Trabajo de investigacion_normas_de_las_tecnologias_de_informacion_(normas_iso)__(victor_lara)
1. República Bolivariana de Venezuela
Ministerio del Poder Popular para la Educación Universitaria, Ciencia y Tecnología
Universidad Nacional Experimental de la Gran Caracas
NORMAS DE LAS TECNOLOGÍAS DE INFORMACIÓN (Normas ISO 9000 27001)
Participante:
Víctor Lara C.I: 25.510.149
Sección: 30133
Caracas, Noviembre del 2020
2. Índice
Introducción...................................................................................................................................... 3
1. ISO 9000 ................................................................................................................................... 4
2. ISO 27001 ................................................................................................................................. 4
3. Objetivos de la ISO 9000 ............................................................................................................ 5
4. Objetivos de la ISO 27001 .......................................................................................................... 6
5. Estándar de la ISACA................................................................................................................. 6
6. Modelo por dominios 9000 y 27001 ............................................................................................ 7
7. Dominios de ISO 9000 ............................................................................................................... 8
8. Dominios de ISO 27001.............................................................................................................. 9
9. ¿Qué se persigue y qué área es su naturaleza?............................................................................. 10
10. Aplicaciones al proyecto ....................................................................................................... 10
Conclusiones................................................................................................................................... 12
3. Introducción
La Organización Internacional de Normalización o la International Standard Organization
(por sus siglas en inglés, ISO), constituye una organización sin fines de lucro gubernamental que
promueve el desarrollo de la normalización y de sus actividades relacionadas con la finalidad de
facilitar el intercambio de productos y servicios entre países, así como el desarrollo de la
cooperación internacional en las actividades intelectuales, científicas, tecnológicas y económicas.
En el presente trabajo se hace despliegue de los conocimientos relacionados con parte de
las normas relacionadas a esta organización, específicamente las normas 9000 y las 27001,
tratando aspectos como sus objetivos, sus estándares, sus dominios y además se hace un análisis
en cómo estas normas son aplicadas al proyecto relacionado.
4. 1. ISO 9000
De manera esencial, la norma ISO 9000 consiste en una serie de normas relacionadas
explícitamente con la administración continua de la calidad aplicada en las organizaciones, sin
importar su naturaleza, dedicadas a la producción de bines y servicios. Esta normativa establece
de manera detallada el modelo en el cual las empresas deberán trabajar bajo los estándares
correspondientes para aportar calidad a lo que producen, indicando los plazos de distribución y
los niveles que debe observar en el servicio.
Las ISO 9000 son contenedores de las guías a seguir para lograr los objetivos de calidad
establecidas en cada caso, así como de aquellas herramientas que deben ser implementadas para
el alcance de los mismos. Cabe mencionarse que estas normas se dividen en un conjunto de
normas que se conforman a manera de familia, las cuales son:
ISO 9000: vocabulario y fundamentos de calidad. Provee distintos términos relacionados
y las directrices de calidad generales para los sistemas de gestión.
ISO 9001: modelo del sistema de gestión y sus requisitos. Es la única norma de la familia
de los ISO 9000 en la que se puede certificar una organización si así lo desea.
ISO 9004: directrices para la mejora del desempeño y lograr la implantación de la mejora
continua.
ISO 19011: recoge información útil para orientar a la empresa sobre las auditorías de
sistemas de gestión de la calidad y medioambiental.
2. ISO 27001
La norma ISO 27001 es una norma internacional de seguridad de la información que
pretende el aseguramiento de la confidencialidad, integridad y la disponibilidad de la
información dentro de una organización y de los sistemas y aplicaciones que estas mantienen.
Esta norma define genéricamente de forma independiente los factores ambientales de
organización (entorno, contexto, activos de las TIC, información, cultura organizacional, etc.), y
de los activos de los procesos de la organización (políticas, procedimientos, etc), cómo se
5. planifica, implementa, verifica y controla un sistema de gestión de seguridad de la información
por medio de la realización de un análisis de riesgos y de la planificación e implantación de la
respuesta de estos para su pronta mitigación. Es decir, toda empresa u organización es capaz de
desplegar un SGSI (Sistema de gestión de la seguridad de la información) siguiendo este
estándar.
3. Objetivos de la ISO 9000
El objetivo principal de la ISO 9000 es plantear el escenario donde se centran las actuaciones
acerca de la calidad con el vocabulario y la terminología precisa para dominar todos los aspectos
sobre la gestión de la calidad. Busca que las empresas entiendan el funcionamiento de la
implementación de un sistema de gestión de calidad. Esquemáticamente, los objetivos de la ISO
9000 son los siguientes:
Establecimiento de directrices: éstas servirán a la empresa para seleccionar las normas
que sean de aplicación para su utilización.
Lograr la satisfacción del cliente: el enfoque al cliente es clarísimo, lo que se busca a
través de la ISO 9000 es lograr su satisfacción proporcionando productos y servicios de
calidad.
Obtener capacidad de liderazgo: la ISO 9000 permite identificar los puntos en los que
se pueden reducir costes sin perder calidad, aumentando así la productividad y gozar de
un lugar privilegiado frente a su competencia.
Incrementar la confianza interna: al tener claro que los bienes y servicios que la
empresa oferta cumplen con unos estándares de calidad fijados, la confianza de la
dirección empresarial es un hecho.
Instauración del sentimiento de pertenencia: el personal de la empresa está totalmente
involucrado con la ISO 9000, de ahí que aumente su compromiso y, por tanto, su
rendimiento.
Búsqueda de relaciones beneficiosas con proveedores: proporciona la seguridad y
fiabilidad necesarias para contar con la confianza de los proveedores, lo que se traduce en
unos vínculos cordiales.
6. Búsqueda de la mejora continua: con la ISO 9000, la empresa es conocedora de todos
los aspectos a cumplir y tareas a llevar a cabo para conseguir la calidad deseada. Esto
hace que se busque mejorar los resultados obtenidos, ya sea introduciendo medidas
correctoras en aquellas partes menos fortalecidas u optimizando los procesos.
Toma de decisiones más efectivas: gracias al análisis de datos estadísticos y otra
información, las decisiones se toman en base a hechos probados, por esto son más
eficaces al no guiarse por hipótesis.
4. Objetivos de la ISO 27001
Por su parte, el principal objetivo planteado por la ISO 270001, es conseguir los niveles
adecuados de integridad, confidencialidad y disponibilidad para toda la información institucional
relevante, con el fin de asegurar la continuidad operacional de los procesos y servicios, mediante
un Sistema de Gestión de Seguridad de la Información.
5. Estándar de la ISACA
Principalmente, es menester decir que la ISACA es una asociación internacional que apoya y
patrocina el desarrollo de metodologías y certificaciones para la realización de actividades de
auditoría y control en sistemas de información. Por su parte, la estructura de ITAF™ para el
profesional de auditoría y aseguramiento de SI brinda Estándares, divididos en tres categorías:
Estándares generales (serie 1000): Estos estándares se enfocan en los principios
rectores bajo los cuales opera la profesión de aseguramiento de SI. Estos principios se
aplican al rumbo de todas las designaciones e incluyen temas como ética, independencia,
objetividad, diligencia, conocimiento, competencia y habilidades.
Estándares de desempeño (serie 1200): Se ocupan de la dirección del proyecto, etapas
como la planeación y supervisión. Aspectos como el riesgo y materialidad, movilización
de recursos, supervisión y administración de las asignaciones, evidencia de la auditoría y
7. el aseguramiento así como el ejercicio de una apropiada y efectiva evaluación
profesional.
Estándares de reporteo (serie 1400): Estos estándares abordan los tipos de reportes,
medios de comunicación y la información difundida.
6. Modelo por dominios 9000 y 27001
El modelo usado en estas normas es compatible con el ciclo de planear, hacer, verificar,
actuar (PDCA por sus siglas en inglés; plan, do, check, act), y se lo conoce como enfoque de
procesos.
A este ciclo también se le conoce como el círculo de Deming, y es la sistemática de más uso
para la implementación de un sistema de mejora continua, teniendo como principal objetivo la
autoevaluación, destacando los puntos fuertes que se deben mantener y las áreas de mejora en las
que se debe actuar. Estas lo componen las cuatro etapas cíclicas ya mencionadas, de tal manera
que una vez termine la etapa final, se debe volver a la primera y repetir el ciclo nuevamente. Para
mejor detalle, estas etapas son las siguientes:
a) PLAN (planificar): En esta fase se trabaja en la identificación del problema o
actividades susceptibles de mejora, se establecen los objetivos a alcanzar, se fijan los indicadores
de control y se definen los métodos o herramientas para conseguir los objetivos establecidos.
b) DO (hacer/ejecutar): Llega el momento de llevar a cabo el plan de acción, mediante la
correcta realización de las tareas planificadas, la aplicación controlada del plan y la verificación
y obtención del feedback necesario para el posterior análisis.
c) CHECK (comprobar/verificar): Una vez implantada la mejora se comprueban los
logros obtenidos en relación a las metas u objetivos que se marcaron en la primera fase del ciclo
mediante herramientas de control (Diagrama de Pareto, Check lists, KPIs, etc.)
d) ACT (actuar): Por último, tras comparar el resultado obtenido con el objetivo marcado
inicialmente, es el momento de realizar acciones correctivas y preventivas que permitan mejorar
8. los puntos o áreas de mejora, así como extender y aprovechar los aprendizajes y experiencias
adquiridas a otros casos, y estandarizar y consolidar metodologías efectivas.
7. Dominios de ISO 9000
El estándar de las ISO 9000 presenta los dominios como si cada uno de ellos tuviera la
misma importancia, y al analizar el estándar, se encuentran dominios para valoración
(inspección, pruebas, revisión) y para prevención (especificar, planificar, organizar); con todos
ellos se pretende evitar las conformidades desde la etapa de identificación de requisitos hasta un
servicio posterior.
Los dominios a los que se debe prestar especial atención para la certificar un Sistema de
Gestión de la Calidad según ISO 9000, son:
Responsabilidad de dirección, particularmente con respecto al compromiso y a la revisión
de dirección.
Sistema de calidad, particularmente con respecto a la documentación y mantenimiento del
sistema.
Control de documentos, particularmente con respecto a control de cambios y obsolescencia.
Equipos de inspección, medida y prueba, particularmente con respecto a lo que se calibra,
frecuencia de calibración y la acción requerida que sigue a la obtención de un resultado
fuera de calibración.
Acción correctiva, particularmente con respecto a analizar registros, evitar recurrencias de
no conformidades, cambiar procedimientos.
Registros de calidad, particularmente respecto a los registros que se elaboran y mantienen, y
cuánto tiempo se conservan.
Auditorías internas, particularmente con respecto a planificar, implementar el plan y el
seguimiento de acciones correctivas.
Mejora continua.
9. 8. Dominios de ISO 27001
Los dominios por parte de la ISO 27001 se pueden listar en los siguientes con sus respectivos
objetivos:
• Dominio de la política de seguridad: Garantiza a la empresa el soporte y gestión
necesarios para la seguridad de la información según todos los requisitos institucionales y
normativos.
• Dominio de gestión de activos: Este dominio lleva a cabo una protección adecuada en
cuanto a los activos de la empresa. En todo momento los activos se encuentran inventariados y
controlados por un responsable que también se encarga de manipularlos de forma correcta.
• Dominio de seguridad de los recursos humanos : Fija las medidas necesarias para
controlar la seguridad de la información, que ha sido manejada por los recursos humanos de la
empresa.
• Dominio en cuanto la seguridad física y del medio ambiente : Protege todas las
instalaciones de la empresa y toda la información que maneja.
• Dominio gestión de las comunicaciones y operaciones: Determina los procesos y
responsabilidades de las operaciones que lleva a cabo la organización. Se debe asegurar que
todos los procesos se encuentren relacionados con la información ejecutada de forma adecuada.
• Dominio control de acceso: Asegura el acceso autorizado a todos los sistemas de
información de la empresa. Es necesario realizar diversas acciones como controles para evitar el
acceso de usuarios no autorizados, controles de entrada, etc.
• Dominio de adquisición, desarrollo y mantenimiento de los sistemas de información:
Este dominio se encuentra dirigido a aquellas empresas que desarrollen software internamente o
que tenga un contrato con otra empresa que se encarga de desarrollarlo. Se tiene que establecer
los requisitos en la etapa de implantación y desarrollo de software para que sea seguro.
• Dominio de gestión de incidentes en la seguridad de la información: A aplica un
proceso de mejora continua en la gestión de percances de seguridad de la información.
10. • Dominio de gestión de continuidad de negocio: Asegura la continuidad operativa de la
empresa. Se requiere aplicar controles que eviten o reduzcan todos los incidentes de las
actividades desarrolladas por la empresa que puedan generar un impacto.
• Dominio de cumplimiento: Mantiene la finalidad de asegurar los requisitos legales de
seguridad que han sido referidos al diseño y gestión de los sistemas de información.
9. ¿Qué se persigue y qué área es sunaturaleza?
A nivel general, estas ISO persiguen el objetivo de plantear a las empresas los beneficios que
nacen de la implementación de sistemas de gestión de calidad sumados con la integridad que
constituye la seguridad de la información en estos mismos sistemas.
Y, al mismo tiempo, el área en el que estas suelen desarrollarse, suelen ser organizaciones o
empresas de gran tamaño que buscan adaptar su información masificada a los nuevos tiempos y a
los nuevos requerimientos que estas generan a lo largo de los años.
10. Aplicaciones al proyecto
El proyecto tuvo como finalidad la implementación de un sistema de gestión financiero con
énfasis en la calidad y en la seguridad de la información bajo las normativas ISO 9000 y 27002
con el fin de mejorar su enfoque tanto su desempeño como, efectivamente, en la seguridad en
cuanto al uso activo de sus tecnologías de información dentro de la universidad que constituye,
en este caso, la Universidad Nacional Abierta (UNA).
La metodología que se empleó fue hecha bajo un enfoque cuantitativo y de tipo aplicativo
debido a que se utilizó la tecnología para la solución del problema. Tanto la población como la
muestra se conformaron por 7 trabajadores, teniendo en cuenta todos los trabajadores
relacionados las áreas implicadas de la comunidad con la problemática. Para la recolección de
los datos se dio uso al cuestionario como técnica y a la encuesta como instrumento para el
procesamiento dentro del software estadístico.
11. Se dio uso además del ciclo PDCA (plan, do, check, act) como modelo para el desarrollo de
la planificación de las actividades tanto a nivel de aplicación como a nivel organizacional del
grupo de proyecto.
12. Conclusiones
La calidad, por defecto, se ha convertido en un aspecto vital dentro de las empresas y las
organizaciones en los recientes años, por lo cual su importancia ha sido reconocida y sus
directrices se han aplicado en gran cantidad de empresas a lo largo del mundo. Además de esto,
se ha destacado su evolución en la búsqueda de aspectos que han permitido mayor crecimiento
en las instituciones tales como mayor satisfacción por parte del cliente.
La normalización dentro de las empresas es la base tanto para el presente como para el futuro,
teniendo como propósito el establecimiento de un orden para el beneficio de todos los
involucrados. Esta normalización puede ser aplicada a cualquier organización y puede adaptarse
a los requerimientos particulares de cada una de estas.
Las normas ISO son un referencia de calidad a nivel mundial en este aspecto, permitiendo a las
empresas la estandarización y mejora de sus procesos, sus funcionamientos y aporte de
reconocimiento, siendo esto imprescindible en la sobrevivencia de las empresas en un mundo
planamente globalizado.