Embed Size (px)
DESCRIPTION
Citation preview
AENOR
Calidad y Seguridad en la Mejora del sector TIC Español con normas ISO
Modelo de AENOR para el Gobierno y Gestión de las TICs
Dirección de Desarrollo Estratégico
AENOR
Carlos Manuel FERNÁNDEZ
Ing. en Informática. CISA, CISM. MBA
Gerente de TICs (AENOR)
Profesor Máster (UNIR/UAM/UPM)
Vocal del Colegio Profesional
de Ingenieros en Informática de Madrid (CPIICM)
Noviembre 2013
1
AENOR
AGENDA
1. QUIÉN ES AENOR
2. MODELO DE GOBIERNO Y GESTION DE AENOR
3. PRINCIPALES SISTEMAS/ESTÁNDARES DEL MODELO
4. PROCESO DE CERTIFICACION (SGSI y otros)
5. BIBLIOGRAFIA
2
AENOR
Asociación privada de Normalización y Certificación
AENOR es el representante de ISO en España y algunos países de Latinoamérica.
Sin ánimo de lucroConstitución: 1986Real decreto 2200/95AENOR CorporaciónAENOR INTERNACIONAL (12 filiales)AENOR México ( +10 años en
México DF y Delegaciones)MultisectorialNormalización Certificación productos, servicios,
sistemas de gestión y personal Servicios de FormaciónAENOR es miembro de IQNET
AENOR
3
AENOR
AENOR Datos relevantes
25.300 Certificados ISO 9000 1.200 Certificados OHSAS 18001+ 400 Certificados IS0 27001+ 120 Certificados ISO 20000-1 41 Certificados SPICE nivel 2 3 Certificados SPICE nivel 3
6.220 Certificados ISO 14000558 Certificados EMAS
Calidad y Seguridad Medioambiente
Internacional Recursos Humanos
Más de 45 Acuerdos internacionales para certificación de sistemas
Más de 40 Países donde AENOR concedido certificados
500Auditores/25 auditores TICs
Producto
Más de 89.570 Certificados
NormalizaciónMás de25.000 Normas (UNE y Ratificadas)
Cambio Climático
Más de 200 proyectos MDL, AC y Voluntarios
4
AENOR
Gestión de las TICs con criterios de negocio
• Informe Penteo:– Sólo un 21% de las cías gestionan el Dpto. de SI
con criterios de negocio– 31 % gestionan el dpto. de SI sólo con criterios
tecnológicos – 48 % gestionan con criterios híbridos
• Conclusiones:– La Dirección de las cías. Tiene una percepción
más positiva de los CIOs que siguen criterios de Negocio. Les dan el rol de líderes contribuidores de negocio en un 58%
– La Gestión de las TICs mejora el posicionamiento del dpto. de SI y del CIO
– En un futuro los CIOS más gestores y menos tecnólogos
(Encuesta a: 85 Directores de TICs, 36 Dir. Generales y 12 Presidentes)
5
AENOR
• 71% de los ejecutivos están de acuerdo que es una palanca las TI para transformar el negocio
• 62% creen que las TICs deben focalizarse en la innovación de los procesos de negocio
• 66% están de acuerdo que las TICs han implicado una gestión de riesgos más compleja en las corporaciones.
» Fuente: Ernst&Young study” What’ next for the CIO? (Enero 2011).
Una solución al gobierno y la gestión de las TICs es el modelo de AENOR de ISO en las TICs donde se realiza el gobierno y la gestión de las TICs alineadas con los objetivos de negocio.
Cómo perciben los ejecutivos los Sistemas de Información
6
AENOR
La solución: el Modelo de AENOR con ISO para las TICs
SGCNISO 22301
Sistema de Gestión Continuidad del Negocio.
Nivel de Madurez. Ciclo de Vida de SW
SPICE ISO 15504Modelo de Evaluación, Mejora y Madurez de
Software
SGSIISO 27001
Sistema de Gestión Seguridad de la Información
ISO 27002Guía de Controles
ISO 12207Ciclo de Vida de
Desarrollo de Software
SGSTIISO 20000-1
Sistema de Gestión Servicios TI
ISO 20000-2Guía de Buenas
Prácticas
Desarrollo de Software Procesos / Servicios
Adicionalmente:
• BPCE – Buenas Práctica Comercio Electrónico
• SGSI-ISO 27001 SCADA
Copyright AENOR. Diciembre 2006
Objetivo: Gobierno y Gestión de las TICs con estándares ISO.
Gobierno de TI
ISO / IEC 38500IT Governance
ISO 25000Calidad del Producto
Software
Funciones del
director de TI Calidad y
seguridad en
servicios de TI (el día a día)
Calidad en la creación
de Software
La empresa y su continuidad
según procesos críticos
Nota: tiene PDCA / Control interno Tecnologías de Información
Datacenter Green. Sostenibilidad Energética en CPDs- SE CPD-
Calidad en el
producto final
Software
AENOR
PDCA
SGSTIISO 20000-1
ISO27002ISO 20000-2
(ITIL)
LIBRERÍAINFRAESTRUCTURA
CPDISO 12207
SGSIISO 27001
Motor
Conocimiento
ISO.. ISO 15504
GUIA
S
DE
IMPLANTACION
M
E
T
R
I
C
A
S
Concepto de Motor – Conocimiento TICs
Todos estos sistemas se han basado en la ISO 9001 que tendrá una nueva versión más pragmática en el 2015. Véase www.aenor.es
8
AENOR
GUIAS DE BUENAS PRACTICAS -2CONOCIMIENTO
REPOSITORIO DE PROCESOS / PROCEDIMIENTOS / CONTROLES
“P”
“D”
Identificar Objetivos del Negocio (medibles)Tener apoyo de la DirecciónDefinir políticaEstablecer alcance del al SGSeleccionar procesos/procedimientos/controles
Implantar plan de gestión (tareas, actividades, PERT, GANTT, etc.)Implantar el SG Implantar los procesos/procedimientos/controlesAsignar recursosFormación y Concienciación
Monitorizar el SGRevisar internamente el SGRealizar auditorias internas del SGIndicadores y MétricasRevisión por Dirección
Aplicar mejora continuaPlan y Adoptar las acciones correctivasPlan y Adoptar las acciones preventivas
MODELO PDCA. (Motor –PDCA-1 y Conocimiento-2)
“C”
“A”
9
AENOR
Descripción genérica de un proceso
PROCESO-Tareas / Actividades- Procedimientos-Instrucciones Técnicas- Registros (evidencias)
Entradas Salidas
Indicadores / métricas
Relaciones con otros procesos
Un proceso es un conjunto estructurado de actividades diseñado para cumplir un objetivo concreto. Un proceso tiene entradas y salidas. Las organizaciones que persiguen la eficacia en su funcionamiento tienen que identificar y gestionar numerosos procesos que están relacionados entre sí, ya que es frecuente que la salida de un proceso pase directamente a ser la entrada del siguiente proceso.
Un proceso es un conjunto estructurado de actividades diseñado para cumplir un objetivo concreto. Un proceso tiene entradas y salidas. Las organizaciones que persiguen la eficacia en su funcionamiento tienen que identificar y gestionar numerosos procesos que están relacionados entre sí, ya que es frecuente que la salida de un proceso pase directamente a ser la entrada del siguiente proceso.
Nota: es conveniente la utilización de workflows en el proceso
10
AENOR
La gestión eficaz de la Seguridad de la Información permite a la organización preservarlas.
Re-ordenar la seguridad Cumplimiento normativo-legal en Europa
DISPONIBILIDAD CONFIDENCIALIDAD
INTEGRIDAD
Asegurar que la información es accesible solo para aquellos autorizados a tener acceso.
Garantizar la exactitud y completitud de la información y los métodos de su proceso
Asegurar que los usuarios autorizados tienen acceso cuando lo requieran a la información y sus activos asociados.
Propiedades principales asociadas a la Información
11
AENOR
Activos de SI
Sistemas de información (Base de Datos)
Software (Aplicativos)
Hardware
Telecomunicaciones
Personas
Análisis y Gestión de riesgos
R=F(X1,X2,X3,Xn)
Integridad (X1)
Confidencialidad (X2)
Disponibilidad (X3)
Amenazas (X4)
Vulnerabilidades (X5)
Impacto Económico (X6)
XN
Riesgo Residual
Activo1-------R’1
Activo2-------R’2
Aplicando
ISO/IEC 27002
(Selección de
Controles)
Procesos de Negocio / Servicios de TI
Análisis y Gestión de riesgos – Implantación de controles
12
AENOR
Sistema de Gestión del Servicio (SGS)
Diseño y transición de servicios nuevos o modificados
Procesos de control
• Gestión de la configuración• Gestión del cambio
• Gestión de la entrega y despliegue
• Gestión del nivel de servicio
• Informes del servicio
• Gestión de la Seguridad de la Información
• Elaboración de presupuestos y contabilidad de los servicios
Procesos de resolución
• Gestión de incidencias y peticiones de servicio
• Gestión del problema
Procesos de relación
• Gestión de relaciones con el negocio
• Gestión de suministradores
Fte: ISO / IEC 20000-1:2011
• Gestión de la capacidad
• Gestión de la continuidad y disponibilidad del servicio
Alcance de UNE – ISO/IEC 20000-1:2011
Procesos de Provisión del Servicio
• Responsabilidad de la Dirección
•Establecer el SGS
• Responsabilidad de la Dirección
•Establecer el SGS
•Gobierno de los procesos operados por terceros
•Gestión de la documentación
•Gestión de los recursos
13
AENOR
IPW ™: Workflow de implementación de procesos
14
AENOR
OBJETIVO DEL PROYECTO SUBVENCIONADOObjetivo:
Crear un modelo ágil para la mejora de la calidad del
desarrollo de software de las PYMES españolas
conforme a los niveles de madurez de la norma
internacional ISO/IEC 15504 utilizando los procesos de
la ISO 12207:2008.
Objetivo:
Ciclo de ingeniería del software orientado a objetivos
de negocio y requisitos de usuario (con trazabilidad y
productividad).onsultingybele AENOR
15
AENOR
MODELO DE NIVELES DE MADUREZ
MEJORA DE LA CALIDAD DE LOS
PROCESOS SOFTWARE
MODELO DE PROCESOS
• Procesos• Resultados del Proceso
(RP)
• Procesos• Resultados del Proceso
(RP)
ISO/IEC 12207:2008
MODELO DE EVALUACIÓN
• Atributos de Proceso (AP)• Componentes de los
Atributos de Proceso (CAP)
• Atributos de Proceso (AP)• Componentes de los
Atributos de Proceso (CAP)
ISO/IEC 15504
16
AENOR
Nivel 2 de madurez
PROCESOS DE LOS NIVELES 1 Y 2 DE MADUREZ
Proceso de Suministro Proceso de Definición de Requisitos de los
Stakeholders Proceso de Análisis de los Requisitos del Sistema Proceso de Gestión del Modelo de Ciclo de Vida Proceso de Planificación del Proyecto Proceso de Evaluación y Control del Proyecto Proceso de Gestión de la Configuración del Software Proceso de Gestión de la Configuración Proceso de Medición Proceso de Aseguramiento de la Calidad del Software
Nivel 1 de madurez
AP 2.1 Gestión de la realizaciónCAP 2.1.1 Definir los objetivos del procesoCAP 2.1.2 Planificar y controlar el procesoCAP 2.1.3 Adaptar la realización del procesoCAP 2.1.4 Asignar las responsabilidades del procesoCAP 2.1.5 Asignar los recursos y la informaciónCAP 2.1.6 Gestionar la comunicación entre involucrados
AP 2.2 Gestión de los productos de trabajoCAP 2.2.1 Definir los requisitos para los productos de trabajoCAP 2.2.2 Requisitos para la documentación y controlCAP 2.2.3 Identificar, documentar y controlar los productos de trabajoCAP 2.2.4 Revisar y adaptar los productos de trabajo
17
AENOR
Proceso de Gestión de InfraestructurasProceso de Gestión de Recursos HumanosProceso de Gestión de la DecisiónProceso de Gestión de RiesgosProceso de Diseño de la Arquitectura del SistemaProceso de Integración del SistemaProceso de Análisis de Requisitos del SoftwareProceso de Diseño de la Arquitectura del SoftwareProceso de Integración del SoftwareProceso de Verificación del SoftwareProceso de Validación del Software
Proceso de Gestión de InfraestructurasProceso de Gestión de Recursos HumanosProceso de Gestión de la DecisiónProceso de Gestión de RiesgosProceso de Diseño de la Arquitectura del SistemaProceso de Integración del SistemaProceso de Análisis de Requisitos del SoftwareProceso de Diseño de la Arquitectura del SoftwareProceso de Integración del SoftwareProceso de Verificación del SoftwareProceso de Validación del Software
Nivel 2 de madurez
Nivel 3 de madurez
Nivel 1 de madurez
PROCESOS DE NIVEL 3 DE MADUREZ
18
AENOR
Sistema de Gestión de Continuidad de Negocio - SGCN
ISO 22301:2012(MOTOR – PDCA)ISO 22301:2012(MOTOR – PDCA)
1. Aporta al Plan de Continuidad de Negocio -PCN el PDCA2. Análisis de Impacto en el Negocio (BIA)3. Correspondencia entre las normas ISO 9001, ISO 14001, ISO
27001 e ISO 22301
19
AENOR
La ISO 38500 tiene los siguientes componentes:• La dirección ha de gobernar las TI mediante 3 tareas
principales:– Monitorizar– Evaluar– Dirigir
Estas tres tareas se incluyen en cada uno de los principios.
Modelo de Gobierno Corporativo de TI
20
Principio 1:Responsabilidad
Principio 2: Estrategia
Principio 3: Adquisición
Principio 4: Rendimiento
Principio 5: Conformidad
Principio 6: Factor Humano
AENOR21
Familia de normas ISO/IEC 25000
Calidad del Producto
Funcionalidad Rendimiento Compatibilidad Usabilidad Fiabilidad Seguridad MantenibilidadPortabilida
d
Completitud
Corrección
Idoneidad
Comport.en el tiempo
Utilización deRecursos
Coexistencia
Interoperabilid.
Inteligibilidad
Aprendizaje
Operabilidad
Protección aErrores de
Usuario
Atractividad
Accesibilidad
Madurez
Disponibilidad
Tolerancia aFallos
Capacidad derecuperación
Confidencial.
Integridad
No repudio
Autenticidad
Responsabil.
Modularidad
Reusabilidad
Analizabilidad
Cambiabilidad
Capacidad deSer probado
Adaptabilidad
Facilidad deInstalación
Intercambiabil.
Características de Calidad de la ISO/IEC 25000
AENOR
Nota de prensa – 25 Septiembre 2013
22
AENOR
Proceso de Certificación según ISO 17021
FASE 2: REALIZACIÓN DE
LA AUDITORÍA (presencial)
ELABORACIÓN DEL PLAN DE ACCIONES
CORRECTIVAS - PAC
FASE 1: PLANIFICACIÓN DE LA AUDITORÍA Y ESTUDIO DE
DOCUMENTACIÓN (presencial)
CUESTIONARIOPRELIMINAR Y SOLICITUD
AUDITORÍAS DERENOVACIÓN
(AL TERCER AÑO)
REGISTRAR LOS RESULTADOS
CONCESIÓN DELCERTIFICADO
AUDITORÍAS DESEGUIMIENTO
(AL PRIMER AÑO)
AUDITORÍAS DESEGUIMIENTO
(AL SEGUNDO AÑO)
AENOR
Auditoría de Certificación (ISO
17021)
Audit
orí
as
de
mante
nim
iento
de la
cert
ific
aci
ón
Informe de Evaluación y
Decisión
Informe fase 1
Hoja de datos Alcance : “… de acuerdo
al XXX vigente”
Informe final
La certificación de sistemas de gestión (denominada certificación) es una actividad de evaluación de la conformidad de tercera parte
AENOR
Evaluación y DecisiónManteniendo una estructura que permita independencia e imparcialidad, en la toma de decisiones para la concesión o no de una certificación se establecen tres niveles:
Proceso de Certificación en Modelo de AENOR en TICs
Auditor Jefe
Gerente TICs - Comité
TRE (Técnico Responsable Expediente)
Revisión de Propuesta(Concesión / no concesión)
Decisión (Concesión / no concesión)
Propuesta(Concesión / no concesión)
24
AENOR
Acreditación de AENOR y Reconocimiento Internacional mutuo
25
AENOR
ISO 27001SGSI
AENOR FORMACIONTitulaciones Propias – Ver otras slides
Salidas profesionales desde el modelo de AENOR
ISO 20000SGSTI
ISO 22301SGCN
SPICEISO 15504
Madurez en ciclo de vida de software
ResponsableConsultor
Auditor interno
Auditor externo
Ídem Ídem Ídem
Otros Sistemas en Desarrollo con su titulaciónOtros Sistemas en Desarrollo con su titulación
ISO 38500Gobierno de TI
SAM – ISO 19770SGAS
EA 0044:2013SE CPD
26
AENOR
Testimoniales del Modelo de AENOR
“Tenemos un análisis de riesgos totalmente adaptado a nuestras necesidades”
Luís LopesDirector TécnicoCESCE Soluçoes Informatica. Portugal del Grupo SIA España
ISO 27001 ISO 20000-1Luis Manuel Ortiz
Director ComercialTI América. México
“La certificación garantiza a los clientes que nuestros servicios se rigen por las mejores prácticas”
Maximino Álvarez Director General Xtream . España
SPICE-ISO 15504/ISO 12207
“Base de nuestro crecimiento internacional ”ISO 22301 Cristo M. Pérez Rosquete
Área de Seguridad InformáticaSanitas. España
“Para continuar cuidando”
Luis MontalbanCEOBITWARE. España
ISO 15504 + ISO 25000
“La aplicación conjunta de ISO 15504 e ISO 25000 ha supuesto una mejora en la productividad y un ahorro de costes en el mantenimiento del 60% en el software
AENOR
Bibliografía siglo XXI. Experiencias reales (+ 500 empresas)
Con la colaboración y consenso del Ministerio de Industria al modelo de AENOR basado en ISO, mediante los planes Avanza
28
AENOR
B2CB2BBIG DATA
WEB 1.0WEB 2.0WEB 3.0?
“New Business and Tools for Business”To CEOs & CIOs
Portal CorporativoRedes SocialesWikisBYOD
e-Brandinge-Mailinge-Learning
GISRFID
CRMERPSCM
MOBILITYPdasSmartphoneBlakberry / Iphone / HTC
BUSINESS PLAN = PLAN DE TICS(Integración y Alineamiento)
FACTORIA DE TICs(Nuevos Servicios y Operaciones de TICs)
CLOUD COMPUTINGSaaS (Software As A Service)
IaaS (Infraestructure As A Service)
PaaS (Platform As A Service)
LAS TICs COMO APOYO A LA GESTION E INNOVACION EN LAS EMPRESAS
Fuente: Carlos MF – UPSAM/UPM/UAM/UAH/UNIR
AENOR
Sistemas de Gestión en las TICs. Una historia reciente
“La simplicidad es la mayor de las sofisticaciones” Leonardo Da Vinci
30
AENOR
“PDCA –Ciclo de mejora ContinuaSistema de Gestión Integrado y alineado con los Objetivos
del Negocio.
En conclusión: El modelo de AENOR aporta: confianza, calidad,
productividad-costes e innovación
¿Dormirá tranquilo el/la CIO?
¡¡Muchas Gracias!!
Un nuevo reto en las TICs
Carlos Manuel FERNÁNDEZ. CISA,CISM.
Gerente de TICs – Dirección de Desarrollo
31
