Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
INVESTIGACION DE OPERACIONES I
Trabajo de Investigación
Año 2018
Índice
RESUMEN........................................................................................................................................ 1
INTRODUCCIÓN ............................................................................................................................ 2
JUSTIFICACIÓN ............................................................................................................................. 3
PLANTEAMIENTO Y FORMULACIÓN DEL PROBLEMA ........................................................ 3
OBJETIVOS ..................................................................................................................................... 4
MARCO TEÓRICO .......................................................................................................................... 4
HIPÓTESIS ....................................................................................................................................... 5
¿QUÉ ES ISO? .................................................................................................................................. 6
¿DESDE CUÁNDO EXISTEN LAS NORMAS ISO? ..................................................................... 6
PAÍSES MIEMBROS DE LA ISO ................................................................................................... 6
¿CÓMO SE FINANCIA LA ORGANIZACIÓN ISO? .................................................................... 7
NORMAS ISO Y SUS DIFERENTES TIPOS ................................................................................. 7
LOS ESTANDARES DE CALIDAD ISO ESTANDAR ISO 9000- SOFTWARE ........................... 7
ISO 9001 ....................................................................................................................................... 7
FACTORES DE CALIDAD ISO 9126 ............................................................................................. 8
ISO 14598 – EVALUACIÓN DE PRODUCTOS DE SOFTWARE .............................................. 10
ISO/IEC 15504 SPICE .................................................................................................................... 12
¿EN QUÉ CONSISTE LA NORMA ISO/IEC 15504 SPICE? .................................................... 12
¿POR QUÉ ES IMPORTANTE LA NORMA ISO/IEC 15504? ................................................. 13
ESTRUCTURA DE LA NORMA ISO 15504 ............................................................................ 13
ISO 20000 CALIDAD DE LOS SERVICIOS TI ........................................................................... 14
SERVICIOS TI ........................................................................................................................... 15
SERVICIOS RENTABLES ........................................................................................................ 15
COMO FUNCIONA ISO/IEC 20000.......................................................................................... 15
ISO 22301 CONTINUIDAD DEL NEGOCIO ............................................................................... 17
ISO/IEC 25000 ................................................................................................................................ 18
ISO 27001 GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ....................................... 19
ELEMENTOS O FASES PARA LA IMPLEMENTACIÓN DE UN SGSI ................................ 20
IMPLANTANDO LA NORMA ISO 27001 ............................................................................... 20
BENEFICIOS DE LA NORMA ISO 27001................................................................................ 22
¿QUÉ ENTENDEMOS POR INFORMACIÓN EN ISO 27001? ............................................... 23
CONCLUSIÓN ............................................................................................................................... 24
BIBLIOGRAFÍA............................................................................................................................. 25
ANEXO ........................................................................................................................................... 26
GLOSARIO .................................................................................................................................... 27
Resumen
ISO (Organización Internacional de Normalización) Es una organización no
gubernamental establecida en 1947 integrada por cuerpos de estandarización
nacionales de 157 países que produce normas internacionales, industriales y
comerciales con el propósito de facilitar el comercio, el intercambio de información
y contribuir con unos estándares para el desarrollo y transferencia de tecnologías.
El principal cometido de esta organización es desarrollar normativas
internacionales que favorezcan el comercio internacional. Estas normas,
promueven la evaluación objetiva de la calidad, como forma efectiva de evaluar los
procesos de un proveedor, reduciendo los riesgos basándose en el establecimiento
de criterios comunes para todo el mundo.
Los estándares internacionales hacen que las cosas funcionen. Proporcionan
especificaciones de clase mundial para productos, servicios y sistemas, para
garantizar la calidad, la seguridad y la eficiencia. Son instrumentales para facilitar
el comercio internacional.
Los estándares de calidad de software hacen parte de la ingeniería de software,
utilización de estándares y metodologías para el diseño, programación, prueba y
análisis del software desarrollado, con el objetivo de ofrecer una mayor
confiabilidad, mantenibilidad en concordancia con los requisitos exigidos, con esto
se eleva la productividad y el control en la calidad de software, parte de la gestión
de la calidad se establecen a mejorar su eficacia y eficiencia.
El Estándar de Calidad ISO 9001
El estándar, que ha sido adoptado por más de 130 países para su uso, se está
convirtiendo en el medio principal con el que los clientes pueden juzgar la
competencia de un desarrollador de software. Uno de los problemas con el estándar
ISO 9001 está en que no es específico de la industria: está expresado en términos
generales, y puede ser interpretado por los desarrolladores de diversos productos
como cojinetes de bolas, secadores de pelo, automóviles, equipamiento deportivo,
televisores, así como por los desarrolladores de software. Se han realzado muchos
documentos que relacionan el estándar con la industria del software, pero no entran
en una gran cantidad de detalles.
ISO 20000 GESTIONANDO LA CALIDAD DE SUS SERVICIOS TI
Los sistemas de tecnología de la información desempeñan un papel crítico en la
práctica totalidad de las empresas. Estos sistemas necesitan una supervisión
constante por parte de profesionales para mantenerlos actualizados y en condiciones
de funcionamiento. No obstante, imagine las consecuencias si su departamento de
tecnología de la información fuese incapaz de proporcionar los servicios que
necesita.
1
ESTANDAR 17799-Redes Es una norma internacional que ofrece recomendación
para la gestión de la seguridad de la información enfocada en el inicio, implantación
o mantenimiento de la seguridad en una organización. El objetivo de la norma es
proporcionar una base para desarrollar normas de seguridad dentro de las
organizaciones y ser una práctica eficaz de la gestión de la seguridad.
El Estándar internacional ISO/IEC 15504 denominado como Software Process
Improvement Capability Determination cuya traducción al español es
“Determinación de la Capacidad de Mejora del Proceso de Software”, también
conocido por su abreviatura SPICE nos propone un modelo para la evaluación de
la capacidad en los procesos de desarrollo de productos Software.
ISO/IEC 25000, conocida como SQuaRE (System and Software Quality
Requirements and Evaluation), es una familia de normas que tiene por objetivo la
creación de un marco de trabajo común para evaluar la calidad del producto
software.
ISO 27001 Es la norma principal de la serie y contiene los requisitos del sistema de
gestión de seguridad de la información. Este estándar internacional ha sido
preparado para proporcionar un modelo para establecer, implementar, operar,
monitorear, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la
Información (SGSI).
Introducción
Las Normas ISO tienen su origen en la Organización Internacional para la
Estandarización, ISO (International Organization for Standardization). ISO es una
organización no gubernamental, en la que se integran los organismos de
normalización de 157 países, y cuya Sede Central se sitúa en Ginebra, Suiza.
A través de sus miembros, reúne a expertos para compartir conocimientos y
desarrollar estándares internacionales voluntarios, basados en el consenso y
relevantes para el mercado, que apoyan la innovación y brindan soluciones a los
desafíos globales.
Las normas ISO se constituyen en una serie de Estándares que podemos agrupar
por familias, según los distintos aspectos relacionados con la calidad. Aunque
existen más de 18000 normas publicadas por ISO vamos a resaltar las más
importantes en cuanto a su aplicación y relevancia de los sectores para sistemas
informáticos.
Así podemos clasificar las normas según el siguiente criterio:
-Normas relacionadas directamente con la calidad.
-Normas relacionadas con la Gestión de la Seguridad.
-Normas relacionadas con la Calidad en la Investigación y Desarrollo.
2
Justificación
La importancia del conocimiento de las normas ISO radica en dar una garantía ya
que estos estándares definen un conjunto de criterios que guían la forma en que se
aplican procedimientos y metodologías al software desarrollado, la certificación de
calidad permite una valoración independiente de la organización, donde se
demuestra la capacidad de desarrollar productos y servicios de calidad.
3
Objetivos
Marco Teórico
Las Normas ISO tienen su origen en la Organización Internacional para la
Estandarización, ISO (International Organization for Standardization). ISO es una
organización no gubernamental, en la que se integran los organismos de
normalización de 157 países, y cuya Sede Central se sitúa en Ginebra, Suiza.
ISO crea documentos que proporcionan requisitos, especificaciones, pautas o
características que se pueden usar de manera consistente para garantizar que los
materiales, productos, procesos y servicios sean adecuados para su propósito.
Las primeras normativas publicadas por este organismo fueron los estándares de la
Gestión de la Calidad, en su primera edición en 1987. Nos referimos naturalmente
a la serie ISO 9000, actualmente un referente de la calidad a nivel mundial,
beneficiando tanto a los productores como a los compradores de bienes y servicios
con más de un millón de empresas certificadas en todos los continentes, liderados
por Europa con más de 500.000 empresas.
Al brindar beneficios reales y medibles a casi todos los sectores imaginables, los
estándares respaldan la tecnología en la que confiamos y garantizan la calidad que
se espera.
Al abordar todo esto y más, los estándares internacionales significan que los
consumidores pueden confiar en que sus productos son seguros, confiables y de
buena calidad. Las normas de ISO sobre seguridad vial, seguridad de juguetes y
embalaje médico seguro son solo algunas de las que ayudan a hacer del mundo un
lugar más seguro.
Los reguladores y los gobiernos cuentan con las normas ISO para ayudar a
desarrollar una mejor regulación, sabiendo que tienen una base sólida gracias a la
participación de expertos establecidos a nivel mundial.
Hay que constatar el éxito de la normalización a nivel mundial, con una tasa de
crecimiento anual en el peor de los casos de un 6%, duplicando cuanto menos el
ritmo de crecimiento de la economía mundial.
4
Hipótesis
5
¿Qué es ISO?
ISO son las siglas en inglés International Organization for Standardization. Se trata
de la Organización Internacional de Normalización, y se dedica a la creación de
estándares para asegurar la calidad, seguridad y eficiencia de productos y servicios.
Son las llamadas Normas ISO.
La Organización Internacional de Estandarización actualmente está presente en 162
países y es una organización no gubernamental e independiente. Actualmente hay
redactados más de 20.000 estándares que abarcan todas las industrias, desde
tecnología y seguridad alimentaria, hasta agricultura y salud.
6
¿Cómo se financia la organización ISO?
La ISO se financia a través de otras organizaciones que presentan expertos para que
aporten el trabajo técnico, por las suscripciones de los cuerpos miembros y por la
venta de estándares.
En la actualidad, existen más de 21.000 normas ISO diferentes. Cada una de ellas
está centrada en la estandarización o regulación de un elemento de los servicios y/o
productos. A continuación, te detallamos algunas de las normas ISO más habituales.
ISO 9001
La norma ISO 9001, perteneciente a la familia a de normas ISO 9000, redacta los
estándares de un Sistema de Gestión de Calidad. Lo hace mediante guías y
herramientas que aseguran la calidad de los productos y servicios de las empresas.
Todo tipo de empresas, desde pymes hasta grandes empresas, se pueden certificar
con la norma ISO 9001, independientemente de su actividad económica.
El certificado de calidad ISO 9001 está enfocado al cliente. También motiva a todos
los trabajadores de la empresa certificada e impacta sobre la dirección,
consiguiendo un aprendizaje y mejora continuos.
El estándar, que ha sido adoptado por más de 130 países para su uso, se está
convirtiendo en el medio principal con el que los clientes pueden juzgar la
competencia de un desarrollador de software. Uno de los problemas con el estándar
ISO 9001 está en que no es específico de la industria: está expresado en términos
generales, y puede ser interpretado por los desarrolladores de diversos productos
como cojinetes de bolas, secadores de pelo, automóviles, equipamiento deportivo,
televisores, así como por los desarrolladores de software. Se han realzado muchos
documentos que relacionan el estándar con la industria del software, pero no entran
en una gran cantidad de detalles.
Para la industria del software los estándares relevantes son:
7
• ISO 9001: este es un estándar que describe el sistema de calidad utilizado para
mantener el desarrollo de un producto que implique diseño.
• ISO 9000-3: este es un documento específico que interpreta el ISO 9001 para el
desarrollador de software.
• ISO 9004-2: este documento proporciona las directrices para el servicio de
facilidades del software como soporte de usuarios.
Los requisitos se agrupan bajo 20 títulos:
• Responsabilidad de la gestión
• Inspección, medición y equipo de pruebas
• Sistema de calidad
• Inspección y estado de pruebas
• Revisión de contrato
• Acción correctiva
• Control de diseño
• Control de producto no aceptado
• Control de documento
• Tratamiento, almacenamiento, empaquetamiento y entrega
• Compras
• Producto proporcionado al comprador
• Registros de calidad
• Identificación y posibilidad de seguimiento del producto
• Auditorías internas de calidad
• Formación
• Control del proceso
• Servicios
• Inspección y estado de pruebas
• Técnicas estadísticas.
8
• Funcionalidad: el grado en que el software satisface las necesidades indicadas por
los siguientes subatributos: idoneidad, corrección, interoperabilidad, conformidad
y seguridad.
• Usabilidad: grado en que el software es fácil de usar. Viene reflejado por los
siguientes subatributos: facilidad de comprensión, facilidad de aprendizaje y
operatividad.
• Eficiencia: grado en que el software hace óptimo el uso de los recursos del sistema.
Está indicado por los siguientes subatributos: tiempo de uso y recursos utilizados.
9
Este estándar agrupa las actividades que se pueden llevar a cabo durante el ciclo de
vida del software en cinco procesos principales, ocho procesos de apoyo y cuatro
procesos organizativos.
10
ISO/IEC 14598-1 Visión General: establece un resumen de las otras cinco
etapas, explica la relación entre la evaluación del producto software y el
modelo de calidad.
Actividades: (Establecer los requerimientos de evaluación, Especificar la
evaluación, Planear la evaluación, Ejecutar la evaluación).
ISO/IEC 14598-2 Planificación y Gestión: contiene requisitos y guías para
las funciones de soporte tales como la planificación y gestión de la
evaluación del producto del software.
Actividades: (Preparación de políticas, definición de objetivos,
Identificación de la tecnología, Asignación de responsabilidades,
Evaluación de software desarrollado y adquirido).
ISO/IEC 14598-3 Proceso de desarrolladores: Lo utiliza las organizaciones
que planean desarrollar un producto o mejorar uno existente, realiza
evaluaciones de producto utilizando indicadores que puede predecir la
calidad de los productos finales.
Actividades: (Organización, Planeamiento, Especificaciones, Diseño,
Montaje)
ISO/IEC 14598-4 Proceso de comparadores: Lo utilizan las organizaciones
que pretenden comparar o rehusar un producto de software existente, se
aplica con el propósito de aceptación de un producto.
Actividades: (Requerimientos, Especificación evaluación, Diseño
evaluación, Ejecución evaluación).
ISO/IEC 14598-5 Proceso evaluadores: este proceso es utilizado por
organizaciones encargadas de evaluar, provee los requisitos y guías para la
evaluación del producto software. Promueve las siguientes características
de proceso (repetible, Reproducible; Imparcial, Objetivo)
Actividades: (Trazabilidad, Resultados, Problemas, Mejoras,
Conclusiones).
ISO/IEC 14598-6 Modulo evaluación: Especifica las mediciones que van a
ser tomadas sobre los atributos de calidad que se definieron en la etapa
anterior, provee las guías para la documentación de la evaluación.
Actividades: (Introducción, Alcance, Entradas, Resultados)
11
La Norma ISO-14598 proporciona un marco de trabajo para evaluar la calidad de
todos los tipos de software, indicando los requisitos que serán medidos, y
analizados en este proceso. Implementar estándares que garanticen una correcta
evaluación al software y mitigar los errores que pueda presentar cundo se esté
ejecutando.
12
para la evaluación de procesos las fases del ciclo de vida del sistema definidos en
el estándar ISO/IEC 15288.
En la norma SPICE también encontramos requisitos que puede ser utilizada para la
evaluación de procesos relacionados con el desarrollo de servicios TIC los cuales
son definidos en la norma ISO/IEC 20000
13
ISO 15504. Parte 6. Un ejemplo de modelo de evaluación del ciclo de vida del
sistema (Según ISO/IEC 15288)
ISO 15504. Parte 7. Evaluación de madurez organizacional
ISO 15504. Parte 8. Un modelo ejemplar de evaluación de procesos para la gestión
de servicios de TI (Según ISO/IEC 20000)
ISO 15504. Parte 9. Perfiles de proceso objetivo
ISO 15504. Parte 10.Extensión de seguridad.
14
SERVICIOS TI
Cuando nos referimos a servicios TI nos estamos refiriendo a servicios cuya
provisión depende de las tecnologías de la información y que pueden ser tanto
Servicios a Clientes externos o servicios brindados a partes internas de la
organización y necesarios para el desarrollo de la actividad de su negocio
En el objetivo de mejorar la gestión de servicios TI ISO 20000 nos proporciona
o Un conjunto de procesos de administración de servicios TI
o Un conjunto de buenas prácticas internacionales
SERVICIOS RENTABLES
Las inversiones en Tecnologías de la información para la provisión de servicios
tanto internos como a clientes son de vital importancia en las organizaciones
afectando tanto a sus operaciones como a sus formas de comunicación, marketing
etc.
Es por ello que la gestión de los servicios TI supone para muchas organizaciones
un elemento fundamental de cómo hacer negocios
En este escenario, cualquier organización basada en servicios TI para alcanzar
objetivos tales como, adelantar a sus competidores, conseguir mayor cuota de
mercado o conseguir mayor rentabilidad y eficiencia, debe plantearse una
metodología probada para conseguir estas mejoras. Este es el campo de aplicación
de la norma ISO 20000, que en definitiva no persigue otro objetivo que conseguir
mejorar los ingresos, la reputación organizacional y reducir costos de operación
para ser más competitivos.
15
20000-2: GUÍA PARA A APLICACIÓN DE SISTEMAS DE GESTIÓN DE
SERVICIOS
Guía aplicación de sistemas de gestión de servicios según los requisitos de ISO /
IEC 20000-1.
20000-3: PROVEEDORES DE SERVICIO
Se trata de una guía para ayudar a las empresas a definir el alcance de la
aplicación de la norma ISO/IEC 20000-1 así como para la definición de la
conformidad con sus requisitos.
20000-4: MODELO DE EVALUACIÓN DE PROCESOS.
Describe el modelo para realizar una evaluación de procesos de provisión de
servicios TI según los requisitos de la norma ISO 15504. Contiene tanto los
requisitos para realizar la evaluación y una escala de medición para evaluar la
capacidad del proceso.
20000-5: UN EJEMPLO DE PLAN DE IMPLEMENTACIÓN PARA ISO / IEC
20000-1
Contiene recomendaciones para proveedores de servicios sobre la mejor manera
de cumplir con los requisitos de ISO / IEC 20000-1 estableciendo un plan de
implementación gradual de la norma en tres fases.
El modelo de implementación propuesto también contiene ejemplos de políticas
sobre provisión de servicios TI que cada proveedor puede adaptar para satisfacer
los requisitos de la norma y los propios de cada organización
Esta guía además provee una orientación sobre la gestión de la documentación,
incluyendo plantillas para algunos de los documentos especificados en ISO / IEC
20000-1: 2011 que pueden modificarse para adaptarse a las circunstancias
individuales.
20000-9: GUÍA PARA LA APLICACIÓN DE ISO / IEC 20000-1 A SERVICIOS
EN LA NUBE
Se trata de una guía para implementar ISO / IEC 20000-1: 2011 en proveedores de
servicios que ofrecen servicios en la nube (Cloud Services). Es aplicable a
diferentes categorías de servicios en la nube, como las definidas en ISO / IEC
17788 / ITU-T Y.3500 e ISO / IEC 17789 / ITU-T Y.3502. Cubre todo tipo de
servicios en la nube tales como
a) Servicio (IaaS) – Infraestructuras
b) Servicios (PaaS) – Plataformas
c) Servicio (SaaS) – Software
La aplicabilidad de ISO / IEC 20000-1 es independiente del tipo de tecnología o
modelo de servicio utilizado para prestar los servicios. Todos los requisitos en
16
ISO / IEC 20000-1 pueden ser aplicables a los proveedores de servicios en la
nube.
La guía se presenta como un conjunto de escenarios que pueden abordar muchas
de las actividades típicas de un proveedor de servicios en la nube.
20000-10: CONCEPTOS Y TERMINOLOGÍA
Contiene conceptos básicos de ISO / IEC 20000 y lo que es más interesante, cómo
son las relaciones entre ISO / IEC 20000 y otras normas internacionales e
informes técnicos con una explicación de la terminología utilizada en ISO / IEC
20000, para poder interpretar los conceptos correctamente.
20000-11: GUÍA SOBRE LA RELACIÓN ENTRE ISO 20000-1:2011 Y
MODELOS DE GESTIÓN DE SERVICIOS: ITIL
Se trata de un informe técnico sobre la relación entre ISO / IEC 20000-1 y un
marco de gestión de servicios de uso común, ITIL.
Puede ser utilizado por cualquier organización o persona que desee comprender
cómo se puede usar ITIL con ISO / IEC 20000? 1: 2011, incluye recomendaciones
para integrar ITIL con ISO 20000 así como una relación de causas, procesos y
términos incluidos en ambas normas
20000-12: GUIA SOBRE LA INTEGRACION ENTRE ISO/IEC 20000-1:2011 Y
MODELOS DE GESTIÓN DE SERVICIOS: CMMI-SVC
Se trata de una guía sobre la relación entre ISO / IEC 20000-1: 2011 y CMMI-
SVC V1.3 (hasta el nivel de madurez 3).
Contiene recomendaciones para integrar CMMI-SVC con los requisitos de la
norma ISO 20000-1 relacionando las áreas de proceso en CMMU con las
cláusulas de la norma ISO 20000.
17
Acreditar la conformidad y compromiso de una organización con las
mejores prácticas internacionales en Continuidad del Negocio.
EL principal objetivo de esta norma es mantener la continuidad de las actividades
de una organización, proteger sus intereses defendiendo los intereses de sus
empleados y partes interesadas, mantener la reputación su reputación ante
cualquier amenaza o circunstancia adversa.
ISO/IEC 25000
Esta proporciona una guía para el uso de las nuevas series de estándares
internacionales, llamados Requisitos y Evaluación de Calidad de Productos de
Software (SQuaRE). Es una norma que se basa en la ISO 9126 y 14598 y su
principal objetivo es determinar una guía para el desarrollo de los productos de
software con la especificación y evaluación de requisitos de calidad. Establece
criterios para la especificación de requisitos de calidad de productos software, sus
métricas y su evaluación. El producto de software debe incorporar unas
características, de tal manera que se garantice su eficiencia de uso a los
requerimientos de los clientes. Se recomienda que los requisitos de calidad deban
ser proporcionales a las necesidades de la aplicación y lo crítico que sea el correcto
funcionamiento del sistema implementado.
La norma se compone por las siguientes divisiones:
ISO/IEC 2500n. División de gestión de calidad. esta división define todos
los modelos comunes, términos y referencias a los que se alude en las demás
divisiones de SQuaRE.
ISO/IEC 2501n. División del modelo de calidad. presenta un modelo de
calidad detallado, incluyendo características para la calidad interna, externa
y en uso.
ISO/IEC 2502n. División de mediciones de calidad. Presenta un modelo de
referencia de calidad del producto software, definiciones matemáticas de las
métricas de calidad y una guía práctica para su aplicación. Presenta
aplicaciones de métricas para la calidad de software interna, externa y en
uso.
ISO/IEC 2503n. División de requisitos de calidad. ayuda a especificar los
requisitos de calidad. Estos requisitos pueden ser usados en el proceso de
especificación de requisitos de calidad para un producto software que va a
ser desarrollado o como entrada para un proceso de evaluación. El proceso
de definición de requisitos se guía por el establecido en la norma ISO/IEC
15288 (ISO, 2003).
ISO/IEC 2504n. División de evaluación de la calidad. proporciona
requisitos, recomendaciones y guías para la evaluación de un producto
software, tanto si la llevan a cabo evaluadores, como clientes o
desarrolladores.
18
ISO/IEC 25050–25099. Estándares de extensión SQuaRE. Incluyen
requisitos para la calidad de productos de software “Off-The-Self” y para el
formato común de la industria (CIF) para informes de usabilidad.
Esta norma define tres vistas diferentes respecto al estudio de la calidad de un
producto software:
Vista interna: se ocupa de las propiedades del software como: el tamaño, la
complejidad o la conformidad con las normas de orientación a objetos. Esta
vista puede utilizarse desde las primeras fases del desarrollo para detectar
deficiencia del software.
Vista externa: analiza el comportamiento del software en producción y
estudia sus atributos, por ejemplo: el rendimiento de un software en una
máquina determinada, el uso de memoria de un programa o el tiempo de
funcionamiento entre fallos. Esta vista se utiliza una vez el software este
completo y listo para producción.
Vista en uso: mide la productividad y efectividad del usuario final al utilizar
el software. Esta vista se utiliza una vez el software esté listo y será evaluado
por el cliente y dependerá de los factores determinantes del mismo.
19
ELEMENTOS O FASES PARA LA IMPLEMENTACIÓN DE UN
SGSI
El Sistema de Gestión de La Seguridad de la Información que propone la Norma
ISO 27001 se puede resumir en las siguientes fases que se detallan en la figura:
20
Lo primero, es elegir una metodología de evaluación del riesgo apropiada para los
requerimientos del negocio. Existen numerosas metodologías estandarizadas de
evaluación de riesgos. Aquí explicaremos la metodología sugerida en la Norma.
21
4.- Identificar los requisitos legales y contractuales que la organización está
obligada a cumplir con sus clientes, socios o proveedores.
5.- Identificar los riesgos: Definir para cada activo, la probabilidad de que las
amenazas o las vulnerabilidades propias del activo puedan causar un daño total o
parcial al activo de la información, en relación a su disponibilidad, confidencialidad
e integridad del mismo.
6.- Cálculo del riesgo: Este se realiza a partir de la probabilidad de ocurrencia del
riesgo y el impacto que este tiene sobre la organización (Riesgo = impacto x
probabilidad de la amenaza). Con este procedimiento determinamos los riesgos que
deben ser controlados con prioridad.
7.- Plan de tratamiento del riesgo: En este punto estamos preparados para definir la
política de tratamiento de los riesgos en función de los puntos anteriores y de la
política definida por la dirección. En este punto, es donde seleccionaremos los
controles adecuados para cada riesgo, los cuales irán orientados a:
Asumir el riesgo
Reducir el riesgo
Eliminar el riesgo
Transferir el riesgo
22
El diseño y la implementación de un SGSI (ISO / IEC 27001:2005) dará confianza
a clientes y proveedores que la seguridad de la información se toma en serio dentro
de la organización, estando a la vanguardia en la aplicación de la técnica de
procesos para hacer frente a las amenazas de la información y a y los problemas de
la seguridad.
La información es un activo que, como otros activos importantes del negocio, tiene
valor para la organización y requiere en consecuencia una protección adecuada a
información adopta diversas formas. Puede estar impresa o escrita en papel,
almacenada electrónicamente, transmitida por correo o por medios electrónicos,
mostrada en video o hablada en conversación. Debería protegerse adecuadamente
cualquiera que sea la forma que tome o los medios por los que se comparta o
almacene.
Atendiendo a este concepto, ISO 27001 propone un marco de gestión de la
seguridad de toda la información de la empresa, incluso si es información
perteneciente al propio conocimiento y experiencia de las personas o sea tratada en
reuniones etc. En este sentido las propias personas pueden ser tratadas en el SGSI
como activos de información si así se cree conveniente.
Por tanto, no debemos centrar la atención solamente en los sistemas informáticos
por mucho que tengan hoy en día una importancia más que relevante en el
tratamiento de la información ya que de otra forma, podríamos dejar sin proteger
información que puede ser esencial para la actividad de la empresa.
23
Conclusión
Las Normas Internacionales ISO tocan a todos. Desde permitirle usar su tarjeta
bancaria en el extranjero hasta asegurarse de que los juguetes de su hijo no tengan
bordes afilados, se usan en todas partes. Las normas ISO, seguidas por empresas de
todo el mundo, proporcionan especificaciones para garantizar que los productos y
servicios funcionen de la manera en la que se espera. Además, ayudan a mejorar la
satisfacción del cliente. En un mundo donde la voz del cliente es cada vez más
prominente, este es un requisito comercial esencial. Es por eso que los
representantes de los consumidores desempeñan un papel integral en el desarrollo
de estándares.
24
Bibliografía
25
Anexo
26
Glosario
27