El documento presenta una introducción a los modelos de gestión para pequeñas y medianas empresas de software, incluyendo normas técnicas como ISO 27001 sobre seguridad de la información, ISO 20000 sobre gestión de servicios de TI, e ISO 15504 sobre madurez de procesos de desarrollo de software. También describe los beneficios de la certificación de cumplimiento de estas normas a través de organismos como AENOR.

1. Modelos de gestión para las factorías PYME de
software
I Foro Gestión de pequeñas y medianas factorías de software
20 de mayo de 2010 – Madrid
José Angel Valderrama Antón
Gerente de Nuevas Tecnologías
AENOR

2. Indice
• AENOR
• Estrategia TIC y Normalización internacional
• Normas técnicas: ISO 27001, ISO 20000, UNE 139803, ISO
15504 (SPICE)
• Certificación de cumplimiento
– Que es, objetivos y ventajas
– El proceso de certificación e IQNET
– El certificado
• La acreditación de ENAC
• Datos
EOI1005_1 2 AENOR

3. AENOR
• Asociación privada, independiente y sin ánimo de lucro,
reconocida en los ámbitos nacional, comunitario e internacional
• Actividades multisectoriales de N+C; formación; publicaciones;
información;
• Desde 1986; Veintiún centros operativos en España, además de
México, Chile, Italia, Portugal, Brasil, El Salvador, Perú, Bulgaria
• Certificaciones en 45 países; 500 auditores
• Servicios: www.aenor.es, infoAENOR (902.102.201, info@aenor.es),
Biblioteca en sede central y en las delegaciones de AENOR.
EOI1005_1 3 AENOR

4. AENOR, Misión
Contribuir mediante el desarrollo de las actividades
de N+C a mejorar la calidad de las empresas, sus
productos y servicios, proteger el medio ambiente y
con ello lograr:
El bienestar de la sociedad
– Elaborar normas con la participación abierta de todas las partes
interesadas impulsando la aportación española
– Certificar productos, servicios y empresas confiriéndoles un valor
competitivo diferencial que contribuya a favorecer intercambios
comerciales y la cooperación internacional.
– Orientar la gestión a la satisfacción de nuestros clientes, …
– Impulsar … que nos relacione con la calidad y … busca la excelencia.
EOI1005_1 4 AENOR

5. Situación TIC - Estrategia TIC  estándares
Problema, herramienta, solución y negocio.
• Hay Amenazas – Vulnerabilidades (Riesgos)
• Concordancia entre estrategia de negocio y estrategia TIC
• Gestión eficiente y desarrollo sistemático de las TIC
• Mejorar calidad producto, capacidad proceso (defectos, plazos… )
• Entorno cambiante (tecnológico, legal, …), e interconectado
– El riesgo de los Ordenadores y las TIC para los negocios ocupa el primer
lugar en 3 países (Japón, Reino Unido y USA), y en el top three de los
otros países (World Economic Forums Annual – DAVOS Dic2005)
– Sólo un 21% de las cías gestionan el Dpto. de SI con criterios de negocio.
En futuro los CIOS más gestores, menos tecnólogos (Informe Penteo 2006).
– Sólo el 34% de los proyectos de SW tienen éxito (CHAOS report 2003).
– Hasta el 40% de los recursos se dedica a mantenimiento de aplicaciones
EOI1005_1 5 AENOR

6. Normalización … estándares oficiales
Norma: Documento establecido por consenso y aprobado por un
organismo reconocido, que proporciona, para un uso común y
repetido, reglas, directrices o características para ciertas
actividades o sus resultados, con el fin de conseguir un grado
óptimo de orden en un contexto dado.
– Resultado de la experiencia
– Voluntarias (o requeridas por legislación)
– Públicas
AENOR,
CEN / CENELEC, ETSI, (COPANT )
ISO / IEC
Gestión interna - Mercado global - Ayuda a AAPP
EOI1005_1 6 AENOR

7. Estándares internacionales en TIC
ISO 9001 - EFQM; ISO 14001;
PNE 71599 - BS25999 (1 OHSAS; …
y 2) Gestión de ISO/IEC 38500
continuidad de negocio Gobierno de las TI
ISO 15504 SPiCE - PRM
SW (parte 2, 5, 7)
ISO 12207 ciclo de vida de
desarrollo de SW
ISO 20001-1 SG. STI
ISO 20000-2 Guía Normas y UNE 139803 Accesibilidad Web
de buenas prácticas certificacion
es TICs
Buenas prácticas en comercio
electrónico
ISO 27001 SG Seguridad Software original,
de la Información
Auditorías a Operadores de
ISO 27002 Guía de ISO 24762 Telecomunicaciones …
controles ISO 19770
DRS ICT SAM
EOI1005_1 7 AENOR

8. El SG SI - ISO 27001
La Información:
 Activo principal de las organizaciones (confidencialidad,
integridad, disponibilidad).
 Amenazas - vulnerabilidades (errores, problemas
informáticos, ataques, virus, empleados, legislación,
cambios tecnológicos, naturaleza … ).
 Tiene mucho valor y riesgo.
Requiere evaluar riesgos y establecer controles adecuados;
aunque sin un Sistema de Gestión no se asegura la
protección.
Seguridad informática ≠ Seguridad de la Información
EOI1005_1 8 AENOR

9. El SG SI – ISO 27001
Organiza, simplifica, y gestiona la seguridad de la información en
concordancia con los planes estratégicos de la organización, sus
políticas de seguridad y la situación.
A P
C D
 Herramienta de la Dirección. Mejora Continua
 En el marco de los riesgos empresariales generales.
 Enfoque común con otros SG. ISO (9001, 14001, 20000).
 Para todo tipo de organizaciones.
 Enfoque por procesos, y para la mejora continua.
 Soportado en conocimientos adquiridos (ISO 27002).
 Abarca aspectos legales.
EOI1005_1 9 AENOR

10. El SG SI: Ventajas del SGSI para el Negocio
– Integrar la gestión de la SI con otros SG empresarial.
– Mejorar la imagen, confianza y competitividad empresarial.
Certificación y reconocimiento por terceros.
– Comprobar su compromiso con el cumplimiento de la
legislación: protección de datos de carácter personal, servicios
sociedad de información, comercio electrónico, propiedad
intelectual, etc.
– Dar satisfacción a accionistas y demostrar el valor añadido de
las actividades de SI en la empresa.
– Mejora gestión de SI (evalúa riesgos, establece controles
adecuados, sistematiza y gestiona recursos y actividades)
ES SOPORTE, APORTA CONFIANZA - CREDIBILIDAD
EOI1005_1 10 AENOR

11. El SG STI - ISO 20000
Para que el proveedor de servicios de TI realice una gestión eficaz
de los servicios y que responda a las necesidades de sus clientes
(responder a requisitos del negocio + clientes).
A P
 Herramienta de la Dirección. C D
Mejora Continua
 En el marco de los riesgos empresariales generales.
 Enfoque común con otros SG. ISO (9001, 14001, 20000).
 Para quienes prestan servicios de TI (interno /externo).
 Enfoque por procesos, y para la mejora continua.
 Soportado en conocimientos adquiridos (ISO 20000-2).
 Basado en las librerías ITIL.
EOI1005_1 11 AENOR

12. El SG STI: Beneficios
 Maximizar la Calidad del servicio
 Alinear los servicios de TI a las necesidades del
negocio
 Reducir Costes
 Aumentar la satisfacción del Cliente
 Visión clara de la capacidad del departamento de TI
 Minimizar el tiempo de ciclo de cambios y mejorar
resultados en base a métricas
 Toma de decisiones en base a indicadores de
negocio y de TI
EOI1005_1 12 AENOR

13. ISO 15504 - SPICE
• Para organizaciones / áreas de desarrollo de SW.
• Determinación del nivel de madurez de los procesos del
ciclo de vida del SW, y de la organización.
• Independiente del tipo de organización, modelo de ciclo de
vida, metodología de desarrollo y de la tecnología usada
• Modelo ISO, PMR ISO 12207:2008 : Ciclo de Vida de
Desarrollo de Software. Fases en la creación de un software.
• Cada nivel de madurez tiene un conjunto de procesos
asociados, definidos en la ISO 12207, y se valora en función
de la capacidad de los procesos, medida según los
resultados y las actividades, atributos del proceso.
• Mejora continua.
• Es la competencia a CMMI.
EOI1005_1 13 AENOR

14. ISO 15504: Beneficios
• Mejora la:
– Planificación (reduce retrabajos)
– Coordinación de los proyectos (define responsabilidades, actividades).
– Comunicación (establece canales internos, con el cliente)
– Consolidación de conocimiento y experiencias (genera una base de
conocimientos sobre procesos y proyectos, reduce tiempos de
integración de personas, cualificación).
– Calidad del producto (control proceso / proyecto, y detección temprana
de errores).
 Mejora de la capacidad
 Mejora en la calidad y productividad
 Aumenta satisfacción de clientes
 Mejora en la competitividad
EOI1005_1 14 AENOR

15. Certificación ¿Qué es?
 Acto por el que una tercera parte testifica que ha obtenido la
adecuada confianza en la conformidad de un determinado
producto, proceso o servicio, debidamente identificado, con una
norma u otro documento normativo especificado.
Comprobación de que un SG cumplen con una serie de requisitos
especificados … en ISO 27001 / ISO 20000
EOI1005_1 15 AENOR

16. Certificación … AENOR en logos
EOI1005_1 16 AENOR

17. Certificación … objetivos
• Demostrar a los clientes el cumplimiento de las
normas, mediante las marcas.
• Facilitar la introducción de los productos en otros
mercados.
• Facilitar la compra /contratación de productos.
• Demostrar el cumplimiento de la Reglamentación
obligatoria (si existe) –ausencia de dolo-.
• Oportunidad de mejora interna (procesos / productos)
EOI1005_1 17 AENOR

18. Certificación … Ventajas para SGSI / SGSTI
• Apoya la actividad del Responsable TI.
• Apoya enfoque de negocio de la Dirección, y demuestra compromiso.
• Demuestra el cumplimiento de los requisitos (LOPD, LSSICE, ENS, …), la calidad.
• Auditores formados, cualificados, y expertos (El análisis del experto, novedades y
oportunidades de mejora).
• Genera confianza / credibilidad interna y externa – Aceptación global
(clientes, empleados, accionistas / propietarios, administraciones / jueces, …)
• Imagen de marca y diferenciación (AENOR, ENAC, IQNet).
• Diferenciación del mercado.
• Facilita la comercialización / venta, y la exportación
• Apoya la competitividad
EOI1005_1 18 AENOR

19. El proceso de certificación
CUESTIONARIO PREVIO Y
SOLICITUD
ANÁLISIS DE LA
PLANIFICACIÓN DE LA DOCUMENTACIÓN VISITA PREVIA
AUDITORÍA FASE I FASE I
INFORME/s
AUDITORÍAS DE AUDITORÍA DEL
RENOVACIÓN SISTEMA
(Cada tres años) FASE II
INFORME
AUDITORÍAS DE PLAN DE ACCIONES
SEGUIMIENTO CORRECTORAS
(Anuales) 1 mes
CONCESIÓN DEL
CERTIFICADO
AUDITORÍA
EXTRAORDINARIA
EOI1005_1 19 AENOR

20. IQNET: 38 socios de referencia
 AENOR España  JQA Japón
 AFAQ Francia  KEMA Holanda
 ANCE Méjico  KFQ Corea
 APCER Portugal  MSZT Hungría
 AVI Bélgica  NEMKO Noruega
 CISQ Italia  NSAI Irlanda
 CQC China  ÖQS Austria
 CQM China  PCBC Polonia
 CQS República Checa  PSB Singapur
 Cro Cert Croacia  QMI Canadá
 DQS Alemania  RR Rusia
 DS Dinamarca  SAI GL Australia
 ELOT Grecia  SFS Finlandia
 FCAV Brasil  SII Israel
 FONDONORMA Venezuela  SIQ Eslovenia
 IHKQAA China (Hong Kong)  SQS Suiza
 CONTEC Colombia  SRAC Rumania
 IMNC Méjico  TEST-St. P. Rusia
 IRAM Argentina  YUQS Serbia
Montenegro
www.iqnet-certification.com
EOI1005_1 20 AENOR

21. La acreditación de ENAC en AENOR
• Acreditada por ENAC para certificar
SGSI
• Miembro español de IQNet.
• Experiencia, cualificación, prestigio
EOI1005_1 21 AENOR

22. El certificado … norma, alcance, validez, número
www.aenor.es
AENORnet
EOI1005_1 22 AENOR

23. Datos: The ISO Survey 2009 (Dec 2008).
SGSI_1 23 AENOR

24. Datos: los Certificados de AENOR
– SGSI –UNE ISO 27001:
• 240 empresas certificadas, en todos los sectores.
• España en el top ten.
– SGSTI- UNE-ISO 20000:
• 40 empresas certificadas (el 50% PYMES-TIC)
• España en el top ten, según ItSMF.
– SPICE – ISO 15504 / ISO 12207: Modelo de madurez del
desarrollo de software. Factorías de SW.
• Es la competencia a CMMI.
• 22 empresas certificadas.
– Accesibilidad de sitios WEB - UNE 139803
• 28 sitios web certificados
EOI1005_1 24 AENOR

25. Muchas gracias, estamos a su disposición
José Angel Valderrama Antón
Gerente Nuevas Tecnologías
nuevastecnologias@aenor.es
AENOR
C/ Génova, 6. 28004 Madrid - Tel. 914 32 60 00
InfoAENOR - 902 102 201
www.aenor.es
EOI1005_1 25 AENOR