ISO + TICS

NORMAS RELACIONADAS CON TICS

BS2599 (1 y 2) ISO 27002 Gua de controles

Gestin de continuidad de negocio

IT Governance ISO 38500

ISO 27001 S.G. Seguridad de la Informacin

TICs

ISO 15504 SPiCE

ISO 20000-2 Gua de buenas prcticas ISO 20001-1 S.G. STI

ISO 19770 SAM

ISO 12207 Ciclo de vida de desarrollo de software

Hoja de Ruta en las TICs

Objetivo: Gobierno y Gestin de las TICs con estndares ISO.

SGCN UNE 71599-2

Sistema de Gestin Continuidad del Negocio.

Gobierno de TI ISO / IEC 38500

IT Governance

Desarrollo de Software

Procesos / Servicios

Nivel de Madurez. Ciclo de Vida de SW

SPICE ISO 15504

Modelo de Evaluacin, Mejora y Madurez de Software
ISO 12207 Ciclo de Vida de Desarrollo de Software

SGAS - SAM ISO 19770-1

Sistema de Gestin Activos Software

SGSTI ISO 20000-1

Sistema de Gestin Servicios TI
ISO 20000-2 Gua de Buenas Prcticas

SGSI ISO 27001

Sistema de Gestin Seguridad de la Informacin
ISO 27002
Gua de Controles

Definiciones
Gobierno Corporativo de TI (corporate governance of IT) Sistema Mediante el cual se dirige y controla el uso actual y futuro de las tecnologas de la informacin

Gestin (Management) Sistema de controles y procesos requeridos para lograr objetivos estratgicos.

Interesado (stakeholder) Individuo, grupo u organizacin que puede afectar, ser afectado o percibir que va a ser afectado por una decisin o una actividad

Uso de TI (use of IT) Planificacin, diseo, desarrollo, despliegue, operacin, gestin y aplicacin de TI para cumplir las necesidades del negocio

Conducta humana (human behavior)

La comprensin de las interacciones entre personas.

Modelo de Gobierno Corporativo de TI ISO 38500 La direccin ha de gobernar las TI mediante 3 tareas principales:
Evaluar Dirigir

Monitorizar

Principio 1:Responsabilidad Principio 2: Estrategia Principio 3: Adquisicin Principio 4: Rendimiento Principio 5: Conformidad

Principio 6: Factor Humano

ISO 15504

Software Process Improvement Capability Determination Determinacin de la Capacidad de Mejora del Proceso de Software

SPICE

Caractersticas
Establece un Marco Proporciona requisitos Proporciona Guas Consta de 10 Partes Comprende: Evaluacin, Mejora y determinacin Evaluacin de procesos de ciclo de vida del SW (parte 5) Evaluacin de Procesos de Ciclo de vida des Sistema (parte 6) Evaluacin de Procesos para los servicios TIC (Parte 8)

Dimensiones Proceso Capacidad

Proceso
Procesos primarios Procesos de cliente Procesos de proveedor Ingenieria Procesos de operacin Procesos de soporte Soporte Procesos de Organizacin Procesos de Gestion Procesos de RH Procesos de Infraestructura Procesos de Mejora de Procesos

Capacidad
Nivel 0: Incompleto Nivel 1: Realizado Nivel 2: Gestionado Nivel 3: Establecido Nivel 4: Predecible Nivel 5: En optimizacin

ISO/IEC 12207
E S TA B L E C E UN PROCESO DE CICLO DE VIDA PA R A EL SOFTWARE QUE INCLUYE PROCESOS Y ACTIVIDADES QUE SE APLICAN DESDE LA DEFINICIN DE REQUISITOS, PA S A N D O P O R L A A D Q U I S I C I N Y CONFIGURACIN DE LOS S E R V I C I O S D E L S I S T E M A , H A S TA LA FINALIZACIN DE SU USO.
Estructura La estructura del estndar ha sido concebida de manera que pueda ser adaptada a las necesidades de cualquiera que lo use

PROCESOS LOS PROCESOS SE CLASIFICAN EN TRES TIPOS

Procesos principales. Adquisicin. Suministro. Desarrollo. Procesos de soporte. Operacin. Documentacin Gestin de la Mantenimiento configuracin. Aseguramiento de calidad. Verificacin Validacin. Revisin conjunta. Auditora. Resolucin de problemas

Procesos de la organizacin. Gestin. Infraestructura. Mejora. Recursos Humanos.

ISO 19770 Esta norma consta de dos partes. La primera explica los procesos de Gestin de Activos de Software y la segunda, la metodologa y procedimiento de identificacin de productos, orientada a facilitar la labor de inventario

Aplicacin de la norma ISO 19970 se pueden aplicar a prcticamente cualquier aspecto del entorno de IT en una organizacin, pero sobre todo a aquellos que tienen que ver con la gestin de licencias de software e inventario de activos

REAS DE DESARROLLO DE LA NORMA ISO/IEC 19770

1. Gestin organizativa 2. Procesos que definen la Gestin de Activos de Software 3. Interfaces de Gestin de Activos de Software con otros procesos de la gestin del ciclo de vida de los activos de software.

Gestin organizativa a) Los procesos de gobierno corporativo b) Asignacin de roles y responsabilidades

c) Polticas, procesos y procedimientos

d) Competencias

ISO/IEC 20000
est basada y reemplaza a la BS 15000, la norma reconocida internacionalmente como una British Standard (BS), y que est disponible en dos partes: una especificacin auditable y un cdigo de buenas prcticas

APLICACIN
La ISO/IEC 20000 es aplicable a cualquier organizacin, pequea o grande, en cualquier sector o parte del mundo donde confan en los servicios de TI

Rasgos y beneficios La ISO/IEC 20000 est dividida en las siguientes secciones que definen los requisitos que debe cumplir una organizacin, la cual proporciona servicios a sus clientes con un nivel aceptable de calidad:

ISO/IEC 17799
TECNOLOGA DE LA INFORMACIN TCNICAS DE SEGURIDAD SISTEMAS DE GESTIN DE SEGURIDAD DE LA INFORMACIN REQUERIMIENTOS

CERTIFICACIN ISO/IEC 17799

La norma ISO/IEC 17799 es una gua de buenas prcticas y no especifica los requisitos necesarios que puedan permitir el establecimiento de un sistema de certificacin adecuado. Es consistente con las mejores practicas descritas en la ISO/IEC 27001 ISO/IEC 17799 es no certificable

ISO/IEC 27001:2005 (E)

TECNOLOGA DE LA INFORMACIN TCNICAS DE SEGURIDAD SISTEMAS DE GESTIN DE SEGURIDAD DE LA INFORMACIN REQUERIMIENTOS

QUE ES LA ISO/IEC 27001

El estndar para la seguridad de la informacin Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestin de la Seguridad de la Informacin (SGSI) . Tiene su origen en la norma BS 7799-2:2002, desarrollada por la entidad de normalizacin britnica, la British Standards Institution (BSI).

ISO/IEC 27001
Preparado para proporcionar un modelo para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un Sistema de Gestin de Seguridad de la Informacin (SGSI) Este estndar (ISO/IEC 27001) puede ser utilizado por entidades internas y externas para evaluar la conformidad. El SGSI est diseado para asegurar la seleccin adecuada y proporcionar controles de seguridad que protejan los activos de informacin y den confianza a las partes interesadas.

Ciclo Deming- (PDCA- Plan, Do, Check, Act)

Partes Interesadas Partes Interesadas

Plan
Establecer SGSI

Hacer
Requerimient os y Expectativas De la Seguridad De Informacin Implementar y Operar el SGSI

Actuar
Mantener y Mejorar SGSI Seguridad de informacin manejada.

Chequear
Monitorear y Revisar SGSI

BENEFICIOS
Garanta independiente de los controles internos y cumple los requisitos de gestin corporativa comercial Respeto a leyes y normativas que sean de aplicacin

Ventaja competitiva
Identificacin de riesgos Compromiso con la organizacin y seguridad

IMPLANTACIN ISO/IEC 27001:2005

La implantacin del proyecto Dura entre 6 a 12 meses dependiendo de la madurez y alcance del SGSI El equipo de proyecto de implantacin debe estar formado por representantes de todas las reas de la organizacin que se vean afectadas por el SGSI, liderado por la direccin y asesorado por consultores externos especializados en seguridad informtica generalmente Ingenieros o Ingenieros Tcnicos en Informtica, derecho de las nuevas tecnologas, proteccin de datos y sistemas de gestin de seguridad de la informacin

CERTIFICACIN
La certificacin de un SGSI es un proceso mediante el cual una entidad de certificacin externa, independiente y acreditada audita el sistema, determinando su conformidad con ISO/IEC 27001, su grado de implantacin real y su eficacia y, en caso positivo, emite el correspondiente certificado.

SERIE 27000
ISO 27000: Contiene la descripcin general y vocabulario a ser empleado en toda la serie 27000. UNE-ISO/IEC 27001:2007 : Es la norma principal de requisitos de un Sistema de Gestin de Seguridad de la Informacin. ISO 27002: Gua de buenas prcticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la informacin. ISO 27003: Contendr una gua de implementacin de SGSI e informacin acerca del uso del modelo PDCA y de los requisitos de sus diferentes fases.

SERIE 27000
ISO 27004: Especifica las mtricas y las tcnicas de medida aplicables para determinar la eficiencia y eficacia de la implantacin de un SGSI y de los controles relacionados. ISO 27005: Consiste en una gua para la gestin del riesgo de la seguridad de la informacin y sirve, por tanto, de apoyo a la ISO 27001 y a la implantacin de un SGSI. ISO 27006: Especifica los requisitos para acreditacin de entidades de auditora y certificacin de sistemas de gestin de seguridad de la informacin.

BS 25999
GESTIN DE LA CONTINUIDAD DEL NEGOCIO, ENFOCADO A LA DISPONIBILIDAD DE LA INFORMACIN

BS 25999
Norma certificable en Gestin o Plan de la Continuidad del Negocio, Enfocado a la disponibilidad de la informacin. Tcnicas de minimizacin de riesgo

Consiste en una serie de recomendaciones o buenas practicas para facilitar la recuperacin de los recursos que permiten el funcionamiento normal de un negocio en caso de desastre.

HISTORIA BS 25999
Estndar Britnico, Enfoque en Business Continuity Management BCM(Plan de continuidad del Negocio). Desarrolladla por un grupo de expertos de relevancia mundial en diferentes sectores de la industria y de la administracin.

SERIE BS 25999
Existen Dos publicaciones BS 25999-1:2006 Parte 1: Documento Orientativo que proporciona las recomendaciones y practicas para BCM

BS 25999-2:2007- Parte2: Requisitos para un sistema de Gestin de la continuidad (BCM). Es la parte certificable a travs de una etapa de implementacin, de auditoria y posterior certificacin.

IMPLEMENTACIN BS25999
Evaluacin e Identificacin de riesgos Anlisis de impacto en el negocio Desarrollo de planes para la continuidad del negocio

Implementacin de los planes para la continuidad del negocio

Comunicacin y formacin de plan de continuidad del negocio Mantenimiento y pruebas peridicas del plan de continuidad del negocio.