ITGSM13 - Carlos Manuel Fernandez

Martes 20 de Mayo de 2013 (UCLM Ciudad Real)
MODELO DE GOBIERNO Y GESTION EN LAS TICs CON NORMAS ISO

Carlos Manuel Fernndez. CISA, CISM.
Gerente /Coordinador de certificaciones TICs.
AENOR
Speaker Bio & Company Information
Ingeniero en Informtica por la Universidad Politcnica de Madrid. Mster en Direccin de
Empresas-MBA- por CECO. Diplomado en Estudios Avanzados en Informtica-
Doctorando por la Universidad Pontificia de Salamanca. Diplomado en Administracin de
Empresas CEPADE-UPM. Certificado como CISA Certified Information System Auditor
(1989) y CISM Certified Information Security Manager (2004) por ISACA y certificado ITIL
Foundations.
Con ms de 30 aos de experiencia en el sector de las TICs y 20 de ellos en Control
Informtico y la auditora de SI: en la Administracin Pblica (Ministerio de Defensa
/Cuartel Gral de la Armada-jefe de proyecto)) y en empresas internacionales de
informtica ( MICROSOFT-Original Software EXECUTIVE) y del sector financiero
(Resident Vice President CITICORP-CITIBANK Europe/Spain), entre otras
empresas/organizaciones.
Actualmente en la Docencia:
o Profesor asociado de la Universidad Pontificia de Salamanca (UPSAM) desde
1985;
o Profesor de Mster de auditora de Sistemas de Informacin y Seguridad Carlos Manuel FERNNDEZ.CISA,CISM.
Universidad Politcnica de Madrid desde 2000 ;
Gerente de TICs Direccin de Desarrollo
o Profesor de Mster de la Universidad de Alcal de Henares desde 2008 y profesor
de la UNESCO-CREI en LATAM. (1990-1995)
cmfernandez@aenor.es
o Director del 1er Mster de auditora informtica (Madrid-Barcelona) en CENEI
(1987-1994)
Coordinador y autor: del libro Modelo para el Gobierno de las TIC con normas ISO.
Noviembre 2012. AENOR Ediciones
Coautor de libros de Auditora Informtica, Peritajes Informticos, Factoras de Software,
Implementacin de ISO 20000-1, IT Governance.
Coautor de artculos en la revista UNE, Dintel, Red Y Seguridad, Computing, en relacin a
la gestin y auditora de TI (ISO 27001, ISO 20000-1, ISO 15504-SPICE, IT-Governance,
etc.).
Coautor de la Gua completa de aplicacin para la gestin de servicios de tecnologas de
la informacin ISO 20000-1 editada por AENOR en colaboracin con TELEFONICA
Fundador de la Asociacin de Auditores Informticos de Espaa ASIA Chapter ISACA
Madrid. Miembro asociado.
Directivo de la junta directiva del Colegio Profesional de Ingenieros en Informtica de
Madrid. Espaa. Vocal.
Miembro de la Asociacin CIONET. Patrono de la Fundacin I + D Software Libre.
Congreso Acadmico ITGSM13 Diapositiva 2

AENOR
Asociacin privada de Normalizacin y Certificacin
AENOR es el representante de ISO en Espaa y
algunos pases de Latinoamrica.
Sin nimo de lucro
Constitucin: 1986
Real decreto 2200/95
AENOR Corporacin
AENOR INTERNACIONAL (12 filiales)
AENOR Mxico ( +10 aos en Mxico DF y
Delegaciones)
Multisectorial
Normalizacin
Certificacin productos, servicios, sistemas de gestin y
personal
Servicios de Formacin
AENOR es miembro de IQNET

AENOR
ASOCIACIN ESPAOLA DE NORMALIZACIN Y CERTIFICACIN
Entidad privada, independiente, sin nimo de lucro
ACTIVIDADES
-Elaborar normas tcnicas nacionales (UNE) y participar
en la elaboracin de normas internacionales
-Certificar productos, servicios y empresas
(sistemas de gestin)
Entidad designada por el Ministerio de Industria y Energa (R.D. 1614/1985), como entidad para desarrollar las
actividades de N+C. Reconocida como Organismo de Normalizacin y para actuar como Entidad de
Certificacin (R.D. 2200/1995)

AENOR Datos relevantes
Calidad y Seguridad Medioambiente

25.300 Certificados ISO 9000
1.200 Certificados OHSAS 18001
+ 400 Certificados IS0 27001 6.220 Certificados ISO 14000
+ 100 Certificados ISO 20000-1 558 Certificados EMAS
41 Certificados SPICE nivel 2
3 Certificados SPICE nivel 3
Producto Normalizacin
Ms de 89.570 Certificados Ms de25.000 Normas (UNE y

Ratificadas)
Internacional Recursos Humanos

500 Auditores/25 auditores TICs
Ms de 45 Acuerdos internacionales para certificacin de
sistemas
Cambio Climtico
Ms de 40 Pases donde AENOR concedido certificados
Ms de 200 proyectos MDL, AC y Voluntarios

AENOR. Direccin de Desarrollo Estratgico (INNOVACIN)
DIRECCION GENERAL
Jos Luis TEJERA
Normalizacin Desarrollo Estratgico Operaciones
Gerente / Coordinador de Certificaciones TICs

Carlos M. FERNNDEZ
+30 auditores
especializados en
TICs.
Auditores Jefe TICs
Tcnico TICs/ Auditores TICs
Mayormente
Auditor Jefe TICs Ing. Informtica/
Telecomunicaciones
+ 50% CISAs

Centro de Cmputo o Tecnologas de Informacin y Comunicaciones
Es un Conjunto de:
- Personas (Humanware)
- Sistemas o Tecnologas (Base de Datos, software, aplicaciones, Hardware,
Telecomunicaciones y sala de servers e infraestructura).
- Procesos
- Infraestructura

Gestin de las TICs con criterios de negocio
Informe Penteo:
Slo un 21% de las cas gestionan el Dpto. de SI con criterios de negocio
31 % gestionan el dpto. de SI slo con criterios tecnolgicos
48 % gestionan con criterios hbridos
Conclusiones:
La Direccin de las cas. Tiene una percepcin ms positiva de los CIOs que siguen
criterios de Negocio. Les dan el rol de lderes contribuidores de negocio en un 58%
La Gestin de las TICs mejora el posicionamiento del dpto. de SI y del CIO
En un futuro los CIOS ms gestores y menos tecnlogos
(Encuesta a: 85 Directores de TICs, 36 Dir. Generales y 12 Presidentes)

El tiempo de los Procesos en las TICs
80s (mecanizar operaciones)

90s (Help Desk y control presupuestario)
Finales 90s (E-Commerce y marketplace)
XXI- (ITIL, CMMI, COBIT, ISO, etc..) : definir, medir y
analizar: Ciclo Mejora Continua. Los procesos en
TICs:incrementando el desarrollo de productos e innovacin)
CIOs se convierten en CPOs (Chief Process Officers) integrados
con los objetivos del negocio.
Fuente: David Flint. Vice President de Gartner. Research. (Junio -2008).

Cmo perciben los ejecutivos los Sistemas de Informacin
71% de los ejecutivos estn de acuerdo que es una palanca las TI

para transformar el negocio
62% creen que las TICs deben focalizarse en la innovacin de los
procesos de negocio
66% estn de acuerdo que las TICs han implicado una gestin de
riesgos ms compleja en las corporaciones.
Fuente: Ernst&Young study What next for the CIO? (Enero 2011).
Una solucin al gobierno y la gestin de las TICs es el modelo de AENOR de ISO en las TICs
donde se realiza el gobierno y la gestin de las TICs alineadas con los objetivos de negocio.

Cuando el EL CIO (chief Information Officer) es esencial
Conclusiones del Estudio Mundial de CIOs 2011 de IBM

(EN BASE A ENTREVISTAS PERSONALES CON MS DE 3000 CiOs DE TODO EL MUNDO)
-Los CIOs piensan actualmente ms parecido a los CEOs.

-Los Cios ayudan a enfrentarse a la complejidad , simplificando operaciones, los procesos de negocio, los productos y servicios.
- Los CIOs para incrementar la competitividad : Planes visionarios que incluyen la analtica y la inteligencia del negocio (BI) el 83% , soluciones
de movilidad el 74% y virtualizacin el 68%, etc...
-Solucin de IBM (con los Mandatos del CIO) que es como se ve el rol del CIO.
Potenciar
Proveedor de servicios de TI, para una mayor eficacia en la organizacin.
Expandir
Liderar las operaciones de TI para unos mejores procesos de negocio y la colaboracin en la empresa.
Transformar
Mejorar la cadena de valor sectorial mejorando las relaciones con clientes, partners y clientes internos.
Explorar
Pioneros, redisear productos, mercados y modelos de negocio.
-En conclusin: Los CEOs en el 2010 clasificaron los factores tecnolgicos como la segunda fuerza externa ms importante que impactara en
sus organizaciones. (1 Factores de Mercado y/o Factores macroeconmicos)

Modelo ISO para las TICs y otros entornos (2006-2013)
La empresa y su
continuidad segn
procesos crticos
Objetivo: Gobierno y Gestin de las TICs con estndares ISO.
Funciones del
SGCN Gobierno de TI director de TI
ISO 22301 ISO / IEC 38500 Calidad y

Sistema de Gestin Continuidad del Negocio. IT Governance seguridad en
servicios de TI
(el da a da)
Creacin de Desarrollo de Software Procesos / Servicios

Software
Nivel de Madurez. Ciclo de Vida de SW SGAS - SAM SGSTI

SPICE ISO 15504 ISO 19770-1 ISO 20000-1
Modelo de Evaluacin, Mejora y Madurez de Software Sistema de Gestin Activos Software Sistema de Gestin Servicios TI
(Licencias de Software)
ISO 12207 ISO 20000-2

Gua de Buenas Prcticas
Ciclo de Vida de Desarrollo de
Software
ISO 25000 SGSI
Calidad del Producto Software
ISO 27001
Sistema de Gestin Seguridad de la Informacin
Adicionalmente:
BPCE Buenas Prctica Comercio Electrnico
ISO 27002
Gua de Controles
Datacenter Green. Sostenibilidad Energtica en CPDs- SE CPD-

Copyright AENOR. Diciembre 2006
Nota: tiene PDCA / Control interno Tecnologas de Informacin

Hitos del modelo
El modelo se crea bottom-up en el ao 2006. (SGSISGSTISPICEGobiernoTISGCN)

El modelo se basa en MOTOR-CONOCIMIENTO orientado a objetivos de negocio; donde motor es
el PDCA y conocimiento los controles de cada sistema de gestin.
En las siguientes transparencias, ver los hitos de cada sistema de gestin.

Cmo se realizan los pilotos en AENOR DD
Hitos ms relevantes en ISO 27001
o En el ao 2004 se publica la UNE 71502 con las ISO 17799.

o Piloto con la PNE-UNE 71502 con una empresa del sector financiero: durante el primer
cuatrimestre del 2004. (EUROFACTOR HISPANIA, S.A. E.F.C.)
o En 2006 lanzamiento de ISO 27001, similar a UNE 71502. AENOR migras la compaas
certificadas en UNE 71502 a ISO 27001.
o Pilotos con ETICOM (Asociacin TIC de Andaluca), ClusterTIC (Asturias), etc. durante los
aos 2005-2007 mediante planes Avanza, etc.
o Road-Show por toda Espaa durante los aos 2006-2010 del SGSI por AENOR
o Acreditados por ENAC para el SGSI desde 2008
o Publicacin en 2009 por AENOR Ediciones y Start-up: Gua de Aplicacin de la Norma UNE-
ISO/IEC 27001 sobre seguridad en Sistema de Informacin para pymes (en base a la experiencia
de implantacin en +40 pymes)

ISO 27001: SG de la Seguridad de la Informacin
Solucin a los Riesgos Empresariales, Decisin estratgica de la organizacin

Modelo para la definicin, implementacin, operacin, revisin,
mantenimiento y mejora del SG de la SI.
Reordenar la Seguridad de los SI.
Sigue pautas de ISO 9001 e ISO 14001.
Para todo tipo de organizaciones.
En el marco de los riesgos empresariales generales.
Fin, seleccionar controles de seguridad, adecuados y proporcionados.
Enfoque por procesos, y para la mejora contnua.

Propiedades principales asociadas a la Informacin
DISPONIBILIDAD CONFIDENCIALIDAD
Asegurar que los usuarios Asegurar que la informacin es

autorizados tienen acceso accesible solo para aquellos
cuando lo requieran a la autorizados a tener acceso.
informacin y sus activos
asociados.
INTEGRIDAD
Garantizar la exactitud y
completitud de la informacin y los
mtodos de su proceso
La gestin eficaz de la Seguridad de la Informacin permite a la organizacin

preservarlas.

SGSI - UNE ISO 27001. MODELO PDCA
Definir poltica de seguridad

Establecer alcance del al SGSI P
Realizar anlisis de riesgos Implantar plan de gestin de riesgos
Seleccionar los controles Implantar el SGSI
Implantar los controles
ISO IEC 27002 / Anexo A. ISO IEC 27001
A A.5 Poltica de Seguridad de Informacin

A.10 Gestin de comunicaciones y
operaciones
A.11 Control de accesos
A.6 Estructura organizativa de la SI A.12 Desarrollo y mantenimiento de sistemas
A.7 Clasificacin y control de activos A.13 Gestin de Incidentes de Seguridad
A.8 Seguridad ligada al personal
A.9 Seguridad fsica y del entorno
A.14 Gestin Continuidad de Negocio
A15 Conformidad y Cumplimiento
D
legislacin
Adoptar las acciones correctivas

Adoptar las acciones preventivas
Revisar internamente el SGSI
Realizar auditorias internas del SGSI
C Indicadores y Mtricas
Revisin por Direccin
17
Gestin de riesgos Implantacin de controles
Procesos de Negocio/Servicio de TI
Activos de SI Anlisis y Gestin de riesgos Riesgo Residual

Sistemas de informacin R=F(X1,X2,X3,Xn) Activo1-------R1
(aplicativos) Integridad (X1)
Software Confidencialidad (X2) Activo2-------R2
Hardware Disponibilidad (X3)
Telecomunicaciones Aplicando
Amenazas (X4)
Personas ISO/IEC 27002
Vulnerabilidades (X5)
(Seleccin de
Impacto Econmico (X6)
Controles)
XN

Hitos ms relevantes en ISO 20000-1
o En Junio 2007 se traspone la ISO/IEC 20000-1:2005 a norma UNE-ISO/IEC 20000-1:2007 (A

instancias del captulo espaol de itSMF)
o Piloto con grandes corporaciones: durante el periodo de 2006 y 2007 se realiza piloto con
Telefnica Soluciones y El Corte Ingls (Centro de Clculo). El 21 de Junio de 2007 AENOR certifica
a estas 2 grandes corporaciones espaolas.
o Piloto con 16 empresas TICs en el segmento de Mediana y Pequea empresa con las asociaciones:
CONETIC y GAIA. Con la colaboracin de NEXTEL. Dentro del plan avanza con subvencin del
MICYT durante el periodo 2008 y 2009. En Diciembre 2009 se certifican las 16 empresas.
o Proyecto AGESTIC 2009 para ISO 20000-1 (Plan Avanza)
o Publicacin en 2010 por AENOR Ediciones y Telefnica del libro: ISO/IEC 20000 Gua completa
de aplicacin para la gestin de los servicios y tecnologas de la informacin.
o Publicacin en 2010 por AENOR Ediciones, MICYT. el libro: ISO/IEC 20000 para pymes. Como
implantar un sistema de gestin de los servicios de tecnologas de la informacin
o Proyecto AUDISEC 2011 para ISO 20000-1 Plan AVANZA

UNE -ISO 20000 Gestin de Servicios TI
Est formada por dos partes bajo el mismo ttulo: Tecnologas de la

Informacin Gestin del Servicio
o UNE-ISO/IEC 20000-1. Parte1: Especificacin
Promueve la adopcin de un marco de procesos de gestin, para una provisin de
servicios gestionados que estn en lnea con:
las necesidades del negocio
con los requisitos de los clientes
Motor
o ISO/IEC 20000-2. Parte 2: Cdigo de prcticas
Gua y recomendaciones relativas a las buenas prcticas de la Gestin del Servicio
Esta parte debera usarse junto con la parte 1 de la norma ISO/IEC 20000 relativa a las
especificaciones
Conocimiento

UNE -ISO 20000 Gestin de Servicios TI
Aspectos ms importantes:
o PDCA
o Catlogo de Servicios
o SLAs
o CMDB
o Los 13 procesos de ISO 20000-1

Certificacin SGSTI (ISO 20000-1): MODELO PDCA Plan-Do-Check-Act
Poltica, Alcance, Plan de

Gestin Servicio P
Implementar los objetivos y plan de gestin de
los servicios
ISO 20000-parte 2
(Procesos-Gua)
A
1.- Gestin del Nivel de Servicio
2-.Informes del Servicio
3.-Gestin de la Capacidad
4.-Gestin de la continuidad y de la disponibilidad del
servicio
5.-Gestin de la Seguridad de la Informacin
6.- Gestin de Presupuestos y contabilidad de los
servicios
7.-Gestin de Incidencias D
8.- Gestin de Problemas
9.- Gestin de Configuracin
10.- Gestin del Cambio
Mejorar la eficacia y la eficiencia 11.- Gestin de relaciones con el Negocio
de la prestacin y gestin de los 12. Gestin de Proveedores
servicios 13: Gestin de la entrega
Adoptar las acciones correctivas

Adoptar las acciones preventivas
Revisin por Direccin
Auditoras Internas, Mtricas e Indicadores, etc.

Hitos ms relevantes en SPICE ISO 15504 ISO 12207
o En 2008 Estudio sobre la relacin entre ISO/IEC 15504 SPICE y CMMI-DEV v1.2, subvencionado por
el Ministerio de Industria.- AENOR, Kybele-Consulting, UCLM, URJCI
o Piloto 2 aos (2008-2010), con 21 empresas de Nivel 2 de madurez. AENOR
o Definicin del esquema de certificacin segn ISO 17021. AENOR
o Creacin del portal www.iso15504.es para la difusin. AENOR-Kybele Consulting
o Jornadas divulgativas en ISO 15504/ISO 12207
o Formacin y reuniones tcnicas en ISO 15504/ISO 12207
o Publicacin 2011 por MICYT, AENOR y PRYMSA el libro: Gua de implantacin del modelo de procesos
de calidad del desarrollo de software en el nivel 2 de madurez SPICE en las Pymes
o Piloto 2011 ISO 15504 SPICE nivel 3 de madurez con la empresa DIMETRONIC
o Publicacin en Computer,Standards&Interface. ELSEVIER.(publicacin profesional)
Refrendo a nivel internacional) del modelo de AENOR de SPICE-ISO 15504/ISO 12207

MODELO DE NIVELES DE MADUREZ
MEJORA DE LA CALIDAD
DE LOS PROCESOS
SOFTWARE
MODELO DE MODELO DE
PROCESOS EVALUACIN
ISO/IEC 12207:2008 ISO/IEC 15504

Atributos de Proceso (AP)
Procesos
Componentes de los
Resultados del Atributos de Proceso
Proceso (RP) (CAP)
24 Uso interno Banco de Espaa
CONFIDENCI24
Congreso Acadmico ITGSM13 Diapositiva
AL
PROCESOS DE LOS NIVELES 1 Y 2 DE MADUREZ
AP 2.1 Gestin de la realizacin
CAP 2.1.1 Definir los objetivos del proceso
CAP 2.1.2 Planificar y controlar el proceso
CAP 2.1.3 Adaptar la realizacin del proceso
CAP 2.1.4 Asignar las responsabilidades del proceso
Nivel 2 de CAP 2.1.5 Asignar los recursos y la informacin
madurez CAP 2.1.6 Gestionar la comunicacin entre involucrados
AP 2.2 Gestin de los productos de trabajo
CAP 2.2.1 Definir los requisitos para los productos de trabajo
CAP 2.2.2 Requisitos para la documentacin y control
CAP 2.2.3 Identificar, documentar y controlar los productos de trabajo
CAP 2.2.4 Revisar y adaptar los productos de trabajo
Nivel 1 de
madurez
Proceso de Suministro
Proceso de Definicin de Requisitos de los
Stakeholders
Proceso de Anlisis de los Requisitos del Sistema
Proceso de Gestin del Modelo de Ciclo de Vida
Proceso de Planificacin del Proyecto
Proceso de Evaluacin y Control del Proyecto
Proceso de Gestin de la Configuracin del
Software
Proceso de Gestin de la Configuracin
Proceso de Medicin
Proceso de Aseguramiento de la Calidad del
Software
25
PROCESOS DE NIVEL 3 DE MADUREZ
Proceso de Gestin de Infraestructuras

Nivel 3 de madurez
Proceso de Gestin de Recursos Humanos
Proceso de Gestin de la Decisin
Proceso de Gestin de Riesgos
Proceso de Diseo de la Arquitectura del Sistema
Proceso de Integracin del Sistema
Nivel 2 de madurez Proceso de Anlisis de Requisitos del Software
Proceso de Diseo de la Arquitectura del Software
Proceso de Integracin del Software
Proceso de Verificacin del Software
Proceso de Validacin del Software
Nivel 1 de madurez
26
PORTAL Y MATERIAL DE APOYO
Portal www.iso15504.es
Artculos
Foro
Cursos de formacin on line

27

Hitos ms relevantes en otros sistemas - SAM, ITGovernance, SGCN:
o SAM SGAS ISO 19770-1 piloto con la empresa TECNOFOR en 2010 subvencionado por los
fabricantes de Software.
o ITGovernance ISO 38500 piloto con empresa del sector financiero Rural de Servicios de
Informtica (RSI) en 2010.
o SGCN ISO 22301/UNE 71599-2/BS 25999-2, 3 pilotos; en sector sanitario en Espaa SANITAS
en el 2010, en sector financiero en Mxico BUR DE CRDITO y Sector Tecnolgico-Espaa
GMV en el 2011 y otros on-going

Sistema de Gestin de Continuidad de Negocio - SGCN
ISO 22301:2011
(MOTOR PDCA)
1. Aporta al Plan de Continuidad de Negocio -PCN el PDCA

2. Correspondencia entre las normas ISO 9001, ISO 14001, ISO 27001
3. Destacar el BIA (Business Impact Analysis Anlisis de Impacto en el Negocio)

Ciclo de PDCA ISO 22301 - SGCN
Partes 3. Planificacin
interesadas (PLAN) Partes
interesadas
6. Mantenimiento y 4. Implantacin
Mejora y Operacin
(ACT) (DO)
Requisitos y
expectativas de Continuidad de
la continuidad Negocio
de negocio 5. Supervisin y Gestionada
Revisin
(CHECK)

Modelo de Gobierno Corporativo de TI (Certificado de conformidad)
La ISO 38500 tiene los siguientes componentes:

La direccin ha de gobernar las TI mediante 3 tareas principales:
o Monitorizar
o Evaluar
o Dirigir
31 Congreso Acadmico ITGSM13 Diapositiva 31

Modelo de Gobierno Corporativo de TI (Certificado de conformidad)
Estas tres tareas se incluyen en cada uno de los principios.
Principio 1:Responsabilidad
Principio 2: Estrategia
Principio 3: Adquisicin
Principio 4: Rendimiento
Principio 5: Conformidad
Principio 6: Factor Humano

Hitos ms relevantes en Sostenibilidad Energtica SE-CPD

o Comienzo en 2008 a estudiar Datacenter Green.
o Reuniones con Enertic.

o Realizacin de certificaciones piloto con INTECO, TISSAT y SANITAS.
o Modelo en base a sistemas ISO con alcance reducido a CPD. (Auditora energtica/Sistema
de Gestin Energtica-ISO 50001/Huella de Carbono)

Proceso de Certificacin segn ISO 17021
FASE 1: PLANIFICACIN DE LA Informe

AUDITORA Y ESTUDIO DE fase 1
DOCUMENTACIN (presencial)
CUESTIONARIO FASE 2:
PRELIMINAR Y SOLICITUD REALIZACIN DE
AENOR LA AUDITORA (presencial)
Auditora de Certificacin Informe Hoja de datos

Auditoras de mantenimiento de la
final Alcance : de acuerdo

AUDITORAS DE (segn ISO 17021:2011) al XXX vigente
RENOVACIN
(AL TERCER AO)
ELABORACIN DEL PLAN DE
certificacin
AUDITORAS DE ACCIONES CORRECTIVAS - PAC

SEGUIMIENTO
(AL SEGUNDO AO)
REGISTRAR LOS
AUDITORAS DE RESULTADOS Informe de
SEGUIMIENTO Evaluacin y
(AL PRIMER AO) Decisin
CONCESIN DEL
CERTIFICADO

Proceso de Certificacin - Cadena de valor
Evaluacin y Decisin
Manteniendo una estructura que permita independencia e
imparcialidad, en la toma de decisiones para la concesin o no de
una certificacin se establecen tres niveles:
Decisin
Coordinador TICs - Comit (Concesin / no concesin)
Revisin de Propuesta
TRE (Tcnico Expedientes) (Concesin / no concesin)
Propuesta
Auditor Jefe (Concesin / no concesin)
35
Acreditacin de AENOR - SGSI

Certificaciones de TICs en Universidades
SGSTI UNE-ISO/IEC 20000-1:2011
AO CONCESION Certificado Empresa
2009 STI-0007/2009 UPCNET S.L.U.
SGSI UNE-ISO/IEC 27001:2007

AO CONCESION Certificado Empresa
2010 SI-0034/2010 UNIVERSITAT JAUME I
2010 SI-0054/2010 UPCNET S.L.U.
+ 130 certificaciones emitidas en ISO 20000-1 entre Espaa y LATAM. Grandes corporaciones y Pymes
+ 400 certificaciones emitidas en ISO 27001 entre Espaa y LATAM. Grandes corporaciones y Pymes

AENOR e ISO 20000-1 en la actualidad

AENOR e ISO 27001 en la actualidad

AENOR y SPICE- ISO 15504/ISO 12207 en la actualidad

Salidas profesionales desde el modelo de AENOR / New Jobs !
AENOR FORMACION
Titulaciones Propias
ISO 27001 ISO 20000 ISO 22301 SPICE

SGSI SGSTI SGCN ISO 15504
Madurez en ciclo de vida de software
Responsable
Consultor
Auditor interno
Auditor externo dem dem dem
Otros Sistemas en Desarrollo con su titulacin

ISO 38500 SAM ISO 19770 EA 0044:2013
Gobierno de TI SGAS SE CPD

Bibliografa TICs

AENOR: Nuestra tarjeta de visita.

Futuro y conclusiones en Sistemas de Gestin en las TICs.
Aspectos a considerar:
El control interno de Tecnologas de Informacin no es una moda.
El Sistema de Gestin en las TICs ayuda a gestionar el control interno de
Tecnologas de la Informacin alineado e integrado con los objetivos del negocio
y el cumplimiento normativo legal y sectorial.
El PDCA-motor y el conocimiento-control interno de TI, cumpliendo objetivos
de negocio.
CEO y CIO desean calidad y seguridad en los servicios de TI.
CEO y CIO desean aplicaciones implementadas que cumplan con los objetivos
de negocio/requisitos de los usuarios.

Sistemas de Gestin en las TICs. Una historia reciente
La simplicidad es la mayor de las sofisticaciones

Leonardo Da Vinci

Un nuevo reto en las TICs
PDCA Ciclo de mejora Continua (Deming)
Sistema de Gestin Integrado y alineado con los Objetivos del Negocio.
En conclusin: Dormir tranquilo el/la CIO?

GRACIAS
Carlos Manuel FERNNDEZ.CISA,CISM.

Gerente de TICs Direccin de Desarrollo
cmfernandez@aenor.es
Vocal del Colegio Profesional de Ingenieros de Informtica de
Madrid (CPIICM)

ITGSM13 - Carlos Manuel Fernandez

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

ITGSM13 - Carlos Manuel Fernandez

Загружено:

Авторское право:

Доступные форматы

Martes 20 de Mayo de 2013 (UCLM Ciudad Real)

MODELO DE GOBIERNO Y GESTION EN LAS TICs CON NORMAS ISO

Congreso Acadmico ITGSM13 Diapositiva 2

Congreso Acadmico ITGSM13 Diapositiva 3

ASOCIACIN ESPAOLA DE NORMALIZACIN Y CERTIFICACIN

Entidad privada, independiente, sin nimo de lucro

Congreso Acadmico ITGSM13 Diapositiva 4

Calidad y Seguridad Medioambiente

Ms de 89.570 Certificados Ms de25.000 Normas (UNE y

Internacional Recursos Humanos

Congreso Acadmico ITGSM13 Diapositiva 5

Normalizacin Desarrollo Estratgico Operaciones

Gerente / Coordinador de Certificaciones TICs

Congreso Acadmico ITGSM13 Diapositiva 6

Congreso Acadmico ITGSM13 Diapositiva 7

Congreso Acadmico ITGSM13 Diapositiva 8

80s (mecanizar operaciones)

Congreso Acadmico ITGSM13 Diapositiva 9

71% de los ejecutivos estn de acuerdo que es una palanca las TI

Congreso Acadmico ITGSM13 Diapositiva 10

Conclusiones del Estudio Mundial de CIOs 2011 de IBM

-Los CIOs piensan actualmente ms parecido a los CEOs.

Congreso Acadmico ITGSM13 Diapositiva 11

ISO 22301 ISO / IEC 38500 Calidad y

Creacin de Desarrollo de Software Procesos / Servicios

Nivel de Madurez. Ciclo de Vida de SW SGAS - SAM SGSTI

ISO 12207 ISO 20000-2

Datacenter Green. Sostenibilidad Energtica en CPDs- SE CPD-

Nota: tiene PDCA / Control interno Tecnologas de Informacin

El modelo se crea bottom-up en el ao 2006. (SGSISGSTISPICEGobiernoTISGCN)

Congreso Acadmico ITGSM13 Diapositiva 13

Hitos ms relevantes en ISO 27001

o En el ao 2004 se publica la UNE 71502 con las ISO 17799.

Congreso Acadmico ITGSM13 Diapositiva 14

Solucin a los Riesgos Empresariales, Decisin estratgica de la organizacin

Congreso Acadmico ITGSM13 Diapositiva 15

Asegurar que los usuarios Asegurar que la informacin es

La gestin eficaz de la Seguridad de la Informacin permite a la organizacin

Congreso Acadmico ITGSM13 Diapositiva 16

Definir poltica de seguridad

ISO IEC 27002 / Anexo A. ISO IEC 27001

A A.5 Poltica de Seguridad de Informacin

Adoptar las acciones correctivas

Activos de SI Anlisis y Gestin de riesgos Riesgo Residual

Congreso Acadmico ITGSM13 Diapositiva 18

Hitos ms relevantes en ISO 20000-1

o En Junio 2007 se traspone la ISO/IEC 20000-1:2005 a norma UNE-ISO/IEC 20000-1:2007 (A

Congreso Acadmico ITGSM13 Diapositiva 19

Est formada por dos partes bajo el mismo ttulo: Tecnologas de la

Congreso Acadmico ITGSM13 Diapositiva 20

Congreso Acadmico ITGSM13 Diapositiva 21

Poltica, Alcance, Plan de

Adoptar las acciones correctivas

Congreso Acadmico ITGSM13 Diapositiva 22

Hitos ms relevantes en SPICE ISO 15504 ISO 12207

Congreso Acadmico ITGSM13 Diapositiva 23

ISO/IEC 12207:2008 ISO/IEC 15504

24 Uso interno Banco de Espaa

Proceso de Gestin de Infraestructuras

Cursos de formacin on line

Congreso Acadmico ITGSM13 Diapositiva 27

Hitos ms relevantes en otros sistemas - SAM, ITGovernance, SGCN:

Congreso Acadmico ITGSM13 Diapositiva 28