La Naturaleza de la Auditora de Sistemas de Informacin, y las capacidades
necesarias para la realizacin de dichas auditoras, requieren estndares de aplicacin especfica a la auditora de sistemas. Por lo mismo que la informacin es un activo vital para el xito y la continuidad en el mercado de cualquier organizacin. El aseguramiento de dicha informacin y de los sistemas que la procesan es, por tanto, un objetivo de primer nivel para la organizacin. Para la adecuada gestin de la seguridad de la informacin, es necesario implantar un sistema que a borde esta tarea de una forma metdica, documentada y basada en unos objetivos claros de seguridad y una evaluacin de los riesgos a los que est sometida la informacin de la organizacin.
Objetivo de la auditora informtica (ABRAHAM PARADA) La operatividad consiste en que la entidad y las mquinas funcionen aunque sea mnimamente. Ya que no es necesario detener los equipos informticos para descubrir sus fallos y comenzar de nuevo. Este tipo de auditora se realizar cuando los equipos estn operativos, en eso consiste su principal objetivo, que el hecho de realizar la auditora no pare la productividad de la empresa totalmente. Para conseguir este objetivo habr que realizar los siguientes controles. Controles Tcnicos especficos, son necesarios para lograr la operatividad de los sistemas. Por ejemplo se puede descubrir que los parmetros de asignacin automtica en el espacio de un disco estn mal, provocando que no se pueda utilizar por otra seccin distinta. Al igual que la prdida de informacin provocando dificultad o anulando otras aplicaciones. Controles Tcnicos Generales, sirven para comprobar la compatibilidad entre sistema operativo y software, as como la compatibilidad entre hardware y software. Y por tanto es de los ms importantes, ya que un problema en la compatibilidad puede crear un gran problema en la entidad.
Los Estandares Internacionales (Abraham Parada)
Los estndares internacionales son producto de diferentes organizaciones, algunas para uso interno solo, otras para uso por grupos de gente, grupos de compaas, o una subseccin de una industria. Un problema surge cuando diferentes grupos se renen, cada uno con una amplia base de usuarios haciendo alguna cosa bien establecida que entre ellos es mutuamente incompatible. Establecer estndares internacionales es una manera de prevenir o superar este problema.
Motivacin para el uso de estndares (Abraham Parada)
Un estndar internacional (o norma internacional) puede ser usado tanto por aplicacin directa o a travs de la adopcin del mismo, modificando el estndar internacional para adaptarlo a las condiciones locales. La adopcin de estndares internacionales resulta en la creacin de estndares nacionales equivalentes que son substancialmente los mismos en contenido tcnico pero que pueden tener diferencias editoriales en apariencia, uso de smbolos, unidades de medidas, substitucin del punto y la coma como marcas decimales y diferencias editoriales resultantes de conflictos con la normativa gubernamental y/o las normativas de requerimientos especficos de la industria, causados por un factor fundamental climtico, geogrficos, tecnolgico o infraestructural, o la necesidad de requerimientos de seguridad que una autoridad de estndares locales considere apropiada.
Los estndares internacionales (o normas internacionales) son una forma de sobrepasar las barreras tcnicas para el comercio internacional causadas por los diferentes estndares y reglamentos desarrollados separadamente por cada nacin, organizaciones de estndares nacionales o compaas. Las barreras tcnicas existen cuando diferentes grupos interactan, cada uno con una gran base de usuarios, haciendo algo bien establecido que entre ellos es mutuamente incompatible. El establecer estndares internacionales es una de las formas de prevenir la aparicin de estos problemas. Metodologas Normas (Estandares) y Certificaciones (Diferencias) Abraham Parada
METODOLOGA La misma palabra metodologa implica proceso, transformacin, modo de llevar a cabo un determinado trabajo, un inicio y un final.
Como puede verse, estas etapas son consecutivas y no se puede iniciar una sin haber culminado exitosamente la anterior. Es vital tambin la correcta documentacin en cada paso as como la aceptacin por parte del cliente del paso a la siguiente etapa, pero de estos detalles se hablar ms adelante en un post dedicado a ampliar este tema. Lo importante ac es dejar en claro por qu una metodologa es una metodologa y no una norma o un estndar, aunque vale decir que al igual que las dems, podra llegar a ser auditable.
NORMAS:
En el mbito de la normas tcnicas, lo que la entidad reguladora emite es una serie de requisitos de obligatorio cumplimiento respecto a algn tema en particular de la organizacin, Tiene una serie de requisitos de obligatorio cumplimiento y que adems son auditables, pero a diferencia de la metodologa no son consecutivos ni estn establecidos en un orden estricto. As como en las auditoras, en la implementacin de un sistema de gestin que responda a los requisitos de esta norma, la misma norma no brinda orientaciones o pasos especficos. Tampoco sugiere procedimientos o maneras de hacerlo, simplemente menciona el qu debe hacerse, mientras que el cmo debe lograrse es cuestin del criterio del equipo lder de proyecto o de los consultores vinculados
Que es una certificacin? ABRAHAM PARADA
Una certificacin es un documento que comprueba que una persona u organizacin cumple con los estndares mnimos para desempear una labor en un rea determinada.
Este documento de certificacin es expedido por una organizacin con reconocido prestigio y experiencia en el rea. Los certificados son fundamentales para demostrar la formacin y la experiencia
Estndares Internacionales de Auditora de Sistemas. OMAR SALAZAR
La tecnologa ha sido percibida en la actualidad en forma global como disparador de cambios permanentes del ambiente de negocios. Sin embargo, existe una idea primordial que aparece inmvil contra esta fuerza tecnolgica que implica que las organizaciones que sobreviven, son aquellas que entregan ms valor verdadero a sus clientes.
La funcin de auditora contina proporcionando servicios de aseguramiento tanto a clientes internos como externos. Dado que la tecnologa impacta la forma de hacer negocios, deben haber formas efectivas y sencillas para llevar a cabo la evaluacin de los controles que deben existir para garantizar dicho servicio.
Bajo la premisa anterior, existe un gran inters en el medio por identificar los estndares internacionales que son utilizados comnmente por empresas tanto pblicas como privadas. Las dos preguntas ms comunes que habra que resolver, Cmo podran asegurar las organizaciones, que construyen proyectos de tecnologa de informacin, cubriendo adecuadamente las necesidades del cliente, en forma eficiente y oportuna y dentro del presupuesto contemplado? y Cules son los estndares que ofrece la industria?
En ambos sectores, se hacen uso de una serie de estndares que guan el desarrollo de proyectos de TI, entre ellos se pueden mencionar:
Directrices Gerenciales de COBIT, desarrollado por la Information Systems Audit and Control Association (ISACA) The Management of the Control of data Information Technology, desarrollado por el Instituto Canadiense de Contadores Certificados (CICA) Administracin de la inversin de tecnologa de Inversin: un marco para la evaluacin y mejora del proceso de madurez, desarrollado por la Oficina de Contabilidad General de los Estados Unidos (GAO) Los estndares de administracin de calidad y aseguramiento de calidad ISO 9000, desarrollados por la Organizacin Internacional de Estndares (ISO). SysTrust Principios y criterios de confiabilidad de Sistemas, desarrollados por la Asociacin de Contadores Pblicos (AICPA) y el CICA El Modelo de Evolucin de Capacidades de software (CMM), desarrollado por el Instituto de Ingeniera de Software (SEI) Administracin de sistemas de informacin: Una herramienta de evaluacin prctica, desarrollado por la Directiva de Recursos de Tecnologa de Informacin. Gua para el cuerpo de conocimientos de administracin de proyectos, desarrollado por el comit de estndares del instituto de administracin de proyectos. Ingeniera de seguridad de sistemas Modelo de madurez de capacidades (SSE CMM), desarrollado por la agencia de seguridad nacional (NSA) con el apoyo de la Universidad de Carnegie Mellon. Administracin de seguridad de informacin: Aprendiendo de organizaciones lderes, desarrollado por la Oficina de Contabilidad General de los Estados Unidos (GAO)
Alcance de los Estndares.
Metodologa COBIT (OMAR SALAZAR)
A. Directrices Gerenciales de COBIT, desarrollado por la Information Systems Audit and Control Association (ISACA):
internacional de referencias que abordan las mejores prcticas de auditora y control de sistemas de informacin. Permiten que la gerencia incluya, comprenda y administre los riesgos relacionados con la tecnologa de informacin y establezca el enlace entre los procesos de administracin, aspectos tcnicos, la necesidad de controles y los riesgos asociados.
COBIT es un acrnimo para Control Objectives for Information and related Technology (Objetivos de Control para tecnologa de la informacin y relacionada); desarrollada por la Information Systems Audit and Control Association (ISACA) y el IT Governance Institute (ITGI).
COBIT es una metodologa aceptada mundialmente para el adecuado control de proyectos de tecnologa, los flujos de informacin y los riesgos que stas implican. La metodologa COBIT se utiliza para planear, implementar, controlar y evaluar el gobierno sobre TIC; incorporando objetivos de control, directivas de auditora, medidas de rendimiento y resultados, factores crticos de xito y modelos de madurez.
Permite a las empresas aumentar su valor TIC y reducir los riesgos asociados a proyectos tecnolgicos. Ello a partir de parmetros generalmente aplicables y aceptados, para mejorar las prcticas de planeacin, control y seguridad de las Tecnologas de Informacin.
COBIT contribuye a reducir las brechas existentes entre los objetivos de negocio, y los beneficios, riesgos, necesidades de control y aspectos tcnicos propios de un proyecto TIC; proporcionando un Marco Referencial Lgico para su direccin efectiva.
B. The Management of the Control of data Information Technology, desarrollado por el
ITIL, Information Technology Infrastructure Library OMAR SALAZAR (en espaol algo as Biblioteca de Infraestructura de Tecnologas de la Informacin), es un conjunto de buenas prcticas para la gestin de los servicios que prestan las tecnologas de la informacin.
ITIL siempre ha estado en el mbito de la explotacin produccin, IT, operaciones, servicios que presta la tecnologa, o como cada uno lo denomine. Lo cual, implica, que su mbito no es el puro desarrollo software.
Su origen est en el Reino Unido, donde naci como una gua de buenas prcticas. ITIL fue creada en los 80, popularizada en los 90, hasta lo que es ITIL hoy en su ltima versin. La ltima versin de ITIL, ITIL 2011 v3, se materializa en 5 libros.
As, para conocer que es ITIL con detalle, lo suyo sera leerlos, o, al menos, aquellos de los 5 que ms nos apliquen:
1 Estrategia del Servicio.
2 Diseo del Servicio.
3 Transicin del servicio.
4 Operacin del Servicio.
5 Mejora continua del Servicio.
CISA CISM CISSP (CRHISTIAN)
Qu es CISA?
CISA es reconocido mundialmente como el estndar de rendimiento en auditora, control, seguimiento y evaluacin de la tecnologa de una organizacin de la informacin y sistemas de negocio.
CISA (CERTIFIED INFORMATION SYSTEMS AUDITOR): es una Certificacin para auditores respaldada por la Asociacin de Control y auditora de sistemas de informacin. Dicha Certificacin fue establecida con el propsito de: Proveer de una herramienta para los auditores que les permita mantener un control y evaluacin de sus habilidades y de los mtodos y herramientas utilizados Para poder evolucionar las herramientas CISM (CERTIFIED INFORMATION SECURITY MANAGEMENT): es una certificacin para administradores de seguridad de la informacin. Est dirigida a la Direccin y gerencia a fin de establecer los estndares y competencias. CISSP (CERTIFIED INFORMATION SYSTEMS SECURITY PROFESSIONAL): sta certificacin es otorgada a profesionales de un alto nivel. La CISSP es considerada una de las credenciales de mayor prestigio para los profesionales de Seguridad de la Informacin. 4.3.1 Historia (CHRISTIAN GONZALEZ) ISO surgi en Ginebra (Suiza), su principal objetivo era la unificacin de los estndares industriales y facilitar la coordinacin internacional. La ISO es una organizacin no gubernamental que forma un puente entre los sectores privados y pblicos. Su objetivo consiste en publicar y desarrollar estndares internacionales al resto del mundo. Hay que destacar que las siglas ISO, provienen del griego (isos), 'igual'. Adems la ISO consiste en una red de los institutos de normas nacionales de 160 pases (y posiblemente vaya en aumento segn pase el tiempo) Cabe destacar que todas las normas desarrolladas por ISO son siempre voluntarias ya que la ISO es un organismo no gubernamental y no depende de ningn otro organismo internacional, por lo que no tiene autoridad y por tanto no puede imponer a un pas. Respecto a su organizacin se divide en tres clases las cuales son las siguientes: a) Miembros natos b) Miembros correspondientes c) Miembros suscritos Existe una cuarta clase que simplemente son aquellos los cuales no son miembros de la ISO. 4.3.2 Quin trabaja en ISO? El trabajo de ISO es muy descentralizado, se lleva a cabo mediante una jerarqua de unos 2850 comits tcnicos, trabajos en grupo y otros subcomits. En estos comits los representantes de las industrias, consumidoras, autoridades gubernamentales y organizaciones internacionales de todo el mundo trabajan juntos con el fin de obtener una resolucin con todos de acuerdo de los problemas de estandarizacin a nivel global.
Qu es ISO 9000?CRHISTIAN
La calidad es algo que todas las compaas quieren alcanzar y muchas veces es muy difcil lograrlo. Las complicaciones concernientes a la eficacia y la calidad se presentan diariamente en los negocios, ya sea que un documento importante no puede ser encontrado o un cliente no encuentra satisfechas sus expectativas hacia un producto. Cmo puede una compaa incrementar la calidad de sus productos y servicios? La respuesta a esto es ISO 9000.
En cuanto a normas se refiere, ISO 9000 es una de las normas ms reconocidas a nivel mundial. ISO 9000 es una norma de gestin de la calidad que presenta directrices con el propsito de incrementar la eficiencia del negocio y la satisfaccin del cliente. La meta de ISO 9000 es arraigar un sistema de gestin de la calidad dentro de una organizacin, incrementando la productividad, reduciendo costos innecesarios, y asegurar la calidad de los procesos y productos.
Cmo funciona ISO 9000?CHIRSTIAN
ISO 9000 se establece como una coleccin de lineamientos que ayudan a la compaa a establecer, mantener y mejorar un sistema de gestin de la calidad. Es importante hacer nfasis que ISO 9000 no es un conjunto de requisitos rgidos, y que las organizaciones cuentan con la flexibilidad de cmo van a implementar su sistema de gestin de la calidad. Esta libertad permite a la norma ISO 9000 ser utilizada en una gran diversidad de organizaciones, y en negocios tanto grandes como pequeos.
Un aspecto importante de ISO 9000 es su enfoque basado en procesos. En lugar de ver a los departamentos y procesos individuales de una compaa, ISO 9000 requiere que una compaa vea el marco completo. Cmo interactan los procesos? Pueden ser integrados unos con otros? Cules son los aspectos importantes de los productos y servicios?
Una vez que ste enfoque basado en procesos es implementado, varias auditoras pueden ser realizadas para verificar la eficacia de su sistema de gestin de la calidad. Existen tres tipos principales de auditoras- auditoras de primera, segunda y terceras partes. Una auditora interna es una auditora de primera parte. ISO 9000 alienta (y requiere) este tipo de auditora para que la organizacin pueda tener una retroalimentacin rpida de aquellas personas que conocen mejor a la compaa. Sin embargo, este proceso de auditora no puede ser visto como imparcial. Por consiguiente, las auditoras de segunda parte permiten al cliente evaluar el desempeo de una organizacin. Como alternativa a una auditora de segunda parte, muchas compaas eligen certificarse a ISO 9000 a travs de una auditora de tercera parte. En este caso, un cuerpo de certificacin independiente llega a la organizacin y la evala bajo los trminos de las directrices de ISO 9000. Si una organizacin cumple con los requisitos de la norma, sta se certifica en ISO 9000 y lleva un sello de calidad reconocido a nivel mundial. C. Estndares de administracin de calidad y aseguramiento de calidad ISO 9000, desarrollados por la Organizacin Internacional de Estndares (ISO):
Por qu es importante ISO 9000?
La importancia de ISO 9000 es la importancia de la calidad. Muchas compaas ofrecen productos y servicios, pero solo son aquellas compaas que ofrecen los mejores productos y servicios las que tienen xito. Con ISO 9000, una organizacin puede identificar la raz del problema, y en consecuencia encontrar la solucin. Mejorando la eficacia se puede maximizar la ganancia.
Debido a que una amplia gama de compaas implementa las normas ISO 9000, se crea una cadena de suministros con integridad. Cada compaa que participa en el proceso de desarrollar, manufacturar y llevar a cabo mercadotecnia para un producto sabe que es parte de un sistema confiable internacionalmente conocido.
No nicamente los negocios reconocen la importancia de ISO 9000, tambin el cliente se da cuenta de la importancia de la calidad. Y debido a que el cliente es lo ms importante para la compaa, ISO 9000 se enfoca al cliente. Cules son los principios de ISO 9000?
1. Enfoque al cliente
Como se estableci anteriormente, el cliente es el foco principal de un negocio. Al comprender y responder a las necesidades de los clientes, una organizacin puede correctamente dirigirse a un sector demogrfico clave y por lo tanto incrementar sus ingresos entregando los productos y servicios que el cliente ha estado buscando. Con el conocimiento de las necesidades del cliente, los recursos pueden ser asignados de manera apropiada y eficiente. Pero lo ms importante, la dedicacin de un negocio ser reconocida por el cliente, creando la lealtad del mismo. Y la lealtad de un cliente hace que regrese a nuestro negocio.
2. Liderazgo
Un equipo de buenos lderes establecer unidad y direccin rpidamente en un ambiente de negocios. Su objetivo es motivar a todos los que trabajen en el proyecto, los lderes exitosos minimizarn la falta de comunicacin dentro y entre los departamentos. Su papel se encuentra ntimamente ligado con el siguiente principio de ISO 9000.
3. Participacin del personal
La participacin de todos en un equipo de trabajo es de vital importancia para que ste tenga xito. Esta participacin sustancial los llevar a una inversin personal de un proyecto y crear empleados motivados y comprometidos. Estos empleados se inclinarn a la innovacin y creatividad y utilizarn sus habilidades para completar un proyecto. Si a las personas se les confiere inters en el desempeo, stas estarn dispuestas a participar en la mejora continua que ISO 9000 ofrece.
4. Enfoque basado en procesos
Los mejores resultados se logran cuando las actividades y los recursos son gestionados de manera conjunta. Este enfoque basado en procesos para la gestin de la calidad puede disminuir costos a travs del uso efectivo de recursos, personal y tiempo. Si un proceso es controlado como un todo, la direccin se puede enfocar en las metas que son importantes para el marco completo y dar prioridad a objetivos para maximizar la eficacia.
5. Enfoque de sistema para la gestin
Combinar grupos de direccin puede parecer un choque peligroso de titanes, pero si se lleva a cabo correctamente puede dar como resultado un sistema de gestin eficaz y eficiente. Si los lderes estn dedicados a las metas de una organizacin, se ayudarn entre ellos para lograr una productividad mejorada. Algunos resultados incluyen la integracin y alineamiento de procesos clave. Adems, las partes interesadas reconocern la consistencia, efectividad y eficiencia que contiene un sistema de gestin. Tanto proveedores como clientes adquirirn confianza en las habilidades del negocio.
6. Mejora continua
La importancia de este principio es primordial, y debiera ser un objetivo permanente de cada organizacin. A travs del incremento del desempeo, una compaa puede incrementar sus ganancias y tomar ventaja sobre los competidores. Si todo un negocio se dedica a la mejora continua, las actividades de mejora sern alineadas, conduciendo un desarrollo ms rpido y eficiente.
Los negocios una vez listos para la mejora y el cambio, tendrn la flexibilidad para reaccionar rpidamente a nuevas oportunidades.
7. Enfoque basado en hechos para la toma de decisin
Las decisiones efectivas son basadas en el anlisis y la interpretacin de la informacin y de los datos. Al tomar decisiones basadas en informacin, es ms probable que la organizacin tome la decisin correcta. Conforme las compaas hagan de esto un hbito, sern capaces de demostrar la eficacia de decisiones pasadas. Esto brindar confianza a las decisiones actuales y futuras.
8. Relacin mutuamente beneficiosa con el Proveedor
Es importante establecer una relacin mutuamente beneficiosa con el proveedor; ya que una relacin de ste tipo crea valor para ambas partes. Un proveedor que reconoce una relacin mutuamente beneficiosa reaccionar ms rpido cuando un negocio necesite responder a las necesidades del cliente o cambios en el mercado. A travs del contacto cercano y la interaccin con un proveedor, ambas organizaciones sern capaces de optimizar los recursos y los costos.
La coleccin ISO 9000 es un conjunto de estndares y directrices que apoyan a las organizaciones a implementar sistemas de calidad efectivos, para el tipo de trabajo que ellos realizan.
D. SysTrust Principios y criterios de confiabilidad de Sistemas, desarrollados por la Asociacin de Contadores Pblicos (AICPA) y el CICA:
Este servicio pretende incrementar la confianza de la alta gerencia, clientes y socios, con respecto a la confiabilidad en los sistemas por una empresa o actividad en particular. Este modelo incluye elementos como: infraestructura, software de cualquier naturaleza, personal especializado y usuarios, procesos manuales y automatizados, y datos. El modelo persigue determinar si un sistema de
informacin es confiable, (i.e. si un sistema funciona sin errores significativos, o fallas durante un periodo de tiempo determinado bajo un ambiente dado).
E. Modelo de Evolucin de Capacidades de software (CMM), desarrollado por el Instituto de Ingeniera de Software (SEI):
Este modelo hace posible evaluar las capacidades o habilidades para ejecutar, de una organizacin, con respecto al desarrollo y mantenimiento de sistemas de informacin. Consiste en 18 sectores clave, agrupados alrededor de cinco niveles de madurez. Se puede considerar que CMM es la base de los principios de evaluacin recomendados por COBIT, as como para algunos de los procesos de administracin de COBIT.
F. Administracin de sistemas de informacin: Una herramienta de evaluacin prctica, desarrollado por la Directiva de Recursos de Tecnologa de Informacin (ITRB):
Este es una herramienta de evaluacin que permite a entidades gubernamentales, comprender la implementacin estratgica de tecnologa de informacin y comunicacin electrnica que puede apoyar su misin e incrementar sus productos y servicios.
G. Ingeniera de seguridad de sistemas Modelo de madurez de capacidades (SSE CMM), desarrollado por la agencia de seguridad nacional (NSA) con el apoyo de la Universidad de Carnegie Mellon:
Este modelo describe las caractersticas esenciales de una arquitectura de seguridad organizacional para tecnologa de informacin y comunicacin electrnica, de acuerdo con las prcticas generalmente aceptadas observadas en las organizaciones.
ESTNDARES ESPECIFICOS
1. ISO 27001: Esta norma contiene los requisitos del sistema de gestin de seguridad de la informacin. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se certifican por auditores externos los SGSI de las organizaciones. Enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002. Esta norma internacional (27001) especifica los requisitos para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar un SGSI documentado dentro del contexto global de los riesgos de negocio de la organizacin. Especifica los requisitos para la implantacin de los controles de seguridad hechos a medida de las necesidades de organizaciones individuales o partes de las mismas
2. ISO 15504 (Spice): Sistema de calidad de productos software, combina ideas de CMM e ISO 9000.
Sus derivados: ISO 15504-2, modelo de madurez ISO 15504-3, requisitos para evaluacin de procesos ISO 15504-6, competencia, formacin, etc.
Evaluacin del proceso de Ingeniera Mejora de proceso de ingeniera Determinacin de capacidades (madurez)
da a: Adquiridores Suministradores Evaluadores
Permite la evaluacin de procesos software en organizaciones que realicen alguna de las actividades del ciclo de vida del software: Adquisicin Suministro Desarrollo Operacin Mantenimiento Evolucin Soporte
Qu ventajas aporta esta norma a las empresas de desarrollo y mantenimiento software?
Pueden contar con una norma ISO, internacional y abierta. Integracin ms fcil con otras normas ISO del sector TIC, como son: ISO 27000 de seguridad, ISO 20000 de servicios de IT e ISO 9000. Evala por niveles de madurez, la evaluacin ms extendida entre los modelos de mejora. Normalmente, tiene un menor coste de certificacin que otros modelos similares. Existen certificaciones de prestigio, como por ejemplo la otorgada por AENOR. Facilita auto evaluacin. Toma en cuenta el contexto del proceso que se evala. Entregar una nota del perfil del proceso Se ocupa de qu tan adecuadas son las prcticas, en relacin al propsito del proceso. Es aplicable para todos los dominios y tamaos de organizaciones.
3. ISO 12207: Este estndar "establece un marco de referencia comn para los procesos del ciclo de vida software, con una terminologa bien definida, que puede ser referenciada por la industria del software Tiene como objetivo principal proporcionar una estructura comn para que compradores, proveedores, desarrolladores, personal de mantenimiento, operadores, gestores y tcnicos involucrados en el desarrollo de software usen un lenguaje comn. Contiene procesos, actividades y tareas para aplicar durante la adquisicin de un sistema que contiene software, un producto software puro o un servicio software, y durante el suministro, desarrollo, operacin y mantenimiento de productos software.
4. ISO/IEC 17799 (denominada tambin como ISO 27002) es un estndar para la seguridad de la informacin. Este estndar internacional de alto nivel para la administracin de la seguridad de la informacin, fue publicado por la ISO en diciembre de 2000 con el objeto de desarrollar un marco de seguridad sobre el cual trabajen las organizaciones.
Se define como una gua en la implementacin del sistema de administracin de la seguridad de la informacin, se orienta a preservar los siguientes principios de la seguridad informtica:
Confidencialidad. Asegurar que nicamente personal autorizado tenga acceso a la informacin.
Integridad. Garantizar que la informacin no ser alterada, eliminada o destruida por entidades no autorizadas.
Disponibilidad. Asegurar que los usuarios autorizados tendrn acceso a la informacin cuando la requieran.
TENDENCIAS DE LOS ESTNDARES Y DE LAS MEJORES PRCTICAS.
Es importante considerar la forma en que los estndares y las mejores prcticas van evolucionando, adems de conocer qu tanto ha cambiado su uso por parte de las organizaciones.
Se ha visto que existen procesos de evolucin como a continuacin se menciona:
Evolucin en los estndares y marcos referenciales de la madurez de procesos. Evolucin de estndares de administracin de proyectos y de desarrollo de software comercial. Evolucin de estndares de software militar.
Tendencias de los estndares y de las mejores prcticas.
Es importante considerar la forma en que los estndares y las mejores prcticas van evolucionando, adems de conocer qu tanto ha cambiado su uso por parte de las organizaciones.
Se ha visto que existen procesos de evolucin como a continuacin se menciona:
Evolucin en los estndares y marcos referenciales de la madurez de procesos. Evolucin de estndares de administracin de proyectos y de desarrollo de software comercial. Evolucin de estndares de software militar.
De igual manera se han visto tendencias en el uso de estndares y mejores prcticas en el sector gubernamental, los cules se dan en funcin de las nuevas legislaciones, adems de los requerimientos de proyectos como los que se gestaron durante la dcada pasada referentes a la conversin para el ao 2000.
Conclusin.
Las tendencias de estndares que van surgiendo, van paralelas con lo que ha sucedido aceleradamente en el sector privado, esto es, dado que se han gestado numerosos proyectos de sistemas de informacin que han fracasado, y la dura realidad del incumplimiento de los mismos con las necesidades propias de los clientes y del negocio en s, ha habido un incremento dramtico en el nmero de organizaciones en el sector privado que estn persiguiendo agresivamente el uso de estndares y mejores prcticas, como su estrategia primordial de supervivencia