Este documento presenta el modelo de AENOR para el gobierno y gestión de las tecnologías de la información (TIC) basado en normas ISO. El modelo utiliza diversos estándares ISO como ISO/IEC 38500, ISO 27001, ISO 20000-1 y ISO 15504 para gestionar procesos, servicios, software y seguridad de la información. El objetivo es alinear las TIC con los objetivos de negocio mediante un enfoque de mejora continua basado en el ciclo PDCA.

1. Calidad y Seguridad en la Mejora del sector
TIC Español con normas ISO
Modelo de AENOR para el Gobierno y Gestión de las TICs
Carlos Manuel FERNÁNDEZ
Ing. en Informática. CISA, CISM. MBA
Gerente de TICs (AENOR)
Profesor Máster (UNIR/UAM/UPM)
Vocal del Colegio Profesional
de Ingenieros en Informática de Madrid (CPIICM)
Noviembre 2013
Dirección de Desarrollo Estratégico
AENOR
1
AENOR

2. AGENDA
1.
QUIÉN ES AENOR
2.
MODELO DE GOBIER Y GESTION DE AENOR
NO
3.
PR
INCIPALES SISTEMAS/
ESTÁNDARES DEL
MODELO
4.
PR
OCESO DE CERTIFICACION (SGSI y otros)
5.
BIBLIOGRAFIA
2
AENOR

3. AENOR
3
Asociación privada de Normalización y
Certificación
AENOR es el representante de ISO en
España y algunos países de
Latinoamérica.
Sin ánimo de lucro
Constitución: 1986
Real decreto 2200/95
AENOR Corporación
AENOR INTERNACIONAL (12 filiales)
AENOR México ( +10 años en México
DF y Delegaciones)
Multisectorial
Normalización
Certificación productos, servicios,
sistemas de gestión y personal
Servicios de Formación
AENOR es miembro de IQNET
AENOR

4. AENOR Datos relevantes
Calidad y Seguridad
25.300 Certificados ISO 9000
1.200
+ 400
+ 120
41
3
Certificados OHSAS 18001
Certificados IS0 27001
Certificados ISO 20000-1
Certificados SPICE nivel 2
Certificados SPICE nivel 3
Producto
Más de 89.570 Certificados
Internacional
Más de 45 Acuerdos internacionales para
certificación de
sistemas
Más de 40 Países donde AENOR concedido
certificados
4
Medioambiente
6.220 Certificados ISO 14000
558 Certificados EMAS
Normalización
Más de25.000 Normas
(UNE y R
atificadas)
Recursos Humanos
500Auditores/ auditores TICs
25
Cambio Climático
Más de 200 proyectos MDL, AC y Voluntarios
AENOR

5. Gestión de las TICs con criterios de negocio
• Informe Penteo:
– Sólo un 21% de las cías gestionan el Dpto. de SI con criterios
de negocio
– 31 % gestionan el dpto. de SI sólo con criterios tecnológicos
– 48 % gestionan con criterios híbridos
• Conclusiones:
– La Dirección de las cías. Tiene una percepción más positiva
de los CIOs que siguen criterios de Negocio. Les dan el rol de
líderes contribuidores de negocio en un 58%
– La Gestión de las TICs mejora el posicionamiento del dpto.
de SI y del CIO
– En un futuro los CIOS más gestores y menos tecnólogos
(Encuesta a: 85 Directores de TICs, 36 Dir. Generales y 12
Presidentes)
5
AENOR

6. Cómo perciben los ejecutivos los Sistemas de
Información
• 71% de los ejecutivos están de acuerdo que es
una palanca las TI para transformar el negocio
• 62% creen que las TICs deben focalizarse en la
innovación de los procesos de negocio
• 66% están de acuerdo que las TICs han
implicado una gestión de riesgos más compleja
en las corporaciones.
» Fuente: Ernst&Young study” What’ next for the CIO? (Enero
2011).
6
Una solución al gobierno y la gestión de las TICs es el modelo de AENOR
de ISO en las TICs donde se realiza el gobierno y la gestión de las TICs
alineadas con los objetivos de negocio.
AENOR

7. a solución: el Modelo de AENOR con ISO para las TI
La empresa y su
continuidad según
procesos críticos
SGCN
ISO 22301
Objetivo: Gobierno y Gestión de las TICs con estándares
ISO.
Sistema de Gestión Continuidad del
Negocio.
Calidad en
Desarrollo de
la creación
de Software
Gobierno de TI
ISO /IEC 38500
IT Governance
Procesos /Servicios
Software
Nivel de Madurez. Ciclo de Vida de
SW
SPICE ISO 15504
Modelo de Evaluación, Mejora y Madurez de Software
ISO 12207
Ciclo de Vida de Desarrollo
de Software
Calidad en
el producto
final
Software
ISO 25000
Calidad del Producto Software
Adicionalmente:
•
•
Funciones
del director
de TI
BPCE – Buenas Práctica Comercio
Electrónico
Calidad y
seguridad
en servicios
de TI (el día
a día)
SGSTI
ISO 20000-1
Sistema de Gestión Servicios TI
ISO 20000-2
Guía de Buenas Prácticas
SGSI
ISO 27001
Sistema de Gestión Seguridad de
la Información
ISO 27002
Guía de Controles
SGSI-ISO 27001 SCADA
Datacenter Green. Sostenibilidad Energética en CPDs- SE CPDCopyright AENOR Diciembre
.
2006
Nota:
tiene PDCA / Control interno Tecnologías de
Información
AENOR

8. epto de Motor – Conocimiento TICs
G
U
I
A
PDCA
M
otor
M
S
E
T
R
SGSI
ISO 27001
I
S
8
ISO..
ISO 15504
Conocim
iento
C
A
SGSTI
ISO 20000-1
ISO27002
ISO 20000-2
(ITIL)
LIBRERÍA
INFRAESTRUCTURA
CPD
Todos estos sistemas se han basado en
la ISO 9001 que tendrá una nueva
versión más pragmática en el 2015.
Véase www.aenor.es
ISO 12207
D
E
I
M
P
L
A
N
T
A
C
I
O
N
AENOR

9. MODELO PDCA. (Motor –PDCA-1 y
Conocimiento-2)
Identificar Objetivos del Negocio
(medibles)
Tener apoyo de la Dirección
Definir política
Establecer alcance del al SG
Seleccionar
procesos/procedimientos/controles
“A
”
“P”
GUIAS DE BUENAS PRACTICAS -2
CONOCIMIENTO
R
EPOSITORIO DE PR
OCESOS /PROCEDIMIENTOS /
CONTROLES
Aplicar mejora continua
Plan y Adoptar las acciones correctivas
Plan y Adoptar las acciones preventivas
“C”
9
Implantar plan de gestión
(tareas, actividades, PERT, GANTT, etc.)
Implantar el SG
Implantar los procesos/procedimientos/controles
Asignar recursos
Formación y Concienciación
“D
”
Monitorizar el SG
Revisar internamente el SG
Realizar auditorias internas del SG
Indicadores y Métricas
Revisión por Dirección
AENOR

10. Descripción genérica de un proceso
Relaciones con otros procesos
Entradas
PR
OCESO
-Tareas /Actividades
- Procedimientos
-Instrucciones Técnicas
- Registros (evidencias)
Salidas
Nota: es conveniente la utilización de wor l
kfows en el
proceso
Indicadores / métricas
Un proceso es un conjunto estructurado de actividades diseñado para cumplir un
Un proceso es un conjunto estructurado de actividades diseñado para cumplir un
objetivo concreto. Un proceso tiene entradas y salidas. Las organizaciones que
objetivo concreto. Un proceso tiene entradas y salidas. Las organizaciones que
persiguen la eficacia en su funcionamiento tienen que identificar y gestionar
persiguen la eficacia en su funcionamiento tienen que identificar y gestionar
numerosos procesos que están relacionados entre sí, ya que es frecuente que la
numerosos procesos que están relacionados entre sí, ya que es frecuente que la
salida de un proceso pase directamente a ser la entrada del siguiente proceso.
salida de un proceso pase directamente a ser la entrada del siguiente proceso.
10
AENOR

11. Propiedades principales asociadas a la
Información
CONFIDENCIALIDAD
DISPONIBILIDAD
Asegurar que los
usuarios autorizados
tienen acceso cuando
lo requieran a la
información y sus
activos asociados.
Asegurar que la información
es accesible solo para
aquellos autorizados a tener
acceso.
INTEGRIDAD
Garantizar la exactitud y
completitud de la
información y los métodos
de su proceso
La gestión eficaz de la Seguridad de la Información
permite a la organización preservarlas.
 Re-ordenar la seguridad
 Cumplimiento normativo-legal en Europa
11
AENOR

12. Análisis y Gestión de riesgos – Implantación de
controles
Procesos de Negocio /Servicios
de TI
Activos de SI
Sistemas de información
(Base de Datos)
Análisis y Gestión de
riesgos
R=F(X1,X2,X3,Xn)
Software (Aplicativos)
Integridad (X1)
Hardware
Confidencialidad (X2)
Telecomunicaciones
Disponibilidad (X3)
Personas
Amenazas (X4)
Vulnerabilidades (X5)
Impacto Económico (X6)
12
XN
Riesgo R
esidual
Activo1-------R’1
Activo2-------R’2
Aplicando
ISO/IEC 27002
(Selección de
AENOR
Controles)

13. Alcance de UNE – ISO/
IEC 20000-1:2011
Sistema de Gestión del Servicio (SGS)
• Responsabilidad de la
Dirección
• Gobierno de los procesos operados por
terceros
• Establecer el SGS
• Gestión de la documentación
• Gestión de los recursos
Diseño y transición de servicios nuevos o modificados
• Gestión de la capacidad
Procesos de Provisión del
Servicio
• Gestión de la Seguridad de
la Información
• Gestión del nivel de
servicio
• Gestión de la continuidad y
disponibilidad del servicio
• Elaboración de
presupuestos y contabilidad
de los servicios
• Informes del servicio
Procesos de control
• Gestión de la configuración
• Gestión del cambio
• Gestión de la entrega y despliegue
Procesos de resolución
Procesos de relación
• Gestión de incidencias y peticiones de
servicio
• Gestión de relaciones con el
negocio
• Gestión del problema
• Gestión de suministradores
Fte: ISO /IEC 20000-1:2011
13
AENOR

14. IPW ™: W
orkflow de implementación de procesos
14
AENOR

15. OBJETIVO DEL PROYECTO SUBVENCIONADO
Objetivo:
Crear un modelo ágil para la mejora de la calidad del
desarrollo de software de las PYMES españolas conforme a
los niveles de madurez de la norma internacional ISO/
IEC
15504 utilizando los procesos de la ISO 12207:2008.
Objetivo:
Ciclo de ingeniería del software orientado a objetivos de
negocio y requisitos de usuario (con trazabilidad y
productividad).
ybele
onsulting
15
AENOR
AENOR

16. MODELO DE NIVELES DE MADUREZ
MEJORA DE LA
CALIDAD DE LOS
PROCESOS SOFTWARE
MODELO DE
PROCESOS
MODELO DE
EVALUACIÓN
ISO/IEC 12207:2008
••Procesos
Procesos
•• Resultados del Proceso
Resultados del Proceso
(RP)
(RP)
16
ISO/IEC 15504
•• Atributos de Proceso (AP)
Atributos de Proceso (AP)
•• Componentes de los
Componentes de los
Atributos de Proceso (CAP)
Atributos de Proceso (CAP)
AENOR

17. PROCESOS DE LOS NIVELES 1 Y 2 DE MADUREZ
Nivel 2 de
madurez
AP 2.1 Gestión de la realización
CAP 2.1.1 Definir los objetivos del proceso
CAP 2.1.2 Planificar y controlar el proceso
CAP 2.1.3 Adaptar la realización del proceso
CAP 2.1.4 Asignar las responsabilidades del proceso
CAP 2.1.5 Asignar los recursos y la información
CAP 2.1.6 Gestionar la comunicación entre involucrados
AP 2.2 Gestión de los productos de trabajo
CAP 2.2.1 Definir los requisitos para los productos de trabajo
CAP 2.2.2 Requisitos para la documentación y control
CAP 2.2.3 Identificar, documentar y controlar los productos de trabajo
CAP 2.2.4 Revisar y adaptar los productos de trabajo
Nivel 1 de
madurez
 Proceso de Suministro
 Proceso de Definición de Requisitos de los
Stakeholders
 Proceso de Análisis de los Requisitos del Sistema
 Proceso de Gestión del Modelo de Ciclo de Vida
 Proceso de Planificación del Proyecto
 Proceso de Evaluación y Control del Proyecto
 Proceso de Gestión de la Configuración del Software
 Proceso de Gestión de la Configuración
 Proceso de Medición
 Proceso de Aseguramiento de la Calidad del Software
17
AENOR

18. PROCESOS DE NIVEL 3 DE MADUREZ
Nivel 3 de madurez
Nivel 2 de madurez
Nivel 1 de madurez
18
Proceso de Gestión de Infraestructuras
Proceso de Gestión de Infraestructuras
Proceso de Gestión de Recursos Humanos
Proceso de Gestión de Recursos Humanos
Proceso de Gestión de la Decisión
Proceso de Gestión de la Decisión
Proceso de Gestión de Riesgos
Proceso de Gestión de Riesgos
Proceso de Diseño de la Arquitectura del Sistema
Proceso de Diseño de la Arquitectura del Sistema
Proceso de Integración del Sistema
Proceso de Integración del Sistema
Proceso de Análisis de Requisitos del Software
Proceso de Análisis de Requisitos del Software
Proceso de Diseño de la Arquitectura del Software
Proceso de Diseño de la Arquitectura del Software
Proceso de Integración del Software
Proceso de Integración del Software
Proceso de Verificación del Software
Proceso de Verificación del Software
Proceso de Validación del Software
Proceso de Validación del Software
AENOR

19. stema de Gestión de Continuidad de Negocio - SGC
ISO 22301:2012
ISO 22301:2012
(MOTOR – PDCA)
(MOTOR – PDCA)
1. Aporta al Plan de Continuidad de Negocio -PCN el PDCA
2. Análisis de Impacto en el Negocio (BIA)
3. Correspondencia entre las normas ISO 9001, ISO 14001, ISO 27001
e ISO 22301
19
AENOR

20. Modelo de Gobierno Corporativo de TI
La ISO 38500 tiene los siguientes componentes:
• La dirección ha de gobernar las TI mediante 3 tareas
principales:
– Monitorizar
– Evaluar
– Dirigir
Estas tres tareas se incluyen en cada uno de los principios.
Principio
1:Responsabilidad
Principio 2: Estrategia
Principio 3: Adquisición
Principio 4: Rendimiento
Principio 5:
Conformidad
Principio 6: Factor
20
Humano
AENOR

21. acterísticas de Calidad de la ISO/
IEC 25000
Familia de normas ISO/
IEC 25000
Calidad del Producto
Funcionalidad
Rendimiento
Compatibilidad
Usabilidad
Fiabilidad
Seguridad
Aprendizaje
Madurez
Confidencial.
Operabilidad
Disponibilidad
Integridad
Protección a
Errores de
Usuario
Tolerancia a
Fallos
No repudio
Mantenibilidad
Portabilidad
Inteligibilidad
Completitud
Comport.
en el tiempo
Corrección
Idoneidad
Utilización de
Recursos
Coexistencia
Interoperabilid.
Atractividad
Autenticidad
Capacidad de
recuperación
Responsabil.
Modularidad
Reusabilidad
Adaptabilidad
Analizabilidad
Facilidad de
Instalación
Cambiabilidad
Intercambiabil.
Capacidad de
Ser probado
Accesibilidad
21
AENOR

22. Nota de prensa – 25 Septiembre 2013
22
AENOR

23. Proceso de Certificación según ISO 17021
Informe
fase 1
FASE 1: PLANIFICACIÓN DE LA
AUDITORÍA Y ESTUDIO DE
DOCUMENTACIÓN (presencial)
Auditorías de mantenimiento
de la certificación
CUESTIONARIO
PRELIMINAR Y SOLICITUD
AUDITORÍAS DE
RENOVACIÓN
(AL TERCER AÑO)
AENOR
Auditoría de
Certificación (ISO
17021)
AUDITORÍAS DE
SEGUIMIENTO
(AL SEGUNDO AÑO)
AUDITORÍAS DE
SEGUIMIENTO
(AL PRIMER AÑO)
FASE 2:
REALIZACIÓN DE
LA AUDITORÍA
(presencial)
Informe
final
Hoja de datos
Alcance : “… de acuerdo
al XXX vigente”
ELABORACIÓN DEL PLAN
DE ACCIONES
CORRECTIVAS - PAC
REGISTRAR LOS
RESULTADOS
Informe de
Evaluación y
Decisión
CONCESIÓN DEL
CERTIFICADO
La cert if icación de sist emas de gest ión (denominada
certificación) es una actividad de evaluación de la conformidad
AENOR

24. Proceso de Certificación en Modelo de AENOR en TICs
Evaluación y Decisión
Manteniendo una estructura que permita
independencia e imparcialidad, en la toma de
decisiones para la concesión o no de una
certificación se establecen tres niveles:
Gerente TICs - Comité
TRE (Técnico Responsable
Expediente)
Auditor Jefe
24
Decisión
(Concesión /no
concesión)
Revisión de Propuesta
(Concesión /no concesión)
Propuesta
(Concesión /no concesión)
AENOR

25. Acreditación de AENOR y Reconocimiento Internacional mutuo
25
AENOR

26. Salidas profesionales desde el modelo de AENOR
AENOR FOR
MACION
Titulaciones Propias – Ver otras slides
ISO 27001
SGSI
ISO 20000
SGSTI
ISO 22301
SGCN
SPICE
ISO 15504
Madurez en ciclo de vida de
software
Responsable
Consultor
Auditor
interno
Auditor
externo
Ídem
Ídem
Ídem
Otros Sistemas en Desarrollo con su titulación
Otros Sistemas en Desarrollo con su titulación
ISO 38500
Gobierno de TI
26
SAM – ISO 19770
SGAS
EA 0044:2013
SE CPD
AENOR

27. Testimoniales del Modelo de AENOR
ISO 20000ISO 27001
Luís Lopes
Luis Manuel Ortiz
1
Director Técnico
CESCE Soluçoes Informatica. Portugal del
Grupo SIA España
“Tenemos un anál de r
isis
iesgos t al
ot ment
e
adapt
ado a nuest as necesidades”
r
SPICE-ISO 15504/
ISO
Maximino Álvarez
12207
Director General
Xtream . España
“Base de nuest o cr
r ecimient
o
int nacional”
er
ISO 22301
Cristo M. Pérez Rosquete
Área de Seguridad Informática
Sanitas. España
“Par cont
a
inuarcuidando”
Director Comercial
TI América. México
“La cerif
t icación gar iza a l
ant
os
cl es que nuest os ser
ient
r
vicios se
r
igen porl mej es pr icas”
as
or
áct
ISO 15504 + ISO 25000
Luis
Montalban
CEO
BITWARE.
conj España ISO
unt de
a
“La apl
icación
1 5504 e
ISO 25000 ha supuest una mej a en
o
or
l pr
a oduct
ividad y un ahoro de cost
r
es
en elmant
enimient del60% en el
o
sof war
t e
AENOR

28. grafía siglo XXI.
Experiencias reales (+ 500 emp
Con la colaboración y consenso del Ministerio de Industria al modelo de
AENOR basado en ISO, mediante los planes Avanza
28
AENOR

29. TICs COMO APOYO A LA GESTION E INNOVACION EN LAS EMPR
E
“New Business and Tools for Business”
To CEOs & CIOs
B2C
B2B
BIG DATA
WEB 1.0
WEB 2.0
WEB 3.0?
MOBILITY
Pdas
Smartphone
Blakberry / Iphone / HTC
Portal Corporativo
Redes Sociales
Wikis
BYOD
GIS
RFID
CRM
ERP
SCM
e-Branding
e-Mailing
e-Learning
CLOUD COMPUTING
SaaS (Software As A Service)
IaaS (Infraestructure As A Service)
PaaS (Platform As A Service)
BUSINESS PLAN = PLAN DE TICS
(Integración y Alineamiento)
FACTORIA DE TICs
(Nuevos Servicios y Operaciones de TICs)
Fuente: Carlos MF –
AENOR

30. istemas de Gestión en las TICs. Una historia recient
“La simplicidad es la mayor de las sofisticaciones”
Leonardo Da Vinci
30
AENOR

31. Un nuevo reto en las TICs
“PDCA –Ciclo de mejora Continua
Sistema de Gestión Integrado y alineado con los Objetivos del Negocio.
En conclusión:
El modelo de AENOR aporta: confianza, calidad, productividad-costes e
innovación
¿Dormirá tranquilo el/ CIO?
la
¡¡Muchas Gracias!!
Carlos Manuel FERNÁNDEZ. CISA,CISM.
Gerente de TICs – Dirección de Desarrollo
AENOR
cmfernandez@aenor.es
31
AENOR