Recomendaciones prácticas para la adopción de software asistida por computador para herramientas CASE PAGEREF _Toc289244130 h 15Estándar ISO/IEC/IEEE para sistemas de ingeniería de software – Procesos de ciclo de vida del software PAGEREF _Toc289244131 h 15Standard for Software Engineering - Software Life Cycle Processes - Maintenance PAGEREF _Toc289244132 h 16IEEE Standard adoption of ISO/IEC 15939:2007 systems and software engineering measurement process PAGEREF _Toc289244133 h 16Systems and software engineering - Life cycle processes - Project management PAGEREF _Toc289244134 h 16IEEE Recommended Practice on Software Reliability PAGEREF _Toc289244135 h 16IEEE Draft Guide Adoption of ISO/IEC TR14471 Information technology -Software engineering - Guidelines for the adoption of CASE tools PAGEREF _Toc289244136 h 17IEEE Draft Standard Adoption of ISO/IEC 26513:2009-Systems and Software Engineering -Requirements for Testers and Reviewers of User Documentation PAGEREF _Toc289244137 h 17IEEE Draft Standard Adoption of ISO/IEC 26514:2008 - Systems and SoftwareEngineering - Requirements for Designers and Developers of User Documentation PAGEREF _Toc289244138 h 17Comparativo con COBIT PAGEREF _Toc289244139 h 18ISO/IEC 15404: SPICE PAGEREF _Toc289244140 h 19Historia y evolución PAGEREF _Toc289244141 h 19Descripción general de la temática PAGEREF _Toc289244142 h 19Desarrollo de la temática PAGEREF _Toc289244143 h 19Propósito PAGEREF _Toc289244144 h 19Alcance PAGEREF _Toc289244145 h 19Dimensión de los procesos PAGEREF _Toc289244146 h 20Dimensión de capacidad PAGEREF _Toc289244147 h 20Niveles de capacidad PAGEREF _Toc289244148 h 21Evaluación del proceso PAGEREF _Toc289244149 h 21Comparativo con COBIT PAGEREF _Toc289244150 h 23ISO/IEC 15408:2005 PAGEREF _Toc289244151 h 24Historia y evolución PAGEREF _Toc289244152 h 24Descripción general de la temática PAGEREF _Toc289244153 h 25Desarrollo de la temática PAGEREF _Toc289244154 h 25Ámbito de aplicación PAGEREF _Toc289244155 h 26Las referencias normativas PAGEREF _Toc289244156 h 27Comparativo con COBIT PAGEREF _Toc289244157 h 28ISO/IEC 19770 PAGEREF _Toc289244158 h 29Historia y evolución PAGEREF _Toc289244159 h 29Descripción de la temática PAGEREF _Toc289244160 h 29Desarrollo de la temática PAGEREF _Toc289244161 h 30Procesos de ISO/IEC 19770-1 PAGEREF _Toc289244162 h 30ISO/IEC 19770-2: etiquetas de identificación de software PAGEREF _Toc289244163 h 30ISO/IEC 19770-3: etiquetas derecho de software PAGEREF _Toc289244164 h 31ISO 12207 PAGEREF _Toc289244165 h 32Historia y evolución PAGEREF _Toc289244166 h 32Descripción de la temática PAGEREF _Toc289244167 h 32Esquema de la norma: PAGEREF _Toc289244168 h 32Desarrollo de la temática PAGEREF _Toc289244169 h 33PROCESOS PRINCIPALES: PAGEREF _Toc289244170 h 33PROCESOS DE SOPORTE PAGEREF _Toc289244171 h 35PROCESOS DE GESTIÓN NORMA ISO 12207 PAGEREF _Toc289244172 h 36Comparativo con COBIT PAGEREF _Toc289244173 h 36Bibliografía PAGEREF _Toc289244174 h 37<br />ISO/IEC 20000<br />Historia y evolución<br />Hasta antes del año 2000, las organizaciones o áreas de TI que adoptaban las mejores prácticas definidas en los libros de InformationTechnologyInfrastructure Library (ITIL) eran incapaces de demostrarlo formalmente.Debido a ello, BSI, que es la Institución de Estándares Británicos, definió de manera oficial los requerimientos para la entrega efectiva de servicios a los negocios y sus clientes en un estándar británico: BS 15000. A la postre, esto dio pie al surgimiento del nuevo estándar internacional ISO/IEC 20000. <br />Ciertamente, BS 15000 no incluía de manera formal el enfoque de ITIL, pero en él se describen un grupo de procesos de administración que se alinean y complementan con el enfoque de procesos definidos en ITIL. La primera edición de BS15000 fue publicada en noviembre del 2000. Más recientemente, el desarrollo de una estrategia de certificación ha dado un gran impulso a BS 15000, siendo hoy aceptado como un Estándar formal.<br />Después de 17 años, el estándar formal para la administración de servicios de TI por fin es una realidad. En 1989, dio inicio el proceso para desarrollar un estándar global para la Administración de Servicios de TI con el surgimiento del Estándar Británico (BS 15000), el cual recientemente alcanzó su objetivo final: ISO/IEC 20000. Este párrafo si te parece lo podemos dejar así, la razón es que este párrafo es como una entrada rápida al hoy, lo hice para suavizar la transición del texto temas del presente. <br />ISO/IEC 20000 fue sometido a un proceso rápido de evaluaciones (“Fast tracking”) que duró 14 meses. Estas incluyeron discusiones y una votación en la que participaron diversas organizaciones de estándares nacionales, resolución de comentarios, cambios finales y cambios en formatos para cumplir con las prácticas editoriales internacionales.<br />La publicación de ISO/IEC 20000, la implantación británica, BS ISO/IEC 20000 y el retiro de BS 15000 ocurrió el 15 de diciembre de 2005. Al mismo tiempo, los planes para el futuro de ISO/IEC 20000 se sometieron a SC 7, que es el comité ISO/IEC JTC-1 que produjo ISO/IEC 20000.<br />El “Fast tracking”, proceso al que fue sometido ISO/IEC 20000, se permite cuando un estándar es producido por una organización nacional de estándares, pero que es utilizado y reconocido por muchas naciones. Este fue el caso del estándar BS 15000, bajo el cual ya se han certificado organizaciones de todo el mundo. El estándar todavía está en dos partes, en la parte 1 se incluyen los requerimientos obligatorios y en la parte 2 recomendaciones optativas.Al día de hoy, ISO/IEC 20000 es con frecuencia, aunque de forma incorrecta, citado como ISO 20000. Ciertamente, ISO/IEC 20000 fue alineada al grupo de ISO 9000, pero está ubicado en diferente categoría y sujeto a otras reglas. Bertha, a lo que se refiere este párrafo es que, técnicamente, no es correcto llamar ISO 20000 al estándar. En realidad, debemos referirnos a él como ISO/IEC 20000.<br />Descripción general<br />ISO20000 es el primer estándar específico para el área de Administración de Servicios de TI. En él, se promueve la adopción de un enfoque de procesos integrados orientados a entregar efectivamente servicios administrados que satisfagan los requerimientos del negocio y del cliente.De acuerdo al InformationTechnologyService Management Forum (ITSMF), BS15000/ISO20000 puede ser usado por las organizaciones que busquen monitorear y mejorar la calidad del servicio; comparar su administración de servicios de TI; servir como base a una auditoría que podría conducir a la certificación formal y para demostrar su capacidad para proporcionar servicios acordes a las necesidades de los clientes.El estándar BS15000/ISO20000 se compone de dos documentos: El primero es la especificación formal, la cual define los requerimientos que debe cumplir una organización para garantizar una entrega de servicios de TI de calidad aceptable para sus clientes. Asimismo, el documento dos es un Código de Práctica que contiene ejemplos de prácticas/comportamientos/evidencias que pueden ser utilizados por las organizaciones para mejorar sus procesos de servicio. El Código de Práctica incluye recomendaciones y ejemplos de evidencias acerca de la forma en la que una organización puede cumplir con los requerimientos del documento uno.<br />Desarrollo de la temática<br />La norma se estructura en torno a la utilización de procesos integrados para la gestión de los servicios TI, posicionándolos en un modelo de referencia y, estableciendo todo aquello que es obligatorio para la buena gestión de los servicios TI. Estos procesos dan cobertura a las necesidades del ciclo de vida de los servicios, contemplando muchos de los procesos incluidos en la versión 2 de ITIL y otros adicionales, algunos de los cuales fueron posteriormente adoptados por ITIL en su nueva versión 3 publicada dos años más tarde. La especificación y los requisitos de ISO/IEC 20000 representan un consenso para la industria en estandarización de calidad para la gestión de los servicios TI. <br />La norma ISO/IEC 20000 cubre las siguientes secciones: <br />El Sistema de Gestión de Servicios TI (SGSTI).<br />Esta sección contempla la política y las actividades de trabajo necesarias para que una organización pueda realizar una eficiente implantación y gestión posterior de los servicios TI. El Sistema de Gestión de los Servicios TI cubre los aspectos de Responsabilidad de la dirección, requisitos de la documentación, competencia, concienciación y formación.<br />Planificación e Implementación de la Gestión del Servicio<br />En la actualidad es absolutamente necesario lograr una gestión efectiva de los servicios TI, pero no es suficiente ya que también es necesario lograr que la calidad de los servicios mejore de forma continua. Por este motivo uno de los objetivos fundamentales de la norma ISO/IEC 20000 es validar la mejora continua de la calidad de la gestión de los servicios, y para ello ha utilizado el modelo de mejora de la calidad definido por W. Edwards Deming aplicado inicialmente en la industria de la fabricación y empleado con éxito en otras normas ISO/IEC (9000, 27001, etc.)<br />Esta sección de la norma cubre los siguientes apartados:<br />La planificación de la gestión del servicio (Planificar), tiene como objetivo planificar la implantación y la provisión de la gestión del servicio, contemplando aspectos como, el alcance de la gestión del servicio, los enfoques de planificación, los eventos a considerar, el alcance y contenidos del plan, etc. <br />Entre los principales aspectos que se contemplan en este apartado podemos mencionar: <br />La definición del alcance del SGSTI <br />Definición de las políticas de gestión de servicios <br />Establecer los objetivos <br />Definir los procesos <br />Definir los recursos <br />Implementación de la gestión del servicio y la provisión del servicio (Hacer), su misión es la de implantar los objetivos de la gestión del servicio y el plan definidos. Entre los aspectos más relevantes que trata podemos mencionar: <br />Definir e implantar plan de gestión del servicio <br />Implantar los Procesos (documentación, responsables, registros, indicadores) <br />Implantar el Sistema de Gestión <br />Monitorización, medición y revisión (Verificar), su objetivo es monitorizar, medir y revisar que los objetivos y el plan de gestión del servicio definidos se están cumpliendo, poniendo de manifiesto la capacidad de los procesos para alcanzar los resultados planificados. <br />Como aspectos más relevantes podemos mencionar: <br />Desarrollo procedimientos de monitorización <br />Revisiones periódicas del SGSTI <br />Revisar objetivos y plan de gestión del servicio <br />Auditar internamente el SGSTI <br />Mejora continua (Actuar), su objetivo es mejorar la eficacia y la eficiencia de la entrega y de la gestión del servicio, contemplando aspectos como la política de mejora y la planificación de las mejoras del servicio. <br />Los aspectos más destacables son:<br />Identificar e implantar las mejoras <br />Adoptar acciones preventivas y correctivas <br />Comunicar acciones y resultados <br />Verificar que las mejoras cumplen su objetivo<br />Planificación e Implementación de Servicios<br />Esta sección contiene un solo proceso que tiene como objetivo asegurar que la creación de nuevos servicios, las modificaciones a los existentes e incluso la eliminación de un servicio, se puedan gestionar y proveer con los costes, calidad y plazos acordados. <br />Para ello, hay que gestionar el ciclo completo de la provisión y entrega de los servicios, realizando una planificación unificada e integrada, considerando los costes y el impacto a nivel organizativo, técnico ycomercial que pudiera derivar de su entrega y gestión, asegurando que todas las partes implicadas conocen y cumplen con el plan y los compromisos acordados. <br />Este proceso esbozado en la norma ISO/IEC 20000, e inexistente en ITIL tanto en la v2 como en la v3, comienza en el cliente y finaliza con el servicio entregado y operativo, o eliminado. Para lograr que todo funcione adecuadamente y sin duplicar actividades, debe sincronizar el funcionamiento del resto de procesos de gestión del servicio involucrados: Relaciones con el negocio, la Gestión del nivel de servicio, Generación de informes del servicio, etc., realmente debe actuar como un <br />“proceso director” que permita coordinar y encadenar la participación de todos los procesos de la gestión del servicio implicados. <br />Procesos de Provisión de Servicio.<br />En esta sección se tratan los requisitos necesarios para cubrir la provisión de los servicios que el cliente necesita, y todo aquello que es necesario en TI para poder prestar estos servicios. Para conseguir su objetivo ISO/IEC 20000 estructura esta sección en un conjunto de procesos con objetivos específicos y unitarios para evitar posibles conflictos. Seguidamente vamos a dar un repaso por los procesos que componen esta sección para conocer sus objetivos.<br />Gestión de Nivel de Servicio.<br />Este proceso aparentemente igual al de ITIL, se aligera de contenido en la norma, ya que parte de las funciones contempladas en ITIL se reparten en otros procesos, alguno de los cuales no tiene equivalencia en ITIL v2 ni v3. En ISO/IEC 20000 se establecen procesos específicos para actividades que en ITIL se realizan dentro de este proceso: Relaciones con el Negocio que se encarga de gestionar la relación con los clientes; Planificación e Implementación de servicios, nuevos o modificados.<br />Generación de informes del servicio<br />El objetivo de este proceso es generar los informes de servicios acordados, fiables, precisos y en plazo, de forma que permitan verificar si se están cumpliendo los requisitos y necesidades de los usuarios, e informar de la toma de decisiones con el fin de lograr una comunicación eficaz. <br />Gestión de la continuidad y disponibilidad del servicio<br />El objetivo de este proceso es conseguir que los compromisos de disponibilidad y continuidad puedan cumplirse en la forma en que se han acordado con los clientes. Este proceso debe controlar los riesgos y mantener la continuidad del servicio, tanto en situaciones de fallos o mal funcionamiento (disponibilidad) como en casos de catástrofes o desastres (continuidad). <br />Elaboración de presupuesto y contabilidad de los servicios de TI<br />El objetivo de este proceso es presupuestar y contabilizar los costes de la provisión del servicio. Como podemos observar en el objetivo de la norma no se contempla la facturación de los servicios, esto es debido a que en la práctica muchos proveedores de servicios no realizan una facturación formal de los servicios a sus clientes, principalmente las unidades internas de TI de las compañías. Por este motivo la norma considera esta actividad como opcional. Sin embargo, hay que recomendar a los proveedores que si hacen uso de la facturación el mecanismo utilizado debe estar plenamente definido y entendido por todas las partes. También hay que tener en cuenta que la facturación debe estar alineada con las prácticas contables tanto del país como las más específicas de la organización del proveedor del servicio.<br />Gestión de la Capacidad<br />El objetivo de este proceso es asegurar que el proveedor del servicio tiene en todo momento la capacidad suficiente para cubrir la demanda acordada, actual y futura, de las necesidades del negocio del cliente. Para poder realizar una gestión eficiente de la capacidad es necesario elaborar un plan de capacidad que este dirigido a las necesidades reales del negocio. El plan de capacidad contempla aspectos como los requisitos de capacidad de rendimiento, deevolución prevista tanto por cambios internos como por cambios externos, como por ejemplo legislativos, etc. <br />Gestión de Seguridad de la Información<br />El objetivo de este proceso es gestionar la seguridad de la información de manera eficaz para todas las actividades del servicio. Para establecer una gestión de la seguridad es necesario establecer, y comunicar a todo el personal, una política de seguridad que contemple los controles adecuados para gestionar los riesgos asociados al acceso a los servicios o a los sistemas. Adicionalmente, y para aquellas organizaciones que requieran un alto nivel en la gestión de la seguridad de la información existe una norma específica, ISO/IEC 27001, que proporciona un código de prácticas para la gestión de la seguridad de la información.<br />Procesos de Relaciones<br />Los proveedores de servicio TI tienen dos puntos externos de relación, por una parte se encuentra la relación con el negocio y los clientes a los que da servicio, y por la otra está la relación con sus suministradores, fundamental para el soporte y evolución del servicio. Una adecuada gestión de estas relaciones posibilita el control adecuado de los dos factores externos a la organización que son claves para la realización de una correcta gestión del servicio TI. En esta sección ISO/IEC 20000 trata los requisitos necesarios para cubrir estas relaciones mediante dos procesos específicos: Gestión de Relaciones con el Negocio y Gestión de Suministradores. Finalmente es interesante mencionar que esta sección de ISO/IEC 20000 también ha influenciado a ITIL, que en su versión 3 ha incluido un proceso específico para la gestión de suministradores. Sin embargo, no han incluido ningún proceso específico para gestionar de forma adecuada la relación con los clientes.<br />Gestión de las relaciones con el negocio<br />El objetivo de este proceso es establecer y mantener una buena relación entre el proveedor del servicio y el cliente, basándose en el entendimiento del cliente y de los fundamentos de su negocio. La gestión de la relación con el negocio asegura que todas las partes implicadas en la provisión de un servicio, incluyendo también al propio cliente, están identificadas y gestionadas, responsabilizándose de dar una respuesta adecuada a las demandas del cliente gracias a su función de interfaz entre el negocio y las áreas de TI. Esto se logra negociando y acordando los niveles deservicio a proveer, monitorizando e informando acerca del rendimiento del servicio, y creando una relación de negocio eficaz entre la organización TI y sus clientes. En este proceso se vela por la satisfacción del cliente atendiendo sus reclamaciones y revisando periódicamente los acuerdos y contratos establecidos. Adicionalmente también debe permanecer al tanto de las necesidades del negocio y de los principales cambios en el mismo para preparar una respuesta a dichas necesidades. <br />Gestión de suministradores<br />El objetivo de este proceso es gestionar los suministradores para garantizar la provisión, sin interrupciones, de servicios de calidad. Actualmente la creación de valor, ya sea en tecnología, marketing o fabricación, se está volviendo tan complejo que un solo departamento o compañía no está en disposición de poder dominarlo en solitario. Esta situación está llevando a las organizaciones, que buscan mejorar su rendimiento, a considerar que competencias son esenciales para su negocio, potenciándolas internamente y ampliando sus capacidades mediante socios tanto en actividades internas como externas. Este proceso da cobertura a la gestión de suministradores mediante los controles necesarios para normalizar y acordar con todas las partes los acuerdos de servicio alineados son los SLAs establecidos con los clientes. También contempla el comportamiento de estos acuerdos de servicio mediante la monitorización y revisión de las prestaciones obtenidas frente a los objetivos establecidos, identificando y proponiendo acciones de mejora. Para finalizar es importante destacar que este proceso no contempla la selección de suministradores al considerar que es una actividad previa, fuera del ámbito de las actividades de gestión.<br />Procesos de Resolución<br />Los procesos de resolución son gestión del incidente y gestión del problema, estos procesos tienen un alto grado de relación aunque tienen objetivos diferenciados. Gestión del incidente se encarga de la recuperación de los servicios a los usuarios tan pronto como sea posible, y gestión del problema tiene la misión de identificar y eliminar las causas de los incidentes para que no vuelvan a producirse. <br />Gestión del incidente<br />El objetivo de este proceso es restaurar el servicio acordado con el negocio tan pronto como sea posible o responder a peticiones de servicio. Para conseguir el objetivo es necesario tratar de forma adecuada los sucesos que provocan la degradación o pérdida del funcionamiento normal de un servicio, priorizando la atención de las incidencias de acuerdo a los compromisos de servicio establecidos, y reduciendo el impacto provocado gracias a una resolución oportuna. <br />Gestión del problema<br />El objetivo de este proceso es minimizar los efectos negativos sobre el negocio de las interrupciones del servicio, mediante la identificación y el análisis reactivo y proactivo de la causa de los incidentes y la gestión de los problemas para su cierre. Uno de los aspectos más relevantes de este proceso es identificar la causa raíz de los fallos que ocurren o que potencialmente pueden ocurrir, al objeto de asegurar la estabilidad de los servicios, y que los problemas no ocurran o se vuelvan a repetir. Gracias a su correcta implantación es posible mejorar la calidad global de los servicios TI, estabilizar el entorno de producción manteniendo el funcionamiento normal del negocio y acometer proyectos de mejora que permitan erradicar fallos en el servicio. <br />Procesos de Control<br />La gestión de la configuración y del cambio son dos procesos sobre los que pivotan el resto de procesos de la gestión del servicio TI, gracias a ellos el proveedor de servicios puede controlar adecuadamente los cambios que se producen en los componentes del servicio y la infraestructura que los soporta, y disponer de una base de información precisa y actualizada de la configuración, elemento indispensable para la toma de decisiones de todos los procesos incluido gestión del cambio<br />Gestión de la configuración<br />El objetivo de este proceso es definir y controlar los componentes del servicio y de la infraestructura, manteniendo información precisa y actualizada sobre la configuración. Este proceso se ocupa de la identificación, control y verificación de los Elementos de Configuración que componen un servicio, registrando su estado y dando información para el apoyo al resto de los procesos de Gestión de TI. Por lo tanto, gestión de la configuración es el proceso que garantiza que la información necesaria para la adecuada gestión de los servicios TI está correctamente registrada y administrada. <br />Gestión del cambio<br />El objetivo de este proceso es asegurar que todos los cambios son evaluados, aprobados, implementados y revisados de una manera controlada. Este proceso controla los cambios de forma eficiente de acuerdo con los compromisos de servicio y con el mínimo impacto en el entorno de producción. Para ello implanta una gestión integral de los cambios proporcionando una visión conjunta que facilita al análisis de los riesgos y la toma de medidas a adecuadas para garantizar el éxito del los cambios y minimizar su impacto negativo en el negocio de los clientes. <br />Procesos de Entrega<br />Gestión de la entrega<br />El objetivo de este proceso es entregar, distribuir y realizar el seguimiento de uno o más cambios en la entrega en el entorno de producción real. Gestión de la entrega realiza la planificación y gestión de los recursos que permite distribuir correctamente un lanzamiento al cliente. Para realizar con éxito esta tarea, este proceso tiene una visión global de los servicios, con lo que se garantiza que todos los aspectos que afecten a las entregas, tanto técnicos como no técnicos, se analizan y tratan globalmente. <br />Comparativo con COBIT<br />COBIT al igual que la norma ISO/IEC 2000 se ocupan de la garantía de la continuidad, eficiencia y gestión de los procesos de TI para ponerlos en favor de la gerencia; estas normas no compiten entre sí, en realidad se complementan mutuamente, mientras COBIT tiende a ser bastante amplio para cumplir y suplir todas las necesidades y procesos de las organizaciones la norma ISO/IEC 2000 se centra y profundiza en el ámbito de la seguridad.<br />Para el mapeo de detalle, la ISO/IEC 2000 la información se dividió en pedazos pequeños (requisitos de información). Estos requisitos de información de la norma ISO/IEC 2000 fueron asignadas de manera detallada a los objetivos de control de COBIT. Cerca de 1.000 requerimientos de información fueron asignadas a 316 objetivos de control de COBIT. El documento de mapeo detallado se describe cómo estas dos normas están relacionadas entre sí y cómo todos los requisitos detallados de la norma ISO/IEC 17799:2000 se pueden integrar con COBIT. <br />Dominios de COBIT12345678910111213Planificar y organizar-+--++++--oAdquirir y aplicar+oo-o+Entrega y Soporte-+o++-+ooo+++Monitorear y evaluar-o-o<br />(+) Mas de dos objetivos de la ISO/IEC 17799:2000 fueron asignadas a un proceso de COBIT (O) Uno o dos objetivos de la ISO/IEC 17799:2000 fueron asignadas a un proceso de COBIT<br />(-) Cero o menos objetivos de la ISO/IEC 17799:2000 fueron asignadas a un proceso de COBIT<br />Las zonas vacías indican que las normas no coinciden en estos aspectos <br />El documento de mapeo proporciona una buena visión general de ambas normas, COBIT, así como la norma ISO/IEC 17799:2000. El documento es una profunda fuente de información para todas las partes interesadas y responsables del gobierno de TI, gestión de seguridad de la información y sus respectivos controles. Que proporciona una idea clara de cómo COBIT y la ISO/IEC 2000 se interrelacionan y encajan.<br />NORMAS IEEE SOBRE SOFTWARE E INGENIERÍA DE SOFTWARE<br />Historia y Evolución<br />Descripción general de la temática<br />La IEEE como creador y especialista en materia de normas y estándares, no se ha quedado atrás en la rama de la ingeniería de software y por ello posee una gran cantidad de estándares de gran reconocimiento y aplicabilidad a todas las organizaciones que se dedican a desarrollos de software y requieren de las mejores prácticas en la materia. Entre las más conocidas de estas normas están:<br />Glosario Estándar de terminología de la IEEE sobre Ingeniería de Software<br />Estándar IEEE sobre la taxonomía de Normas de Ingeniería del Software<br />IEEE Plan para la Gestión de Proyectos Software<br />Recomendaciones prácticas para la adopción de software asistida por computador para herramientas CASE<br />Estándar ISO/IEC/IEEE para sistemas de ingeniería de software – Procesos de ciclo de vida del software<br />Estándar internacional IEEE ISO/IEC 14764 sobre ingeniería de software – Proceso de cicle de vida del software – Mantenimiento<br />ISO/IEC/IEEE Systems and Software Engineering - System Life Cycle Processes<br />IEEE Standard adoption of ISO/IEC 15939:2007 systems and softwareengineering measurement process <br />Systems and Software Engineering - Life Cycle Processes - Risk Management <br />Systems and software engineering - Life cycle processes - Project management <br />IEEE Guide--Adoption of ISO/IEC 90003:2004 Software Engineering - Guidelines for the Application of ISO 9001:2000 to Computer Software <br />ISO/IEC Standard for Systems and Software Engineering - Recommended Practice for Architectural Description of Software-Intensive Systems <br />IEEE Recommended Practice on Software Reliability <br />ISO/IEC Standard for Systems and Software Engineering - Recommended Practice for Architectural Description of Software-Intensive Systems <br />IEEE Draft Guide Adoption of ISO/IEC TR14471 Information technology -Software engineering - Guidelines for the adoption of CASE tools <br />Draft Standard X Software and systems engineering -Content of life-cycle information products (documentation) <br />IEEE Standard for Software Engineering - Recommended Practice for the Internet - Web Site Engineering, Web Site Management, and Web Site Life Cycle<br />ISO/IEC Draft IEEE Guide Systems and software engineering-Guide for life cycle processes<br />Draft International Standard - Systems and Software Engineering - Vocabulary <br />IEEE Draft Standard Systems and software engineering - Requirements for acquirers and suppliers of user documentation <br />IEEE Draft Standard Adoption of ISO/IEC 26513:2009 -- Systems and Software Engineering -- Requirements for Testers and Reviewers of User Documentation <br />IEEE Draft Standard Adoption of ISO/IEC 26514:2008 - Systems and Software Engineering - Requirements for Designers and Developers of User Documentation<br />Desarrollo de la temática<br />A continuación se describen las temáticas de las normas más conocidas de la IEEE para el software e ingeniería de software:<br />Glosario Estándar de terminología de la IEEE sobre Ingeniería de Software<br />Describe el estándar IEEE 610.12-1990, el estándar IEEE, glosario de terminología de la ingeniería de software, que identifica los términos que se utilizan actualmente en el campo de la ingeniería de software. Definiciones estándar de los términos establecidos.<br />Estándar IEEE sobre la taxonomía de Normas de Ingeniería del Software<br />La norma 1002 describe la forma y el contenido de un estándar taxonómico para la ingeniería de software. La aplicación no está restringida por la aplicación de software, el tamaño, la complejidad, la criticidad o el medio ambiente de hardware. Esta taxonomía se aplica a las normas (de las disciplinas relacionadas con la gestión de ingeniería, ingeniería de sistemas, ingeniería de hardware, informática y ciencias de la información), lo que un ingeniero de software razonablemente debería conocer. Esta taxonomía es una aplicación independiente. El documento explica los diferentes tipos de normas de ingeniería de software, sus relaciones funcionales y externas, y el papel de las diversas funciones que participan en el ciclo de vida del software.<br />IEEE Plan para la Gestión de Proyectos Software<br />Este estándar especifica el formato y contenidos de los planes para la gestión de proyectos software. No especifica las técnicas exactas que pueden ser usadas en el desarrollo de los planes de proyectos, ni ofrece ejemplos de los planes de gestión de proyectos. Cada organización que usa este estándar debería desarrollar un conjunto de prácticas y procedimientos para proporcionar una guía detallada para la preparación y actualización de los planes de gestión de los proyectos software basada en este estándar. Estas prácticas detalladas y procedimientos deberían tener en cuenta los factores del entorno, organizacionales y políticos que pueden influenciar en la aplicación de este estándar.<br />Recomendaciones prácticas para la adopción de software asistida por computador para herramientas CASE<br />Una visión general del proceso de adopción de herramientas CASE dirigidas, incluyendo el análisis de las necesidades de la organización y la preparación para la automatización, el uso de un proyecto piloto, y definición de las actividades necesarias para integrar las nuevas tecnologías en los estándares organizacionales de ingeniería de software que en la práctica son suministradas.<br />Estándar ISO/IEC/IEEE para sistemas de ingeniería de software – Procesos de ciclo de vida del software<br />Esta Norma Internacional establece un marco común para los procesos de ciclo de vida del software, con una terminología bien definida, que puede hacer referencia a la industria del software. Se aplica a la adquisición de sistemas y productos de software y servicios, con el suministro, desarrollo, operación, mantenimiento y eliminación de productos de software y la parte de software de un sistema, bien sea interna o externamente a una organización. Los aspectos de la definición del sistema necesarios para proporcionar el contexto para los productos de software y servicios que están incluidos.<br />Standard for Software Engineering - Software Life Cycle Processes - Maintenance<br />Esta Norma Internacional describe en mayor detalle la gestión del proceso de mantenimiento descrito en la norma ISO/IEC 12207, incluidas las enmiendas, también establece las definiciones de los diversos tipos de mantenimiento. Proporciona orientación que se aplica a la planificación, ejecución y control, revisión y evaluación, y el cierre de los procesos de mantenimiento. El ámbito de aplicación de esta norma internacional incluye el mantenimiento de múltiples productos de software con los mismos recursos de mantenimiento. Esta norma tiene por objeto proporcionar orientación para la planificación y el mantenimiento de productos o servicios de software, ya sea de forma interna o externa a la organización. <br />IEEE Standard adoption of ISO/IEC 15939:2007 systems and software engineering measurement process<br />Estándar IEEE para la Adopción de la Norma ISO/IES 15939:2007 del Sistema de Ingeniería del Software para la Medición de Procesos, el proceso se describe a través de un modelo que define las actividades del proceso de medición que se requieren para especificar la información adecuada, como las medidas y los resultados de los análisis deben aplicarse, y cómo determinar si los resultados del análisis son válidos. El proceso de medición es flexible, modificable, y adaptable a las necesidades de diferentes usuarios. Esta Norma Internacional identifica un proceso que apoya la definición de un conjunto adecuado de medidas que aborden las necesidades específicas de información. Iguala las actividades y tareas que son necesarias para identificar, definir, seleccionar, aplicar y mejorar la medición dentro de un proyecto global o la estructura de medición de la organización. <br />Systems and software engineering - Life cycle processes - Project management<br />Sistemas e Ingeniería del Software – Ciclo de Vida de Procesos – Gestión de proyectos, ISO/IEC/IEEE 16326:2009 proporciona normativo especificaciones del contenido de los planes de gestión de proyectos que abarcan los proyectos de software. También proporciona una discusión detallada y asesoramiento sobre la aplicación de un conjunto de procesos de los proyectos que son comunes al software y el ciclo de vida de los sistemas regulados por la norma ISO/IEC 12207:2008 (IEEE Std 12207-2008) e ISO/IEC 15288:2008 (IEEE Std. 152882008), respectivamente. La discusión y asesoramiento destinados a la ayuda en la preparación del contenido normativo de los planes de gestión de proyectos. La norma ISO/IEC/IEEE 16326:2009 es el resultado de la armonización de la norma ISO/IEC TR 16326:1999 y la IEEE Std 1058-1998 previamente explicada. <br />IEEE Recommended Practice on Software Reliability<br />Practicas Recomendadas en la Fiabilidad del Software, Los métodos para evaluar y predecir la fiabilidad del software, basado en un enfoque del ciclo de vida de confiabilidad del software, se establecen en estas prácticas. Proporciona la información necesaria para la aplicación de la fiabilidad del software, de medición a un proyecto, establece las bases para la creación de métodos que sean compatibles, y establece el principio básico para la recolección de los datos necesarios para evaluar y predecir la fiabilidad del software. <br />IEEE Draft Guide Adoption of ISO/IEC TR14471 Information technology -Software engineering - Guidelines for the adoption of CASE tools<br />Desde la aprobación de herramientas CASE es un tema de las tecnologías de transición, el presente informe técnico se refiere a la adopción de prácticas adecuadas para una amplia gama de organizaciones de la informática. Este informe técnico ni dicta ni defensores de las normas especiales de desarrollo, los procesos de software, métodos de diseño, metodologías, técnicas, lenguajes de programación, o paradigmas de ciclo de vida. <br />IEEE Draft Standard Adoption of ISO/IEC 26513:2009-Systems and Software Engineering -Requirements for Testers and Reviewers of User Documentation<br />Adopción de la norma ISO/IEC 26513:2009 Sistemas e Ingeniería del Software - Requerimientos para Probadores y Revisión de la Documentación del Usuario, esta norma establece los requisitos para el examen y revisión de la documentación del usuario, como parte de los procesos del ciclo de vida. Se define el proceso de documentación desde el punto de vista del probador de documentación y revisor. Se especifica el proceso para suuso en las pruebas y el examen de la documentación del usuario, y proporciona los requisitos mínimos para estas actividades. Es pertinente a las funciones implicadas en la evaluación y desarrollo de software y la documentación de usuario, incluidos los directores de proyecto, expertos en usabilidad y desarrolladores de la información, además de los examinadores y evaluadores. Se aplica a ambos la documentación impresa y la documentación en pantalla, y es aplicable a la documentación de usuario para los sistemas que incluyen hardware. <br />IEEE Draft Standard Adoption of ISO/IEC 26514:2008 - Systems and SoftwareEngineering - Requirements for Designers and Developers of User Documentation<br />Se define el proceso de documentación desde el punto de vista del desarrollador de documentación. También cubre la documentación del producto. Se especifica la estructura, contenido y formato de la documentación del usuario, y también proporciona orientación informativa para el estilo de la documentación del usuario. Es independiente de las herramientas de software que pueden ser utilizados para producir la documentación, y se aplica tanto a la documentación impresa y la documentación en pantalla.<br />Comparativo con COBIT<br />Más que relaciones esenciales o derivadas de un comparativo entre COBIT y las normas IEEE sobre ingeniería de software, se pueden encontrar concordancias directas e indirectas entre los procesos que se realizan en la ingeniería de software y los que COBIT controla, aunque pocos en número, en su definición los procesos de COBIT son bastante amplios para referirse a los procedimientos de análisis, diseño, implementación y post-implementación de software.<br />Los procesos relacionados con la ingeniería de software en el marco de trabajo COBIT, se encuentran en el dominio Adquirir implementar, y específicamente en los procesos AI2: Adquirir y mantener software aplicativo, AI6: Administrar cambios, AI7: Instalar y acreditar soluciones de cambio. <br />ISO/IEC 15404: SPICE<br />Historia y evolución<br />En el año de 1993 se aprueba el programa de trabajo para desarrollar un estándar que permitiera evaluar los procesos de software; es así como surge la fase I de la norma ISO/IEC 15404: SPICE en el año 1995. Para el año 1996, se propicia el uso de la herramienta SPICE en las organizaciones con el fin de determinar qué resultados se obtuvieron y mejorar el modelo para una publicación final. La fase III del proyecto SPICE se inicia a finales del año 1999 y se perfecciona el modelo que en la actualidad se aplica.<br />Descripción general de la temática<br />El proyecto SPICE (Software ProcessImprovement and CapabilityDetermination) es una actividad del WG 10 del Subcomité 7 del ISO/IEC JTC1, un estándar internacional para procesos de desarrollo de software que provea de un marco de trabajo uniforme para gestión e ingeniería del software.<br />SPICE es una norma que trata los procesos de ingeniería, gestión, relación cliente-proveedor, de la organización y del soporte.<br />Fue creada por la alta competencia del mercado de desarrollo de software, a la difícil tarea de identificar los riesgos, cumplir con el calendario, controlar los costos y mejorar la eficiencia y calidad. Este engloba un modelo de referencia para los procesos y sus potencialidades sobre la base de la experiencia de compañías grandes, medianas y pequeñas.<br />Desarrollo de la temática<br />Software ProcessImprovement and CapabilityDetermination (SPICE)<br />Propósito<br />Estándar de evaluación de procesos de software para:<br />Mejora continua<br />Evaluación de la capacidad<br />Como base para el comercio internacional de software<br />Alcance<br />Ejecutar, planificar, gestionar, controlar y mejorar los procesos de:<br />Adquisición<br />Suministro<br />Desarrollo<br />Operación<br />Soporte<br />-346710538480Dimensión de los procesos<br />Dimensión de capacidad<br />Los atributos de proceso están organizados en niveles de capacidad, permitiendo una puntuación única generada para el proceso, estos niveles de capacidad representan incrementos en la capacidad del proceso, en una escala de 6 puntos desde: cero que indican que los procesos están incompletos: el proceso no es capaz de conseguir sus objetivos, hasta cinco, en el que el proceso está en optimización: el proceso es capaz de alcanzar sus objetivos y está continuamente mejorando. Esta escala define un camino para la mejora individual de cada proceso.<br />Niveles de capacidad<br />5-En Optimización<br />5.1 Cambio de los procesos<br />5.2 Mejora continua<br />4 – Predecible<br />4.1 Medición de los procesos<br />4.2 Control de los procesos<br />3 – Establecido<br />3.1 Definición de los procesos<br />3.2 Recursos de los procesos<br />2 – Gestionado<br />2.1 Gestión del proceso<br />2.2 Gestión de los productos<br />1 – Realizado<br />1.1 Ejecución del proceso<br />0 – Incompleto<br />Evaluación del proceso<br />Preparación de la evaluación:<br />Determinación del propósito<br />Selección del modelo<br />Definición del patrón o perfil objetivo<br />Selección de los procesos a evaluar/mejorar<br />Determinación de los niveles de capacidad para cada proceso<br />Conducción de la evaluación<br />Definición del contexto<br />Unidad organizativa<br />Dominio de productos y servicios<br />Proyectos a evaluar<br />Recogida estructurada de datos<br />Puntuación<br />Análisis<br />2724154881880-99060128905<br />Comparativo con COBIT<br />Es difícil encontrar las semejanzas entre dos normas con objetos diferentes, mientras el COBIT es un marco general para todos los procesos organizacionales, mientras que la norma ISO/IEC 15404 se ocupa de la gestión e ingeniería del software. Sin embargo se encuentran algunas concordancias en cuanto a su alcance puesto que se centran en ejecutar, planificar, gestionar, controlar y mejorar los procesos de adquisición, suministro, desarrollo y operación. <br />ISO/IEC 15408:2005<br />Historia y evolución<br />CommonCriteria (o ISO-IEC 15408) es una estándar internacional de certificación de productos TI, resultado de una intensa y larga negociación entre 14 países entre los que figura España como firmante del acuerdo a través del Ministerio de Administraciones Públicas.<br />Este estándar proporciona unos criterios de evaluación unificados para la seguridad de los productos TI y recoge todos los esfuerzos realizados desde los años 80 en este campo (TCSEC en Estados Unidos, ITSEC en la Comunidad Europea, CTCPEC en Canadá, Federal Criteria como un primer intento de acercamiento entre Estados Unidos y Europa, etc.).<br />Por los años 90 surgió la necesidad de conocer qué requisitos de seguridad satisfacía un determinado software, hardware o firmware. Mediante la combinación de los criterios aplicados en Inglaterra, Estados Unidos y Canadá, se constituyó y adoptó por la International OrganizationforStandardization los Criterios Comunes de Evaluación de Seguridad para Tecnologías de la Información.<br />Gracias a CommonCriteria, los usuarios pueden determinar si un producto proporciona el nivel de seguridad que necesita siguiendo unos criterios estándar y no simples percepciones personales. CommonCriteria exige a los fabricantes de los productos certificados publicar una documentación exhaustiva sobre la seguridad de sus productos y que los usuarios puedan tener plena confianza en las evaluaciones de CommonCriteria ya que son realizadas por laboratorios independientes. De hecho, la evaluación de CommonCriteria es cada vez más utilizada como condición necesaria para participar en concursos públicos.<br />En definitiva, la existencia de un estándar de este tipo proporciona un lenguaje común entre los fabricantes, los usuarios y las administraciones que todos pueden entender de la misma manera.<br />Los fabricantes utilizarán este lenguaje para definir las características de sus productos, los usuarios tendrán una manera única de especificar sus requerimientos, etc.<br />Descripción general de la temática<br />ISO/IEC 15408-1:2005 define dos formas para expresar los requerimientos de seguridad funcional y seguridad. El perfil de protección (PP) la construcción permite la creación de sistemas reutilizables generalizada de estos requisitos de seguridad. El PP puede ser utilizado por los consumidores potenciales para la especificación e identificación de productos con características de seguridad de TI que satisfagan sus necesidades. El objetivo de seguridad (ST) expresa los requisitos de seguridad y especifica las funciones de seguridad de un determinado producto o sistema a evaluar, llamado el objetivo de la evaluación (TOE). El ST es utilizado por los evaluadores como base de las evaluaciones realizadas de conformidad con la norma ISO / IEC 15408.<br />Desarrollo de la temática<br />ISO/IEC 15408 proporciona un conjunto común de requisitos para la funcionalidad de seguridad de los productos y para las medidas de garantía de calidad aplicados a estos productos de TI durante una evaluación de la seguridad. Estos productos de TI pueden ser implementados en el hardware, firmware o software. El proceso de evaluación establece un nivel de confianza en que la funcionalidad de seguridad de estos productos de TI y la garantía de las medidas aplicadas a estos productos de TI cumple con estos requisitos. Los resultados de la evaluación pueden ayudar a los consumidores para determinar si estos productos de TI cumplen con sus necesidades de seguridad. ISO/IEC 15408 es útil como una guía para el desarrollo, evaluación y / o adquisición de productos de TI con funcionalidad de seguridad. ISO/IEC 15408 es intencionalmente flexible, permitiendo una variedad de métodos de evaluación que se aplica a una gama de propiedades de seguridad de una gama de productos de TI. En consecuencia, el hecho de que un producto informático se ha evaluado sólo tiene sentido en el contexto de la seguridad en términos de las propiedades que fueron evaluadas y los métodos de evaluación que se utilizaron. A las autoridades se les recomienda comprobar cuidadosamente los productos, propiedades y métodos para determinar que una evaluación proporcionará resultados significativos. Además, los compradores de los productos evaluados se les recomiendan considerar cuidadosamente este contexto para determinar si el producto evaluado es útil y aplicable a su situación específica y necesidades. <br />ISO/IEC 15408 se enfoca en las direcciones de protección de activos, la divulgación no autorizada, modificación o pérdida de información. Las categorías de protección en relación con estos tres tipos de fracaso de la seguridad que comúnmente se denomina la confidencialidad, integridad y disponibilidad, respectivamente. ISO/IEC 15408 también puede ser aplicable a los aspectos de la seguridad informática fuera de estos tres. ISO/IEC 15408 es aplicable a los riesgos derivados de las actividades humanas (malintencionados o no) y a riesgos derivados de actividades no humanas. Aparte de la seguridad de TI, ISO/IEC 15408 puede ser aplicado en otros las áreas de TI, pero no puede asegurarse la aplicación en estas áreas, especialmente porque implican técnicas especializadas o porque son algo periférico a la seguridad informática, y por esto se consideran fuera del ámbito de aplicación de la norma ISO/IEC 15408. Algunos de estos se identifican a continuación. <br />Un ISO/IEC 15408 no contiene criterios de evaluación de actividades relativas a la seguridad administrativa y medidas no relacionadas directamente con la funcionalidad de seguridad de TI. Sin embargo, se reconoce que aspectos importantes de seguridad a menudo se puede lograr a través de o con el apoyo de las medidas administrativas como la organización, personal, física, y los controles de procedimiento. <br /> La evaluación física de algunos aspectos técnicos de seguridad de TI, tales como control de emanación electromagnética no está específicamente cubierto, aunque muchos de los conceptos tratados serán aplicables al área. <br />La norma ISO/IEC 15408 no se refiere a la metodología de evaluación en las que los criterios deben aplicarse. Esta metodología se da en la norma ISO/IEC 18045. <br />La norma ISO/IEC 15408 no se refiere al marco administrativo y jurídico en que los criterios pueden ser aplicada por las autoridades de la evaluación. Sin embargo, se espera que la ISO/IEC 15408 será utilizada para la evaluación efectos en el contexto de dicho marco. <br />Los procedimientos para el uso de resultados de la evaluación en la acreditación están fuera del alcance de la norma ISO/IEC 15408. La acreditación es el proceso administrativo mediante el cual se otorga autorización para el funcionamiento de un producto informático (o grupo de ellos) en su entorno operativo completo. Los resultados del proceso de evaluación son un insumo para el proceso de acreditación. Sin embargo, como otras técnicas son más adecuados para las evaluaciones de TI relacionados con propiedades y no con su relación con las partes de seguridad de TI, acreditadores deben hacer provisiones separadas para esos aspectos. <br />El tema de los criterios para la valoración de las cualidades inherentes de los algoritmos de cifrado no es cubiertos en la norma ISO/IEC 15408. En caso de evaluación independiente de las propiedades matemáticas de la criptografía ser necesario, el sistema de evaluación en virtud del cual la norma ISO/IEC 15408 es aplicado debe prever tales evaluaciones. <br />Ámbito de aplicación<br />Esta parte de la norma ISO / IEC 15408 establece los conceptos y principios generales de evaluación de la seguridad de TI y especifica el modelo general de la evaluación propuesta por varias partes de la Norma Internacional que en su totalidad es destinado a ser usado como base para la evaluación de las propiedades de seguridad de productos de TI. Proporciona una visión general de todas las partes de la norma ISO / IEC 15408. En él se describen las distintas partes de la norma, define los términos y abreviaturas que se utilizan en todas las partes de la Norma Internacional, establece el concepto básico de un Objeto de Evaluación (TOE), el contexto de la evaluación, y describe a la audiencia a la que la evaluación criterios se abordan. Una introducción a los conceptos de seguridad básicos necesarios para la evaluación de productos de TI se le da. En él se definen las distintas operaciones en la que él y la garantía de los componentes funcionales de la Norma ISO/IEC 15408-2 e ISO / IEC 15408-3 se pueden adaptar mediante el uso de operaciones permitidas. Los conceptos clave de perfiles de protección (PP), los paquetes de requisitos de seguridad y el tema de la conformidad se especifican y las consecuencias de la evaluación y resultados de la evaluación se describen. Esta parte del ISO / IEC 15408 proporciona directrices para la especificación de objetivos de seguridad (ST) y proporciona una descripción de la organización de los componentes de todo el modelo. Información general sobre la metodología de evaluación es dada en la norma ISO/IEC 18045 y el alcance de los sistemas de evaluación se proporciona. <br />Las referencias normativas<br />Los documentos citados a continuación son indispensables para la aplicación de esta parte de la norma ISO/IEC 15408. <br />ISO / IEC 15408-2, la tecnología de la información - Técnicas de seguridad - Criterios de evaluación de la seguridad de TI <br />Seguridad funcional de los componentes ISO / IEC 15408-3, la tecnología de la información - Técnicas de seguridad - Criterios de evaluación de la seguridad de TI <br />Componentes de seguridad de garantía de ISO/IEC 18045, la tecnología de la información - Técnicas de seguridad - Metodología para la evaluación de la seguridad TI<br />Comparativo con COBIT<br />CaracterísticasISO/IEC 15408COBITGobierno integral de TIModelo específico para el desarrollo de softwareModelo específico para políticas de seguridad de TINiveles de capacidadListas de chequeoObjetivos de alto nivelAlineación de TI con el negocioGestión de recursosPlan estratégico de TIDefinición de la arquitectura de la informaciónSupervisión del funcionamiento del sistemaAuditoria de la gestiónAudita el control de calidad en el desarrollo de softwareInvolucra a todos los usuarios de la organizaciónTrabaja sobre los dominios de gobierno de TISe interrelaciona con otras normas<br />ISO/IEC 19770<br />Historia y evolución<br />Es una norma internacional, lanzada en 2006, desarrollada para ayudar a las organizaciones a colocar procesos y procedimientos para un efectivo control de activos informáticos (Software Asset Management, SAM). Esta norma está diseñada para ayudar a administrar riesgos, conocer los requerimientos para la administración de activos TI y mejorar la rentabilidad y efectividad del software en toda la organización.<br />El estándar lo conforman dos partes:<br />ISO/IEC 19770-1 enfocado a la importancia de una efectiva administración de activos de software (publicada el 9 de mayo de 2006)<br />ISO/IEC 19770-2 define los requerimientos de datos para dar soporte a ISO 197770-1<br />La norma ISO/IEC 19770-1 no aborda únicamente el tema de la conformidad y auditorias de software. Aunque estos son los componentes más importantes, el estándar para el SAM abarca cada aspecto de negocio y la manera en que el software y la administración de procesos y procedimientos TI, son manejados con eficacia por la dirección.<br />Descripción de la temática<br />Software Asset Management (SAM) fundamentalmente se aplican a los medios de comunicación, instalaciones, licencias, documentación de la licencia, y la propiedad intelectual relacionados con el software. Hasta ahora la aplicación de estos procesos de negocio han sido arbitrarios y relativamente pocas organizaciones han sido capaces de aplicar una estrategia global. La aplicación de la norma ISO/IEC 19770-1:2006 es un marco estándar que permite a las empresas integrar SAM a cabalidad y otros modelos de mejores prácticas.<br />"La norma ayudaría a las empresas a gestionar mejor sus activos de software y sus licencias de acompañamiento", explica Roger Wittlock, Coordinador del grupo de trabajo que elaboró el documento. "Las empresas que entienden los patrones de uso, inventario de activos y los términos específicos del contrato pueden ahorrar potencialmente millones en costos de licencias y cuotas de mantenimiento por cada año."<br />ISO/IEC 19770:2006, se divide en dos partes bajo el título general, gestión de activos de software, permitirá a los proveedores de servicios entender la forma de mejorar la calidad del servicio prestado a sus clientes, tanto internos como externos.<br />La parte uno describe los procesos que intervienen en el SAM, mientras la parte dos define una identificación del producto que va a simplificar el procesos de inventario de software. En octubre de 2007, los miembros de la ISO/IEC Grupo de Trabajo 21 (ISO/IEC JTC 1/SC 7/WG 21) se reunió en Montreal y ha creado un "grupo de trabajo de otros" (OWG) para continuar con el desarrollo de la norma 19770-2 con el objetivo de finalizar la norma en el tiempo para la reunión de ISO plenaria que se celebró en mayo de 2008 en Berlín. En ese momento, Steve Klos de Agnitio Asesores, fue designado como el coordinador del otro grupo de trabajo (OWG). A finales de diciembre de 2007, el OWG se le permitió reiniciar el trabajo sobre la norma.<br />Desarrollo de la temática<br />ISO/IEC 19770 es una norma internacional sobre Software Asset Management (SAM) y consta de tres partes.<br />ISO/IEC 19770-1 es un marco de procedimiento que permita a una organización para demostrar que está realizando la gestión de activos de software a un nivel suficiente para satisfacer los requisitos de gobierno corporativo y garantizar un apoyo eficaz para la gestión de servicios en general.<br />ISO/IEC 19770-2 proporciona un software de gestión de activos (SAM) de datos estándar para etiquetas de identificación de software.<br />ISO/IEC 19770-3 proporcionará un software de gestión de activos (SAM) de datos estándar para etiquetas de derecho de concesión de licencias de software.<br />Procesos de ISO/IEC 19770-1<br />Es un marco de Software Asset Management (SAM) para permitir que los procesos de una organización para demostrar que está realizando la gestión de activos de software a una empresa para satisfacer los requisitos de gobernabilidad y garantizar el apoyo efectivo de TI para el servicio de gestión suficiente para un nivel general. Esta parte de la norma ISO/IEC 19770-1 describe el ciclo de vida de los procesos para la gestión del software y los activos relacionados.<br />ISO/IEC 19770-2: etiquetas de identificación de software<br />ISO/IEC 19770-2 proporciona un software de gestión de activos (SAM) de datos estándar para etiquetas de identificación de software. Software de etiquetas de identificación para proporcionar información fidedigna para identificar el software instalado o elementos licenciables otros (tales como fuentes o documentos de propiedad).<br />Este proceso comienza con el fabricante del software que utilice esta norma para que su software sean identificados con precisión, por lo que el software es mucho más manejable desde el punto de vista del software de gestión de activos. Esta norma proporciona mucho más que la identificación de software, sin embargo, al permitir que otros miembros de la sistema de SAM puedan añadir sus propios atributos que el proceso de identificación de software (incluido el que distribuye el software, que pueden tener re-empaquetadas del software, si el software está siguiendo una norma ISO 20000 o un proceso de liberación de ITIL, etc.)<br />Un borrador de este estándar fue desarrollado inicialmente por un comité de la Asociación de Gerentes de Negocios Internacionales de Software (IBSMA). La última versión del proyecto de esta norma fue creada por el comité IBSMA salió para su revista pública en mayo de 2007.<br />ISO/IEC 19770-3: etiquetas derecho de software<br />ISO / IEC 19770-3 proporcionará un software de gestión de activos (SAM) de datos estándar para las etiquetas de derecho de concesión de licencias de software. Las etiquetas de software el derecho son archivos informáticos que proporcionan información fidedigna acerca de la identificación de los derechos de concesión de licencias de software.<br />ISO 12207<br />Historia y evolución<br />En 1987, en una sesión plenaria del ISO, la delegación norteamericana solicitó al International Software Engineering Standards Group el desarrollo de una norma relativa al proceso del ciclo de vida del software. En 1989, se constituó el Grupo de Trabajo 7 para iniciar el proyecto.Durante 6 años se reuniones dos veces por año en diversos lugares, de Budapest a Tokio, de Londres a Washington con un tiempo de cerca de 17,000 horas por persona con aproximadamente 1.5 millones de dólares invertidos en el desarrollo de esta norma, que posee 60 páginas.<br />Descripción de la temática<br />Esta norma está orientada a los procesos de ciclo de vida del software de la organización ISO. Establece un proceso de ciclo de vida para el software que incluye procesos y actividades que se aplican desde la definición de requisitos, pasando por la adquisición y configuración de los servicios del sistema, hasta la finalización de su uso. <br />Este estándar tiene como objetivo principal proporcionar una estructura común para que compradores, proveedores, desarrolladores, personal de mantenimiento, operadores, gestores y técnicos involucrados en el desarrollo de software usen un lenguaje común. <br />Los procesos en los que se enfoca la norma son los procesos principales, de apoyo y de gestión.<br />-422910340360Esquema de la norma:<br />Desarrollo de la temática<br />PROCESOS PRINCIPALES:<br />PROCESO DE ADQUISICIÓN<br />Identificar la necesidad, preparar una solicitud y seleccionar un proveedor. <br />Gestionar el proceso. <br />Actividades<br />Inicio<br />Preparación de solicitud de propuestas<br />Preparación y actualización del contrato<br />Seguimiento del proveedor<br />Aceptación y finalización<br />PROCESO DE SUMINISTRO<br />Determinar procedimientos y recursos para gestionar el proyecto.<br />Actividades<br />Inicio<br />Preparación de la respuesta<br />Contrato<br />Planificación<br />Ejecución y control<br />Revisión y evaluación<br />Entrega y finalización<br />PROCESO DE DESARROLLO<br />Primera parte<br />Contiene actividades de análisis, diseño...para el producto software. Puede contener actividades a nivel de sistema.<br />Actividades:<br />Implementación del proceso<br />Análisis de requerimientos del sistema<br />Diseño de la arquitectura del sistema<br />Análisis de requerimientos de software<br />Diseño de la arquitectura del software<br />Segunda parte<br />Actividades<br />Diseño detallado del software<br />Codificación y pruebas del software<br />Integración del software<br />Pruebas de calificación del software<br />Integración del sistema<br />Pruebas de calificación del sistema<br />Instalación del software<br />Apoyo a la aceptación de software<br />PROCESO DE OPERACIÓN O EXPLOTACIÓN<br />Cubre la operación del producto software y apoyo a los usuarios. Las actividades y tareas hacen referencia al sistema.<br />Actividades<br />Implementación del proceso<br />Pruebas de operación<br />Operación del sistema<br />Soporte al usuario<br />PROCESO DE MANTENIMIENTO<br />Modificar el producto de software preservando su integridad. Incluye la migración y retirada del producto.<br />Actividades<br />Implementación del proceso<br />Análisis de problemas y modificaciones<br />Implementación de las modificaciones<br />Revisión/aceptación del mantenimiento<br />Migración<br />Retirada de software<br />Los procesos de Soporte de la norma ISO 12207 incluyen la documentación, gestión de la configuración, aseguramiento de calidad, verificaciones y validaciones, revisión conjunta, auditoria y resolución de problemas.<br />PROCESOS DE SOPORTE<br />Proceso De Documentación<br />El propósito de este proceso es obtener y persistir información, entre las actividades a realizar se encuentra la implementación del proceso, diseño y desarrollo, producción y mantenimiento.<br />Proceso De Gestión De Configuración<br />El propósito de este proceso es identificar, definir y versionar, mediante líneas bases, los elementos del sistema, así como también asegurar la completitud y coherencia de los elementos que pertenecen a la configuración, de controlar su manejo, persistencia y entrega de los mismos. Entre los subprocesos de este proceso se encuentran la implementación del proceso, identificación de la configuración, control de la configuración, determinación del estado de la configuración, evaluación de la configuración y gestión de liberaciones y entregas<br />Proceso De Aseguramiento De La Calidad<br />El propósito de este proceso es proveer de mecanismos para que de manera objetives e independientemente asegurar que los productos y/o servicios cumplan con los estándares y requerimientos establecidos, y que el desarrollo de otros procesos se apegue lo posible a lo planificado originalmente. Las actividades de este proceso son: aseguramiento del producto, aseguramiento del proceso y aseguramiento del sistema de calidad.<br />Proceso De Verificación<br />El propósito de este proceso es proveer las evaluaciones referentes a la verificación de un producto o servicio de una actividad dada. <br />Proceso De Validación<br />El propósito de este proceso es determinar si un sistema ya construido cumple con las especificaciones y requerimientos para los cuales fue realizado.<br />Revisión Conjunta<br />El propósito de este proceso es proveer un marco que favorezca la integración entre inspector e inspeccionado. Los aspectos a revisar son la gestión del proyecto y técnicos.<br />Proceso De Auditoria<br />El propósito de este proceso es proveer un marco adecuado para establecer auditorias formales y contractuales sobre un determinado producto o servicio provisto. Hay que considera cuando se deben llevar a cabo, precondiciones del auditor y auditado, los recursos, elementos participantes, desarrollo de la misma, la etapa de finalización y post condiciones.<br />Proceso De Solución De Problemas<br />El propósito de este proceso es proveer mecanismos para la creación de procesos capaces de resolver problemas y tomar acciones correctivas para remover nuevos problemas detectados. <br />PROCESOS DE GESTIÓN NORMA ISO 12207 <br />Los procesos de gestión de la norma ISO 12207 son los siguientes:<br />GESTIÓN<br />El propósito de este proceso es proveer actividades y tareas genéricas que pueden emplearse y ajustarse para gestionar otros procesos, incluye: inicio y definición de alcance, planificación, ejecución y control, revisión y evaluación y su etapa de terminación.<br />INFRAESTRUCTURA<br />El propósito de este proceso es definir las actividades necesarias para establecer y mantener las infraestructura (hardware, software, estándar, herramientas, etc.) necesaria por otros procesos. Este proceso se ocupa del establecimiento y mantenimiento de dicha infraestructura<br />MEJORA<br />El propósito de este proceso es proveer de actividades básicas y de alto nivel para establecer, evaluar, medir, controlar y mejorar un proceso de ciclo de vida del software. ISO a determinado que se debe establecer, evaluar y mejorar los procesos para pasar este ítem.<br />FORMACIÓN RECURSOS HUMANOS<br />El propósito de este proceso es proporcionar y mantener al personal capacitado, esto se logra desarrollando el material de formación e implementar dichos planes de formación.<br />Comparativo con COBIT<br />Revisando la estructura de la norma ISO 12207 se encuentra que la mayoría de los procesos allí planteados se encuentran contenidos dentro de los procesos considerados por COBIT, aunque desde una perspectiva diferente, ya que la ISO 12207 se enfoca en la parte técnica de TI y COBIT en la gerencial de TI. Hablando del modelado de procesos no hay una congruencia entre estos dos marcos, la norma ISO 12207 realiza su agrupación de procesos de acuerdo a su relevancia en la organización entre procesos principales, de soporte y de la organización mientras que COBIT lo realiza entre procesos semejantes de acuerdo a su naturaleza dentro de la organización: planear y organizar, adquirir e implementar, monitorear y evaluar, y por último entregar y soporte.<br />BibliografíaBIBLIOGRAPHYCaldas, U. d. (s.f.). Blog de auditoria Universidad de Caldas. Obtenido de http://ingenieria.ucaldas.edu.co/auditoria/index.php/ISO/IEC_15404:SPICE,_ISO/IEC_15408:2005,_ISO/IEC_19770:2006_ISO_12207fing. (s.f.). Obtenido de http://www.fing.edu.uy/inco/cursos/gestsoft/ppts/GS04.PPThazloxl. (s.f.). J.C's WEBLOG Modelos de Gestión de la Calidad del Software. Obtenido de http://hazloxl.wordpress.com/2008/01/13/spice-isoiec-15504/ISO. (s.f.). International Organization for Standarization. Obtenido de http://www.iso.org/iso/pressrelease.htm%3Frefid%3DRef1006&ei=ZzeTTazdCcHLgQe04ZQZ&sa=X&oi=translate&ct=result&resnum=1&ved=0CBsQ7gEwAA&prev=/search%3Fq%3DISO/IEC%2B19770:2006%26hl%3Des%26biw%3D1280%26bih%3D912%26prmd%3DivnsbISO. (s.f.). Wikipedia. Recuperado el Marzo de 2011, de http://en.wikipedia.org/wiki/ISO_19770itescam. (s.f.). Instituto Tecnológico de Calkini. Obtenido de http://www.google.com.co/url?sa=t&source=web&cd=10&ved=0CEYQFjAJ&url=http%3A%2F%2Fwww.itescam.edu.mx%2Fprincipal%2Fsylabus%2Ffpdb%2Frecursos%2Fr52854.PPT&ei=a0STTdbFIMbXgQezzJgZ&usg=AFQjCNF7PSCiC96889lnLAk04lvbXYnMiQ&sig2=pIyJJ3ogEoYUKp09BeVauwITIL. (s.f.). ISO 2000 en español. Recuperado el Marzo de 2011, de http://iso20000enespanol.com/Pérez Sánchez, A. M. (s.f.). Obtenido de http://www.uc3m.es/portal/page/portal/congresos_jornadas/congreso_itsmf/ISO%2020000%20-%20El%20estandar%20para%20la%20gestion%20de%20servicios%20TI.pdfWeb Store. (s.f.). Recuperado el Marzo de 2011, de http://webstore.iec.ch/preview/info_isoiec15408-2%7Bed3.0%7Den.pdf<br />

×