INTRODUCCION (Abraham Parada)

La Naturaleza de la Auditora de Sistemas de Informacin, y las capacidades

necesarias para la realizacin de dichas auditoras, requieren estndares de
aplicacin especfica a la auditora de sistemas. Por lo mismo que la
informacin es un activo vital para el xito y la continuidad en el mercado de
cualquier organizacin. El aseguramiento de dicha informacin y de los
sistemas que la procesan es, por tanto, un objetivo de primer nivel para la
organizacin. Para la adecuada gestin de la seguridad de la informacin, es
necesario implantar un sistema que a borde esta tarea de una forma metdica,
documentada y basada en unos objetivos claros de seguridad y una evaluacin
de los riesgos a los que est sometida la informacin de la organizacin.

Objetivo de la auditora informtica (ABRAHAM PARADA)
La operatividad consiste en que la entidad y las mquinas funcionen aunque sea
mnimamente. Ya que no es necesario detener los equipos informticos para descubrir
sus fallos y comenzar de nuevo. Este tipo de auditora se realizar cuando los equipos
estn operativos, en eso consiste su principal objetivo, que el hecho de realizar la
auditora no pare la productividad de la empresa totalmente. Para conseguir este
objetivo habr que realizar los siguientes controles.
Controles Tcnicos especficos, son necesarios para lograr la operatividad de
los sistemas. Por ejemplo se puede descubrir que los parmetros de asignacin
automtica en el espacio de un disco estn mal, provocando que no se pueda
utilizar por otra seccin distinta. Al igual que la prdida de informacin
provocando dificultad o anulando otras aplicaciones.
Controles Tcnicos Generales, sirven para comprobar la compatibilidad entre
sistema operativo y software, as como la compatibilidad entre hardware y
software. Y por tanto es de los ms importantes, ya que un problema en la
compatibilidad puede crear un gran problema en la entidad.



Los Estandares Internacionales (Abraham Parada)



Los estndares internacionales son producto de diferentes organizaciones,
algunas para uso interno solo, otras para uso por grupos de gente, grupos de
compaas, o una subseccin de una industria. Un problema surge cuando
diferentes grupos se renen, cada uno con una amplia base de usuarios
haciendo alguna cosa bien establecida que entre ellos es mutuamente
incompatible. Establecer estndares internacionales es una manera de prevenir
o superar este problema.





Motivacin para el uso de estndares (Abraham Parada)


Un estndar internacional (o norma internacional) puede ser usado tanto por
aplicacin directa o a travs de la adopcin del mismo, modificando el estndar
internacional para adaptarlo a las condiciones locales. La adopcin de
estndares internacionales resulta en la creacin de estndares nacionales
equivalentes que son substancialmente los mismos en contenido tcnico pero
que pueden tener diferencias editoriales en apariencia, uso de smbolos,
unidades de medidas, substitucin del punto y la coma como marcas decimales
y diferencias editoriales resultantes de conflictos con la normativa
gubernamental y/o las normativas de requerimientos especficos de la industria,
causados por un factor fundamental climtico, geogrficos, tecnolgico o
infraestructural, o la necesidad de requerimientos de seguridad que una
autoridad de estndares locales considere apropiada.

Los estndares internacionales (o normas internacionales) son una forma de
sobrepasar las barreras tcnicas para el comercio internacional causadas por
los diferentes estndares y reglamentos desarrollados separadamente por cada
nacin, organizaciones de estndares nacionales o compaas. Las barreras
tcnicas existen cuando diferentes grupos interactan, cada uno con una gran
base de usuarios, haciendo algo bien establecido que entre ellos es
mutuamente incompatible. El establecer estndares internacionales es una de
las formas de prevenir la aparicin de estos problemas.
Metodologas Normas (Estandares) y Certificaciones (Diferencias)
Abraham Parada


METODOLOGA
La misma palabra metodologa implica proceso, transformacin, modo de llevar
a cabo un determinado trabajo, un inicio y un final.

Como puede verse, estas etapas son consecutivas y no se puede iniciar una
sin haber culminado exitosamente la anterior. Es vital tambin la correcta
documentacin en cada paso as como la aceptacin por parte del cliente del
paso a la siguiente etapa, pero de estos detalles se hablar ms adelante en
un post dedicado a ampliar este tema. Lo importante ac es dejar en claro por
qu una metodologa es una metodologa y no una norma o un estndar,
aunque vale decir que al igual que las dems, podra llegar a ser auditable.

NORMAS:

En el mbito de la normas tcnicas, lo que la entidad reguladora emite es una
serie de requisitos de obligatorio cumplimiento respecto a algn tema en
particular de la organizacin, Tiene una serie de requisitos de obligatorio
cumplimiento y que adems son auditables, pero a diferencia de la metodologa
no son consecutivos ni estn establecidos en un orden estricto.
As como en las auditoras, en la implementacin de un sistema de gestin que
responda a los requisitos de esta norma, la misma norma no brinda
orientaciones o pasos especficos. Tampoco sugiere procedimientos o maneras
de hacerlo, simplemente menciona el qu debe hacerse, mientras que el cmo
debe lograrse es cuestin del criterio del equipo lder de proyecto o de los
consultores vinculados

Que es una certificacin? ABRAHAM PARADA

Una certificacin es un documento que comprueba que una persona u
organizacin cumple con los estndares mnimos para desempear una labor
en un rea determinada.

Este documento de certificacin es expedido por una organizacin con
reconocido prestigio y experiencia en el rea.
Los certificados son fundamentales para demostrar la formacin y la
experiencia


Estndares Internacionales de Auditora de Sistemas. OMAR SALAZAR


La tecnologa ha sido percibida en la actualidad en forma global
como disparador de cambios permanentes del ambiente de negocios. Sin
embargo, existe una idea primordial que aparece inmvil contra esta fuerza
tecnolgica que implica que las organizaciones que sobreviven, son aquellas
que entregan ms valor verdadero a sus clientes.

La funcin de auditora contina proporcionando servicios de aseguramiento
tanto a clientes internos como externos. Dado que la tecnologa impacta la
forma de hacer negocios, deben haber formas efectivas y sencillas para llevar
a cabo la evaluacin de los controles que deben existir para garantizar dicho
servicio.

Bajo la premisa anterior, existe un gran inters en el medio por identificar los
estndares internacionales que son utilizados comnmente por empresas tanto
pblicas como privadas. Las dos preguntas ms comunes que habra que
resolver, Cmo podran asegurar las organizaciones, que construyen
proyectos de tecnologa de informacin, cubriendo adecuadamente las
necesidades del cliente, en forma eficiente y oportuna y dentro del presupuesto
contemplado? y Cules son los estndares que ofrece la industria?

En ambos sectores, se hacen uso de una serie de estndares que guan el
desarrollo de proyectos de TI, entre ellos se pueden mencionar:

Directrices Gerenciales de COBIT, desarrollado por la Information
Systems Audit and Control Association (ISACA)
The Management of the Control of data Information Technology,
desarrollado por el Instituto Canadiense de Contadores Certificados
(CICA)
Administracin de la inversin de tecnologa de Inversin: un marco para
la evaluacin y mejora del proceso de madurez, desarrollado por la Oficina
de Contabilidad General de los Estados Unidos (GAO)
Los estndares de administracin de calidad y aseguramiento de calidad
ISO 9000, desarrollados por la Organizacin Internacional de Estndares
(ISO).
SysTrust Principios y criterios de confiabilidad de Sistemas,
desarrollados por la Asociacin de Contadores Pblicos (AICPA) y el
CICA
El Modelo de Evolucin de Capacidades de software (CMM),
desarrollado por el Instituto de Ingeniera de Software (SEI)
Administracin de sistemas de informacin: Una herramienta de
evaluacin prctica, desarrollado por la Directiva de Recursos de
Tecnologa de Informacin.
Gua para el cuerpo de conocimientos de administracin de proyectos,
desarrollado por el comit de estndares del instituto de administracin de
proyectos.
Ingeniera de seguridad de sistemas Modelo de madurez de
capacidades (SSE CMM), desarrollado por la agencia de seguridad
nacional (NSA) con el apoyo de la Universidad de Carnegie Mellon.
Administracin de seguridad de informacin: Aprendiendo de
organizaciones lderes, desarrollado por la Oficina de Contabilidad
General de los Estados Unidos (GAO)


Alcance de los Estndares.

Metodologa COBIT (OMAR SALAZAR)

A. Directrices Gerenciales de COBIT, desarrollado por la Information
Systems Audit and
Control Association (ISACA):



internacional de referencias que
abordan las mejores prcticas de auditora y control de sistemas de
informacin. Permiten que la gerencia incluya, comprenda y administre los
riesgos relacionados con la tecnologa de informacin y establezca el enlace
entre los procesos de administracin, aspectos tcnicos, la necesidad de
controles y los riesgos asociados.

COBIT es un acrnimo para Control Objectives for Information and related
Technology (Objetivos de Control para tecnologa de la informacin y
relacionada); desarrollada por la Information Systems Audit and Control
Association (ISACA) y el IT Governance Institute (ITGI).

COBIT es una metodologa aceptada mundialmente para el adecuado control
de proyectos de tecnologa, los flujos de informacin y los riesgos que stas
implican. La metodologa COBIT se utiliza para planear, implementar, controlar
y evaluar el gobierno sobre TIC; incorporando objetivos de control, directivas de
auditora, medidas de rendimiento y resultados, factores crticos de xito y
modelos de madurez.

Permite a las empresas aumentar su valor TIC y reducir los riesgos asociados
a proyectos tecnolgicos. Ello a partir de parmetros generalmente aplicables y
aceptados, para mejorar las prcticas de planeacin, control y seguridad de las
Tecnologas de Informacin.


COBIT contribuye a reducir las brechas existentes entre los objetivos de
negocio, y los beneficios, riesgos, necesidades de control y aspectos tcnicos
propios de un proyecto TIC; proporcionando un Marco Referencial Lgico para
su direccin efectiva.

B. The Management of the Control of data Information Technology,
desarrollado por el



ITIL, Information Technology Infrastructure Library OMAR SALAZAR (en
espaol algo as Biblioteca de Infraestructura de Tecnologas de la
Informacin), es un conjunto de buenas prcticas para la gestin de los
servicios que prestan las tecnologas de la informacin.

ITIL siempre ha estado en el mbito de la explotacin produccin, IT,
operaciones, servicios que presta la tecnologa, o como cada uno lo denomine.
Lo cual, implica, que su mbito no es el puro desarrollo software.

Su origen est en el Reino Unido, donde naci como una gua de buenas
prcticas. ITIL fue creada en los 80, popularizada en los 90, hasta lo que es
ITIL hoy en su ltima versin. La ltima versin de ITIL, ITIL 2011 v3, se
materializa en 5 libros.

As, para conocer que es ITIL con detalle, lo suyo sera leerlos, o, al menos,
aquellos de los 5 que ms nos apliquen:

1 Estrategia del Servicio.

2 Diseo del Servicio.

3 Transicin del servicio.

4 Operacin del Servicio.

5 Mejora continua del Servicio.

CISA CISM CISSP (CRHISTIAN)

Qu es CISA?

CISA es reconocido mundialmente como el estndar de rendimiento en
auditora, control, seguimiento y evaluacin de la tecnologa de una
organizacin de la informacin y sistemas de negocio.

CISA (CERTIFIED INFORMATION SYSTEMS AUDITOR): es una Certificacin
para auditores respaldada por la Asociacin de Control y auditora de sistemas de
informacin. Dicha Certificacin fue establecida con el propsito de:
Proveer de una herramienta para los auditores que les permita mantener un
control y evaluacin de sus habilidades y de los mtodos y herramientas
utilizados
Para poder evolucionar las herramientas
CISM (CERTIFIED INFORMATION SECURITY MANAGEMENT): es una
certificacin para administradores de seguridad de la informacin. Est dirigida a la
Direccin y gerencia a fin de establecer los estndares y competencias.
CISSP (CERTIFIED INFORMATION SYSTEMS SECURITY PROFESSIONAL):
sta certificacin es otorgada a profesionales de un alto nivel. La CISSP es considerada
una de las credenciales de mayor prestigio para los profesionales de Seguridad de la
Informacin.
4.3.1 Historia (CHRISTIAN GONZALEZ)
ISO surgi en Ginebra (Suiza), su principal objetivo era la unificacin de los
estndares industriales y facilitar la coordinacin internacional.
La ISO es una organizacin no gubernamental que forma un puente entre los sectores
privados y pblicos. Su objetivo consiste en publicar y desarrollar estndares
internacionales al resto del mundo.
Hay que destacar que las siglas ISO, provienen del griego (isos), 'igual'.
Adems la ISO consiste en una red de los institutos de normas nacionales de 160
pases (y posiblemente vaya en aumento segn pase el tiempo)
Cabe destacar que todas las normas desarrolladas por ISO son siempre voluntarias ya
que la ISO es un organismo no gubernamental y no depende de ningn otro organismo
internacional, por lo que no tiene autoridad y por tanto no puede imponer a un pas.
Respecto a su organizacin se divide en tres clases las cuales son las siguientes:
a) Miembros natos
b) Miembros correspondientes
c) Miembros suscritos
Existe una cuarta clase que simplemente son aquellos los cuales no son miembros de
la ISO.
4.3.2 Quin trabaja en ISO?
El trabajo de ISO es muy descentralizado, se lleva a cabo mediante una jerarqua de
unos 2850 comits tcnicos, trabajos en grupo y otros subcomits. En estos comits
los representantes de las industrias, consumidoras, autoridades gubernamentales y
organizaciones internacionales de todo el mundo trabajan juntos con el fin de obtener
una resolucin con todos de acuerdo de los problemas de estandarizacin a nivel
global.


Qu es ISO 9000?CRHISTIAN

La calidad es algo que todas las compaas quieren alcanzar y muchas veces
es muy difcil lograrlo. Las complicaciones concernientes a la eficacia y la
calidad se presentan diariamente en los negocios, ya sea que un documento
importante no puede ser encontrado o un cliente no encuentra satisfechas sus
expectativas hacia un producto. Cmo puede una compaa incrementar la
calidad de sus productos y servicios? La respuesta a esto es ISO 9000.

En cuanto a normas se refiere, ISO 9000 es una de las normas ms
reconocidas a nivel mundial. ISO 9000 es una norma de gestin de la calidad
que presenta directrices con el propsito de incrementar la eficiencia del
negocio y la satisfaccin del cliente. La meta de ISO 9000 es arraigar un
sistema de gestin de la calidad dentro de una organizacin, incrementando la
productividad, reduciendo costos innecesarios, y asegurar la calidad de los
procesos y productos.



Cmo funciona ISO 9000?CHIRSTIAN

ISO 9000 se establece como una coleccin de lineamientos que ayudan a la
compaa a establecer, mantener y mejorar un sistema de gestin de la
calidad. Es importante hacer nfasis que ISO 9000 no es un conjunto de
requisitos rgidos, y que las organizaciones cuentan con la flexibilidad de cmo
van a implementar su sistema de gestin de la calidad. Esta libertad permite a
la norma ISO 9000 ser utilizada en una gran diversidad de organizaciones, y en
negocios tanto grandes como pequeos.

Un aspecto importante de ISO 9000 es su enfoque basado en procesos. En
lugar de ver a los departamentos y procesos individuales de una compaa,
ISO 9000 requiere que una compaa vea el marco completo. Cmo
interactan los procesos? Pueden ser integrados unos con otros? Cules
son los aspectos importantes de los productos y servicios?

Una vez que ste enfoque basado en procesos es implementado, varias
auditoras pueden ser realizadas para verificar la eficacia de su sistema de
gestin de la calidad. Existen tres tipos principales de auditoras- auditoras de
primera, segunda y terceras partes. Una auditora interna es una auditora de
primera parte. ISO 9000 alienta (y requiere) este tipo de auditora para que la
organizacin pueda tener una retroalimentacin rpida de aquellas personas
que conocen mejor a la compaa. Sin embargo, este proceso de auditora no
puede ser visto como imparcial. Por consiguiente, las auditoras de segunda
parte permiten al cliente evaluar el desempeo de una organizacin. Como
alternativa a una auditora de segunda parte, muchas compaas eligen
certificarse a ISO 9000 a travs de una auditora de tercera parte. En este
caso, un cuerpo de certificacin independiente llega a la organizacin y la
evala bajo los trminos de las directrices de ISO 9000. Si una organizacin
cumple con los requisitos de la norma, sta se certifica en ISO 9000 y lleva un
sello de calidad reconocido a nivel mundial.
C. Estndares de administracin de calidad y aseguramiento de calidad
ISO 9000, desarrollados por la Organizacin Internacional de Estndares
(ISO):

Por qu es importante ISO 9000?

La importancia de ISO 9000 es la importancia de la calidad. Muchas compaas
ofrecen productos y servicios, pero solo son aquellas compaas que ofrecen
los mejores productos y servicios las que tienen xito. Con ISO 9000, una
organizacin puede identificar la raz del problema, y en consecuencia
encontrar la solucin. Mejorando la eficacia se puede maximizar la ganancia.

Debido a que una amplia gama de compaas implementa las normas ISO
9000, se crea una cadena de suministros con integridad. Cada compaa que
participa en el proceso de desarrollar, manufacturar y llevar a cabo
mercadotecnia para un producto sabe que es parte de un sistema confiable
internacionalmente conocido.

No nicamente los negocios reconocen la importancia de ISO 9000, tambin el
cliente se da cuenta de la importancia de la calidad. Y debido a que el cliente
es lo ms importante para la compaa, ISO 9000 se enfoca al cliente.
Cules son los principios de ISO 9000?

1. Enfoque al cliente

Como se estableci anteriormente, el cliente es el foco principal de un negocio.
Al comprender y responder a las necesidades de los clientes, una organizacin
puede correctamente dirigirse a un sector demogrfico clave y por lo tanto
incrementar sus ingresos entregando los productos y servicios que el cliente ha
estado buscando. Con el conocimiento de las necesidades del cliente, los
recursos pueden ser asignados de manera apropiada y eficiente. Pero lo ms
importante, la dedicacin de un negocio ser reconocida por el cliente, creando
la lealtad del mismo. Y la lealtad de un cliente hace que regrese a nuestro
negocio.

2. Liderazgo

Un equipo de buenos lderes establecer unidad y direccin rpidamente en un
ambiente de negocios. Su objetivo es motivar a todos los que trabajen en el
proyecto, los lderes exitosos minimizarn la falta de comunicacin dentro y
entre los departamentos. Su papel se encuentra ntimamente ligado con el
siguiente principio de ISO 9000.

3. Participacin del personal

La participacin de todos en un equipo de trabajo es de vital importancia para
que ste tenga xito. Esta participacin sustancial los llevar a una inversin
personal de un proyecto y crear empleados motivados y comprometidos.
Estos empleados se inclinarn a la innovacin y creatividad y utilizarn sus
habilidades para completar un proyecto. Si a las personas se les confiere
inters en el desempeo, stas estarn dispuestas a participar en la mejora
continua que ISO 9000 ofrece.

4. Enfoque basado en procesos

Los mejores resultados se logran cuando las actividades y los recursos son
gestionados de manera conjunta. Este enfoque basado en procesos para la
gestin de la calidad puede disminuir costos a travs del uso efectivo de
recursos, personal y tiempo. Si un proceso es controlado como un todo, la
direccin se puede enfocar en las metas que son importantes para el marco
completo y dar prioridad a objetivos para maximizar la eficacia.

5. Enfoque de sistema para la gestin

Combinar grupos de direccin puede parecer un choque peligroso de titanes,
pero si se lleva a cabo correctamente puede dar como resultado un sistema de
gestin eficaz y eficiente. Si los lderes estn dedicados a las metas de una
organizacin, se ayudarn entre ellos para lograr una productividad mejorada.
Algunos resultados incluyen la integracin y alineamiento de procesos clave.
Adems, las partes interesadas reconocern la consistencia, efectividad y
eficiencia que contiene un sistema de gestin. Tanto proveedores como
clientes adquirirn confianza en las habilidades del negocio.

6. Mejora continua

La importancia de este principio es primordial, y debiera ser un objetivo
permanente de cada organizacin. A travs del incremento del desempeo,
una compaa puede incrementar sus ganancias y tomar ventaja sobre los
competidores. Si todo un negocio se dedica a la mejora continua, las
actividades de mejora sern alineadas, conduciendo un desarrollo ms rpido y
eficiente.

Los negocios una vez listos para la mejora y el cambio, tendrn la flexibilidad
para reaccionar rpidamente a nuevas oportunidades.

7. Enfoque basado en hechos para la toma de decisin

Las decisiones efectivas son basadas en el anlisis y la interpretacin de la
informacin y de los datos. Al tomar decisiones basadas en informacin, es
ms probable que la organizacin tome la decisin correcta. Conforme las
compaas hagan de esto un hbito, sern capaces de demostrar la eficacia de
decisiones pasadas. Esto brindar confianza a las decisiones actuales y
futuras.

8. Relacin mutuamente beneficiosa con el Proveedor

Es importante establecer una relacin mutuamente beneficiosa con el
proveedor; ya que una relacin de ste tipo crea valor para ambas partes. Un
proveedor que reconoce una relacin mutuamente beneficiosa reaccionar ms
rpido cuando un negocio necesite responder a las necesidades del cliente o
cambios en el mercado. A travs del contacto cercano y la interaccin con un
proveedor, ambas organizaciones sern capaces de optimizar los recursos y
los costos.


La coleccin ISO 9000 es un conjunto de estndares y directrices que
apoyan a las organizaciones a implementar sistemas de calidad efectivos,
para el tipo de trabajo que ellos realizan.



D. SysTrust Principios y criterios de confiabilidad de Sistemas,
desarrollados por la
Asociacin de Contadores Pblicos (AICPA) y el CICA:



Este servicio pretende incrementar la confianza de la alta gerencia,
clientes y socios, con respecto a la confiabilidad en los sistemas por una
empresa o actividad en particular. Este modelo incluye elementos como:
infraestructura, software de cualquier naturaleza, personal especializado y
usuarios, procesos manuales y automatizados, y datos. El modelo
persigue determinar si un sistema de

informacin es confiable, (i.e. si un sistema funciona sin errores significativos, o
fallas durante un periodo de tiempo determinado bajo un ambiente dado).



E. Modelo de Evolucin de Capacidades de software (CMM), desarrollado por
el Instituto de Ingeniera de Software (SEI):



Este modelo hace posible evaluar las capacidades o habilidades para
ejecutar, de una organizacin, con respecto al desarrollo y mantenimiento
de sistemas de informacin. Consiste en 18 sectores clave, agrupados
alrededor de cinco niveles de madurez. Se puede considerar que CMM es la
base de los principios de evaluacin recomendados por COBIT, as como para
algunos de los procesos de administracin de COBIT.



F. Administracin de sistemas de informacin: Una herramienta de
evaluacin prctica, desarrollado por la Directiva de Recursos de Tecnologa
de Informacin (ITRB):



Este es una herramienta de evaluacin que permite a entidades
gubernamentales, comprender la implementacin estratgica de tecnologa de
informacin y comunicacin electrnica que puede apoyar su misin e
incrementar sus productos y servicios.



G. Ingeniera de seguridad de sistemas Modelo de madurez de capacidades
(SSE CMM), desarrollado por la agencia de seguridad nacional (NSA) con el
apoyo de la Universidad de Carnegie Mellon:



Este modelo describe las caractersticas esenciales de una
arquitectura de seguridad organizacional para tecnologa de informacin y
comunicacin electrnica, de acuerdo con las prcticas generalmente
aceptadas observadas en las organizaciones.



ESTNDARES ESPECIFICOS


1. ISO 27001: Esta norma contiene los requisitos del sistema de gestin de
seguridad de la informacin. Tiene su origen en la BS 7799-2:2002 y es la
norma con arreglo a la cual se certifican por auditores externos los SGSI de las
organizaciones. Enumera en forma de resumen los objetivos de control y
controles que desarrolla la ISO 27002.
Esta norma internacional (27001) especifica los requisitos para establecer,
implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar un
SGSI documentado dentro del contexto global de los riesgos de negocio de la
organizacin. Especifica los requisitos para la implantacin de los controles de
seguridad hechos a medida de las necesidades de organizaciones individuales
o partes de las mismas

2. ISO 15504 (Spice): Sistema de calidad de productos software, combina
ideas de CMM e
ISO 9000.

Sus derivados:
ISO 15504-2, modelo de madurez
ISO 15504-3, requisitos para evaluacin de procesos
ISO 15504-6, competencia, formacin, etc.


Evaluacin del proceso de Ingeniera Mejora de proceso de ingeniera
Determinacin de capacidades (madurez)

da a: Adquiridores Suministradores Evaluadores

Permite la evaluacin de procesos software en organizaciones que realicen
alguna de las actividades del ciclo de vida del software:
Adquisicin Suministro Desarrollo Operacin Mantenimiento Evolucin Soporte

Qu ventajas aporta esta norma a las empresas de desarrollo y
mantenimiento software?

Pueden contar con una norma ISO, internacional y abierta.
Integracin ms fcil con otras normas ISO del sector TIC, como son: ISO
27000 de seguridad, ISO 20000 de servicios de IT e ISO 9000.
Evala por niveles de madurez, la evaluacin ms extendida entre los
modelos de mejora.
Normalmente, tiene un menor coste de certificacin que otros modelos
similares.
Existen certificaciones de prestigio, como por ejemplo la otorgada por AENOR.
Facilita auto evaluacin.
Toma en cuenta el contexto del proceso que se evala. Entregar una nota del
perfil del proceso
Se ocupa de qu tan adecuadas son las prcticas, en relacin al propsito del
proceso.
Es aplicable para todos los dominios y tamaos de organizaciones.



3. ISO 12207: Este estndar "establece un marco de referencia comn para
los procesos del ciclo de vida software, con una terminologa bien definida, que
puede ser referenciada por la industria del software
Tiene como objetivo principal proporcionar una estructura comn para que
compradores, proveedores, desarrolladores, personal de mantenimiento,
operadores, gestores y tcnicos involucrados en el desarrollo de software
usen un lenguaje comn. Contiene procesos, actividades y tareas para aplicar
durante la adquisicin de un sistema que contiene software, un producto
software puro o un servicio software, y durante el suministro, desarrollo,
operacin y mantenimiento de productos software.



4. ISO/IEC 17799 (denominada tambin como ISO 27002) es un estndar
para la seguridad de la informacin. Este estndar internacional de alto nivel
para la administracin de la seguridad de la informacin, fue publicado por la
ISO en diciembre de 2000 con el objeto de desarrollar un marco de seguridad
sobre el cual trabajen las organizaciones.

Se define como una gua en la implementacin del sistema de administracin
de la seguridad de la informacin, se orienta a preservar los siguientes
principios de la seguridad informtica:

Confidencialidad. Asegurar que nicamente personal autorizado tenga
acceso a la informacin.

Integridad. Garantizar que la informacin no ser alterada, eliminada o
destruida por entidades no autorizadas.

Disponibilidad. Asegurar que los usuarios autorizados tendrn acceso a la
informacin cuando la requieran.



TENDENCIAS DE LOS ESTNDARES Y DE LAS MEJORES PRCTICAS.



Es importante considerar la forma en que los estndares y las mejores
prcticas van evolucionando, adems de conocer qu tanto ha cambiado su
uso por parte de las organizaciones.

Se ha visto que existen procesos de evolucin como a continuacin se
menciona:

Evolucin en los estndares y marcos referenciales de la madurez de
procesos. Evolucin de estndares de administracin de proyectos y de
desarrollo de software comercial.
Evolucin de estndares de software militar.


Tendencias de los estndares y de las mejores prcticas.

Es importante considerar la forma en que los estndares y las mejores
prcticas van evolucionando, adems de conocer qu tanto ha cambiado su
uso por parte de las organizaciones.

Se ha visto que existen procesos de evolucin como a continuacin se
menciona:

Evolucin en los estndares y marcos referenciales de la madurez de
procesos.
Evolucin de estndares de administracin de proyectos y de desarrollo
de software comercial.
Evolucin de estndares de software militar.

De igual manera se han visto tendencias en el uso de estndares y mejores
prcticas en el sector gubernamental, los cules se dan en funcin de las
nuevas legislaciones, adems de los requerimientos de proyectos como los que
se gestaron durante la dcada pasada referentes a la conversin para el ao
2000.


Conclusin.

Las tendencias de estndares que van surgiendo, van paralelas con lo que ha
sucedido aceleradamente en el sector privado, esto es, dado que se han
gestado numerosos proyectos de sistemas de informacin que han fracasado,
y la dura realidad del incumplimiento de los mismos con las necesidades
propias de los clientes y del negocio en s, ha habido un incremento dramtico
en el nmero de organizaciones en el sector privado que estn persiguiendo
agresivamente el uso de estndares y mejores prcticas, como su estrategia
primordial de supervivencia