LIC.

EN TECNOLOGAS E INFORMACIN 2014A

CONTEXTUALIZACIN DE LAS TECNOLOGAS DE LA INFORMACIN Y LA COMUNICACIN (I7713)

UNIDAD 2: POLTICAS, LINEAMIENTOS Y ESTNDARES DE LAS TIC A NIVEL MUNDIAL, AMRICA LATINA Y NACIONAL ACTIVIDAD 2: MODELO ISO SOBRE TIC ASESOR TITULAR: JAVIER RIZO PIMENTEL ASESOR: JAVIER RIZO PIMENTEL COORDINADOR DE LTEI: PAOLA MERCADO LOZANO ALUMNO: GABRIEL PREZ GUERRERO (214294341) GRUPO: 81490

SISTEMA DE UNIVERSIDAD VIRTUAL UDG VIRTUAL

16 DE MARZO DE 2014
UNIVERSIDAD DE GUADALAJARA

Modelo ISO sobre TIC.

Actualmente el uso de las TIC ha crecido, y sigue en aumento, por lo que los riesgos asociados tambin van en aumento. Las empresas utilizarn una serie de herramientas para controlar, prevenir y remediar los fallos de seguridad y dar confianza y tranquilidad a los clientes, as, asegurando la fidelidad de estos y su continuidad en el negocio. El sistema de gestin en las TIC nos ayuda a gestionar el control interno de TIC, siempre y cuando est alineado e integrado con los objetivos del negocio y que cumplan con la normalizacin legal y sectorial. Es necesario aplicar las normas ISO para obtener una correcta gestin de las TIC en el negocio.

Principales elementos del modelo ISO en TIC.

Calidad y Seguridad. 25,300 Certificados ISO 9000 1,200 Certificados OHSAS 18001 + 250 certificados ISO 27001 + 70 certificados ISO 20000-1 24 certificados SPICE nivel 2 1 certificado SPICE nivel 3 Para la calidad, es un concepto global de gestionar calidad en empresas tecnolgicas o departamentos de informtica de pymes y grandes empresas. La calidad se aplica en la prestacin de servicios IT (Information Technology), tales como atencin a cliente, subcontratacin de servicios, desarrollo de software, disponibilidad de sistemas crticos, hosting, entrega de aplicaciones, etc. Una de las claves de del negocio de las organizaciones es la informacin, sa que est alojada en los sistemas TIC, en el conocimiento de sus empleados, en los procesos de la organizacin, en los archivos fsicos. La informacin forma parte del activo ms importante de una compaa y es necesario protegerla por la propia continuidad de negocio. La seguridad de la informacin
1 GABRIEL PREZ GUERRERO LTEI_2014A

debe ser gestionada como un proceso abarcando temas tecnolgicos y aspectos que comienzan desde la propia gestin en las personas. Medio ambiente. 6,220 certificados ISO 14000 558 certificados EMAS Menor impacto negativo al medio ambiente. Producto. Ms de 89,570 certificados Calidad y seguridad del producto. Normalizacin. Ms de 25,000 Normas (UNE y Ratificadas) Documentacin que permite a los diferentes interlocutores tener la certeza de que estn hablando de lo mismo cuando tratan sobre un servicio prestado, una forma de gestionar una entidad o un producto. Internacional. Ms de 45 acuerdos internacionales para la certificacin de sistemas Ms de 40 pases donde AENOR ha concedido certificados Recursos Humanos. 500 auditores/25 auditores TICs Cambio climtico.
2 GABRIEL PREZ GUERRERO LTEI_2014A

Ms de 200 proyectos MDL, AC y voluntarios Normas con relacin con TICs: BS25999 (1y2) Gestin de continuidad de negocio. BS 25999-1presenta los procesos y principios necesarios para una adecuada gestin de la continuidad del negocio que permita cubrir las necesidades de clientes y organizaciones. BS 25999-2 es una norma britnica emitida en 2007, y se ha convertido en la principal norma para gestin de la continuidad del negocio. Define un sistema de gestin de la continuidad del negocio con las siguientes fases de gestin: planificacin, implementacin, revisin y supervisin, y por ltimo, mejora. IT Governance. ISO 15504 SPiCE. Software Process Improvement Capability Determination. Sirve para la mejora, evaluacin de los procesos de desarrollo, mantenimiento de sistemas de informacin y productos de software. ISO12207 Ciclo de vida de desarrollo de software. ISO 19770 SAM. Estndar internacional relacionado con la gestin de activos de software (SAM). ISO20001-1 S.G. STI ISO20000-2 Gua de buenas prcticas.
3 GABRIEL PREZ GUERRERO LTEI_2014A

ISO 27001 S.G. Seguridad de la informacin. ISO 27002 Gua de controles.

Modelo ISO para las TICs y otros entornos.

Gobierno y gestin de las TICs con estndares ISO.

SGCN UNE 71599-2 Sistema de Gestin Continuidad del Negocio.

UNE 71599-1 Entendimiento de la empresa: anlisis de impacto, identificacin de actividades crticas, determinacin de requisitos de continuidad, evaluacin de amenazas sobre actividades crticas, determinacin de opciones, visto bueno. Determinacin de la estrategia de continuidad del negocio: Opciones estratgicas, personal, locales, tecnologa, informacin, suministros, partes interesadas, emergencias civiles, visto bueno. Desarrollo e implantacin de una respuesta GCN: Estructura de la respuesta a incidentes, contenido de los planes, plan de Gestin de Incidentes, plan de continuidad del negocio. Prueba, mantenimiento y revisin: Programa de pruebas, pruebas de puesta en prctica, mantenimiento de las disposiciones, revisin de las disposiciones. Gestin del programa de GCN: Asignacin de responsabilidades (gobierno), implantacin de la continuidad de negocio en la organizacin, gestin continua, documentacin de GCN. UNE 71599-2

4 GABRIEL PREZ GUERRERO LTEI_2014A

Establecer: Planificacin del Sistema de Continuidad de Negocio: Creacin y Gestin del SGCN; Implantacin de la GCN en la cultura de la Organizacin; Documentos y registros del SGCN. Implantar y operar: Implantacin y operacin del SGCN: Entender la Organizacin; Determinacin de la estrategia de continuidad de negocio; Desarrollo e implantacin de una respuesta de GCN; Prueba, mantenimiento y revisin de planes y acciones de GCN. Seguimiento y supervisin: Supervisin y seguimiento del SGCN: Auditora Interna; Revisin por la direccin del SGCN. Mantener y mejorar: Mantenimiento y mejora del SGCN: Acciones Preventivas Correctivas; Mejora continua.

Gobierno de TI ISO / IEC 38500 IT Governance

Fija estndares de una buena gestin de procesos y decisiones empresariales relacionadas con los servicios de informacin y comunicacin, los cuales suelen estar gestionados tanto por especialistas TI internos o ubicados en otras unidades de negocio de la organizacin. Asegura que se pueda confiar en el gobierno corporativo TI, si la norma es seguida de manera adecuada (directivos, consultores, ingenieros, proveedores de hardware, auditores, etc.). Informa y orienta a los directores que controlan el uso de las TI en la organizacin. Proporciona una base para la evaluacin objetiva por parte de la alta direccin de la gestin de TI. Se puede aplicar a entidades de todo tamao, incluyendo empresas pblicas y privadas, organizaciones gubernamentales o sin nimo de lucro. Desarrollo de software Nivel de Madurez. Ciclo de Vida de SW SPICE ISO 15504 Modelo de evaluacin, mejora y madurez de software: Adaptacin para la evaluacin de procesos en PYMEs y pequeos grupos de desarrollo software por niveles de madurez segn la norma ISO/IEC 15504. Permite realizar evaluaciones usando niveles de madurez. La madurez define en niveles, siendo stos conjuntos predefinidos de procesos que ayudan a una organizacin a mejorar en el desarrollo del software. Nivel 0 Organizacin inmadura: La organizacin no tiene una implementacin efectiva de los procesos. Nivel 1 Organizacin bsica: Implementa y alcanza los objetivos de los procesos.
5 GABRIEL PREZ GUERRERO LTEI_2014A

Nivel 2 Organizacin gestionada: Gestiona los procesos y los productos de trabajo se establecen, controlan y mantienen. Nivel 3 Organizacin establecida: Utiliza procesos adaptados basados en estndares. Nivel 4 Organizacin predecible: Gestiona cuantitativamente los procesos. Nivel 5 Organizacin optimizando: Mejora continuamente los procesos para cumplir los objetivos de negocio. ISO 12207 Ciclo de Vida de Desarrollo de Software Procesos de ciclo de vida del software: Los procesos se clasifican en tres tipos: Procesos principales, de soporte y procesos de la organizacin. Procesos principales: Adquisicin, suministro, desarrollo, operacin, mantenimiento. Procesos de soporte: Documentacin, gestin de la configuracin, aseguramiento de calidad, verificacin, validacin, revisin conjunta, auditora, resolucin de problemas. Procesos de la organizacin: Gestin, infraestructura, mejora, recursos humanos. Procesos/Servicios SGAS SAM ISO 19770-1 Pertenece al estndar internacional ISO/IEC 19770. ISO 19770-1 Establece un conjunto base de procesos para la gestin de activos de software (SAM). Procesos SAM. Gestin organizacional: Ambiente de control, procesos de planificacin e implementacin. Procesos nucleares de SAM: Inventario, verificacin y cumplimiento, gestin de operaciones e interfaces. Procesos bsicos: Procesos de ciclo de vida SAM.
6 GABRIEL PREZ GUERRERO LTEI_2014A

Sistema de Gestin Activos Software SGSTI ISO 20000-1 Primera parte del ISO 20000. Sistema de Gestin de Servicios TI: Requisitos de los sistemas de gestin de servicios. Define los requerimientos necesarios para realizar una entrega de servicios TI alineados con las necesidades de negocio, con calidad y valor aadido para los clientes, asegurando la optimizacin de costes y garantiza la seguridad de la entrega. Tambin garantiza que se est realizando un ciclo de mejora continuo en la gestin de servicios TI. ISO 20000-2 Segunda parte del ISO 20000. Gua de Buenas Prcticas. Gua de implementacin de los sistemas de gestin de servicios. Representa el conjunto de buenas prcticas adoptadas y aceptadas por la industria en materia de Gestin de Servicio de TI. Es la gua y soporte de establecimiento de acciones de mejora en el servicio o preparacin de auditoras contra el ISO 20000-1:2005. SGSI ISO 27001 Sistema de Gestin Seguridad de la Informacin. Estndar para la seguridad de la informacin, aprobado y publicado como estndar internacional en Octubre de 2005 por International Organization for Standarization y por la comisin International Electrotechnical Commission. Especifica los requisitos para establecer, implantar, mantener y mejorar un sistema de gestin de la seguridad se la informacin (SGSI) segn el conocido como Ciclo de Deming: PDCA Plan, Do, Check, Act. En 2013 desaparece la seccin enfoque a procesos dando mayor flexibilidad para la eleccin de metodologas de trabajo para el anlisis de riesgos y mejoras. Cambia su estructura conforme al anexo SL comn al resto de estndares de la ISO. Pasa de 102 requisitos a 130. Considerables cambios en los controles establecidos en el anexo A. Inclusin de un nuevo dominio sobre Relaciones con el Proveedor. Se parte del anlisis de riesgos para determinar los controles necesarios y compararlos con el anexo A. ISO 27002
7 GABRIEL PREZ GUERRERO LTEI_2014A

Estndares Internacionales aplicables a las TIC

Anteriormente denomidada ISO 17799. Gua de Controles. Gua de buenas prcticas que describe los objetivos de control y controles recomendables en cuanto a la seguridad de la informacin. En la versin del 2005 incluye Poltica de Seguridad de la Informacin, Organizacin de la Seguridad de la Informacin, Gestin de Activos de Informacin, Seguridad de los Recursos Humanos, Seguridad Fsica y Ambiental, Gestin de las Comunicaciones y Operaciones, Control de Accesos, Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin, Gestin de Incidentes en la Seguridad de la Informacin, Gestin de Continuidad del Negocio, Cumplimiento. Dentro de cada una de las secciones anteriormente mencionadas, se especifican los objetivos de los distintos controles para la seguridad de la informacin.

8 GABRIEL PREZ GUERRERO LTEI_2014A

ISO
BS 25999 (1y2) ISO 15504 ISO 12207 ISO 19770 ISO 20001-1 ISO 20000-2 ISO 27001 ISO 27002 UNE 71599-2 ISO/IEC 38500 ISO 15504 ISO 12207 ISO 19770-1 ISO/IEC 29110 Familia de normas ISO 25000 ISO/IEC 29119

Descripcin
Gestin de continuidad de negocio SPICE (Software Process Improvement Capability Determination) Ciclo de vida de desarrollo de software Estndar internacional relacionado con la gestin de activos de software (SAM) SGSTI (Sistema de Gestin de Servicios TI) Gua de Buenas Prcticas SGSI (Sistema de Gestin Seguridad de la Informacin) Gua de Controles SGCN (Sistema de Gestin de Continuidad del Negocio) Gobierno de TI / IT Governance SW SPICE Nivel de Madurez Ciclo de Vida de Software Ciclo de Vida de Desarrollo de Software SGAS (Sistema de Gestin de Activos Software) SAM Perfiles de ciclo de vida para pequeas entidades Calidad del producto de Software Pruebas de Software que an estn en elaboracin

9 GABRIEL PREZ GUERRERO LTEI_2014A

REFERENCIA BIBLIOGRFICA
(2013, Noviembre 27) Aplicacin de las Normas ISO para la correcta gestin de las TIC. Recuperado el 16 de Marzo del 2014 de, http://www.sbqconsultores.es/aplicacion-de-las-normas-iso-para-la-correcta-gestion-de-las-tic/ 27001 Academy. ISO 27001 and ISO 22301 Online Consultation Center. (s.f.) Conceptos bsicos de la BS 25999-2. Recuperado el 15 de Marzo del 2014 de, http://www.iso27001standard.com/es/que-es-la-norma-bs-25999-2
10 GABRIEL PREZ GUERRERO LTEI_2014A

Fernndez, C. M. (2011). Normas (estndares) ISO relativas a TIC. Modelo de ISO en las TIC. AENOR. Recuperado el 14 de Marzo del 2014 de, http://www.s2grupo.es/pdf/Carlos_Manuel_AENOR.pdf IT360 (s.f.) Calidad TIC. Seguridad de la Informacin, Calidad de desarrollo de software. Recuperado el 15 de Marzo del 2014 de, http://www.it360.es/calidadtic.php Marble Station. Sergi Blanco-Cuaresma. (2008, Marzo 09) BS 25999-1: Gestin de la Continuidad del Negocio. Recuperado el 15 de Marzo del 2014 de, http://www.marblestation.com/?p=650 Martnez Cndano, Beatrz. (2008, Junio) ISO/IEC 38500 y el Buen Gobierno de las T.I. Recuperado el 15 de Marzo del 2014 de, http://www.criptored.upm.es/guiateoria/gt_m453a.htm Valderrama Antn, Jos Angel; Jimnez Caballero, Jos Antonio. (2008, Octubre) Normalizacin y Certificacin en TIC. Recuperado el 15 de Marzo del 2014 de, http://www.revistadintel.es/Revista1/DocsNum26/Normas/Valderrama.pdf Wikipedia (Actualizacin: 09 de Octubre 2013) ISO/IEC 15505. Recuperado el 15 de Marzo del 2014 de,

http://es.wikipedia.org/wiki/ISO/IEC_15504

11 GABRIEL PREZ GUERRERO LTEI_2014A

Wikipedia

(Actualizacin:

10

de

Febrero

2014)

ISO/IEC

20000.

Recuperado

el

15

de

Marzo

del

2014

de,

http://es.wikipedia.org/wiki/ISO/IEC_20000 Wikipedia (Actualizacin: 10 de Febrero 2014) ISO/IEC 27002. Recuperado el 15 de Marzo del 2014 de,

http://es.wikipedia.org/wiki/ISO/IEC_27002 Wikipedia (Actualizacin: 21 de Febrero 2014) ISO/IEC 19770. Recuperado el 15 de Marzo del 2014 de,

http://es.wikipedia.org/wiki/ISO/IEC_19770 Wikipedia (Actualizacin: 26 de Enero 2014) Modelo de evaluacin de procesos software ISO 15504 SPICE. Recuperado el 15 de Marzo del 2014 de, http://es.wikipedia.org/wiki/Modelo_de_evaluaci%C3%B3n_de_procesos_software_ISO_15504_SPICE Wikipedia (Actualizacin: 29 de Enero 2014) ISO/IEC 12207. Recuperado el 15 de Marzo del 2014 de,

http://es.wikipedia.org/wiki/ISO/IEC_12207

12 GABRIEL PREZ GUERRERO LTEI_2014A