Вы находитесь на странице: 1из 46

Martes 20 de Mayo de 2013 (UCLM Ciudad Real)

MODELO DE GOBIERNO Y GESTION EN LAS TICs CON NORMAS ISO


Carlos Manuel Fernndez. CISA, CISM.
Gerente /Coordinador de certificaciones TICs.
AENOR
Speaker Bio & Company Information
Ingeniero en Informtica por la Universidad Politcnica de Madrid. Mster en Direccin de
Empresas-MBA- por CECO. Diplomado en Estudios Avanzados en Informtica-
Doctorando por la Universidad Pontificia de Salamanca. Diplomado en Administracin de
Empresas CEPADE-UPM. Certificado como CISA Certified Information System Auditor
(1989) y CISM Certified Information Security Manager (2004) por ISACA y certificado ITIL
Foundations.
Con ms de 30 aos de experiencia en el sector de las TICs y 20 de ellos en Control
Informtico y la auditora de SI: en la Administracin Pblica (Ministerio de Defensa
/Cuartel Gral de la Armada-jefe de proyecto)) y en empresas internacionales de
informtica ( MICROSOFT-Original Software EXECUTIVE) y del sector financiero
(Resident Vice President CITICORP-CITIBANK Europe/Spain), entre otras
empresas/organizaciones.
Actualmente en la Docencia:
o Profesor asociado de la Universidad Pontificia de Salamanca (UPSAM) desde
1985;
o Profesor de Mster de auditora de Sistemas de Informacin y Seguridad Carlos Manuel FERNNDEZ.CISA,CISM.
Universidad Politcnica de Madrid desde 2000 ;
Gerente de TICs Direccin de Desarrollo
o Profesor de Mster de la Universidad de Alcal de Henares desde 2008 y profesor
de la UNESCO-CREI en LATAM. (1990-1995)
cmfernandez@aenor.es
o Director del 1er Mster de auditora informtica (Madrid-Barcelona) en CENEI
(1987-1994)
Coordinador y autor: del libro Modelo para el Gobierno de las TIC con normas ISO.
Noviembre 2012. AENOR Ediciones
Coautor de libros de Auditora Informtica, Peritajes Informticos, Factoras de Software,
Implementacin de ISO 20000-1, IT Governance.
Coautor de artculos en la revista UNE, Dintel, Red Y Seguridad, Computing, en relacin a
la gestin y auditora de TI (ISO 27001, ISO 20000-1, ISO 15504-SPICE, IT-Governance,
etc.).
Coautor de la Gua completa de aplicacin para la gestin de servicios de tecnologas de
la informacin ISO 20000-1 editada por AENOR en colaboracin con TELEFONICA
Fundador de la Asociacin de Auditores Informticos de Espaa ASIA Chapter ISACA
Madrid. Miembro asociado.
Directivo de la junta directiva del Colegio Profesional de Ingenieros en Informtica de
Madrid. Espaa. Vocal.
Miembro de la Asociacin CIONET. Patrono de la Fundacin I + D Software Libre.

Congreso Acadmico ITGSM13 Diapositiva 2


AENOR
Asociacin privada de Normalizacin y Certificacin
AENOR es el representante de ISO en Espaa y
algunos pases de Latinoamrica.
Sin nimo de lucro
Constitucin: 1986
Real decreto 2200/95
AENOR Corporacin
AENOR INTERNACIONAL (12 filiales)
AENOR Mxico ( +10 aos en Mxico DF y
Delegaciones)
Multisectorial
Normalizacin
Certificacin productos, servicios, sistemas de gestin y
personal
Servicios de Formacin
AENOR es miembro de IQNET

Congreso Acadmico ITGSM13 Diapositiva 3


AENOR

ASOCIACIN ESPAOLA DE NORMALIZACIN Y CERTIFICACIN

Entidad privada, independiente, sin nimo de lucro

ACTIVIDADES
-Elaborar normas tcnicas nacionales (UNE) y participar
en la elaboracin de normas internacionales
-Certificar productos, servicios y empresas
(sistemas de gestin)

Entidad designada por el Ministerio de Industria y Energa (R.D. 1614/1985), como entidad para desarrollar las
actividades de N+C. Reconocida como Organismo de Normalizacin y para actuar como Entidad de
Certificacin (R.D. 2200/1995)

Congreso Acadmico ITGSM13 Diapositiva 4


AENOR Datos relevantes

Calidad y Seguridad Medioambiente


25.300 Certificados ISO 9000
1.200 Certificados OHSAS 18001
+ 400 Certificados IS0 27001 6.220 Certificados ISO 14000
+ 100 Certificados ISO 20000-1 558 Certificados EMAS
41 Certificados SPICE nivel 2
3 Certificados SPICE nivel 3

Producto Normalizacin

Ms de 89.570 Certificados Ms de25.000 Normas (UNE y


Ratificadas)

Internacional Recursos Humanos


500 Auditores/25 auditores TICs
Ms de 45 Acuerdos internacionales para certificacin de
sistemas
Cambio Climtico
Ms de 40 Pases donde AENOR concedido certificados
Ms de 200 proyectos MDL, AC y Voluntarios

Congreso Acadmico ITGSM13 Diapositiva 5


AENOR. Direccin de Desarrollo Estratgico (INNOVACIN)
DIRECCION GENERAL
Jos Luis TEJERA

Normalizacin Desarrollo Estratgico Operaciones

Gerente / Coordinador de Certificaciones TICs


Carlos M. FERNNDEZ

+30 auditores
especializados en
TICs.
Auditores Jefe TICs
Tcnico TICs/ Auditores TICs
Mayormente
Auditor Jefe TICs Ing. Informtica/
Telecomunicaciones
+ 50% CISAs

Congreso Acadmico ITGSM13 Diapositiva 6


Centro de Cmputo o Tecnologas de Informacin y Comunicaciones

Es un Conjunto de:
- Personas (Humanware)
- Sistemas o Tecnologas (Base de Datos, software, aplicaciones, Hardware,
Telecomunicaciones y sala de servers e infraestructura).
- Procesos
- Infraestructura

Congreso Acadmico ITGSM13 Diapositiva 7


Gestin de las TICs con criterios de negocio

Informe Penteo:
Slo un 21% de las cas gestionan el Dpto. de SI con criterios de negocio
31 % gestionan el dpto. de SI slo con criterios tecnolgicos
48 % gestionan con criterios hbridos
Conclusiones:
La Direccin de las cas. Tiene una percepcin ms positiva de los CIOs que siguen
criterios de Negocio. Les dan el rol de lderes contribuidores de negocio en un 58%
La Gestin de las TICs mejora el posicionamiento del dpto. de SI y del CIO
En un futuro los CIOS ms gestores y menos tecnlogos
(Encuesta a: 85 Directores de TICs, 36 Dir. Generales y 12 Presidentes)

Congreso Acadmico ITGSM13 Diapositiva 8


El tiempo de los Procesos en las TICs

80s (mecanizar operaciones)


90s (Help Desk y control presupuestario)
Finales 90s (E-Commerce y marketplace)
XXI- (ITIL, CMMI, COBIT, ISO, etc..) : definir, medir y
analizar: Ciclo Mejora Continua. Los procesos en
TICs:incrementando el desarrollo de productos e innovacin)
CIOs se convierten en CPOs (Chief Process Officers) integrados
con los objetivos del negocio.
Fuente: David Flint. Vice President de Gartner. Research. (Junio -2008).

Congreso Acadmico ITGSM13 Diapositiva 9


Cmo perciben los ejecutivos los Sistemas de Informacin

71% de los ejecutivos estn de acuerdo que es una palanca las TI


para transformar el negocio
62% creen que las TICs deben focalizarse en la innovacin de los
procesos de negocio
66% estn de acuerdo que las TICs han implicado una gestin de
riesgos ms compleja en las corporaciones.
Fuente: Ernst&Young study What next for the CIO? (Enero 2011).

Una solucin al gobierno y la gestin de las TICs es el modelo de AENOR de ISO en las TICs
donde se realiza el gobierno y la gestin de las TICs alineadas con los objetivos de negocio.

Congreso Acadmico ITGSM13 Diapositiva 10


Cuando el EL CIO (chief Information Officer) es esencial

Conclusiones del Estudio Mundial de CIOs 2011 de IBM


(EN BASE A ENTREVISTAS PERSONALES CON MS DE 3000 CiOs DE TODO EL MUNDO)

-Los CIOs piensan actualmente ms parecido a los CEOs.


-Los Cios ayudan a enfrentarse a la complejidad , simplificando operaciones, los procesos de negocio, los productos y servicios.
- Los CIOs para incrementar la competitividad : Planes visionarios que incluyen la analtica y la inteligencia del negocio (BI) el 83% , soluciones
de movilidad el 74% y virtualizacin el 68%, etc...
-Solucin de IBM (con los Mandatos del CIO) que es como se ve el rol del CIO.
Potenciar
Proveedor de servicios de TI, para una mayor eficacia en la organizacin.
Expandir
Liderar las operaciones de TI para unos mejores procesos de negocio y la colaboracin en la empresa.
Transformar
Mejorar la cadena de valor sectorial mejorando las relaciones con clientes, partners y clientes internos.
Explorar
Pioneros, redisear productos, mercados y modelos de negocio.
-En conclusin: Los CEOs en el 2010 clasificaron los factores tecnolgicos como la segunda fuerza externa ms importante que impactara en
sus organizaciones. (1 Factores de Mercado y/o Factores macroeconmicos)

Congreso Acadmico ITGSM13 Diapositiva 11


Modelo ISO para las TICs y otros entornos (2006-2013)
La empresa y su
continuidad segn
procesos crticos
Objetivo: Gobierno y Gestin de las TICs con estndares ISO.
Funciones del
SGCN Gobierno de TI director de TI

ISO 22301 ISO / IEC 38500 Calidad y


Sistema de Gestin Continuidad del Negocio. IT Governance seguridad en
servicios de TI
(el da a da)

Creacin de Desarrollo de Software Procesos / Servicios


Software

Nivel de Madurez. Ciclo de Vida de SW SGAS - SAM SGSTI


SPICE ISO 15504 ISO 19770-1 ISO 20000-1
Modelo de Evaluacin, Mejora y Madurez de Software Sistema de Gestin Activos Software Sistema de Gestin Servicios TI
(Licencias de Software)

ISO 12207 ISO 20000-2


Gua de Buenas Prcticas
Ciclo de Vida de Desarrollo de
Software
ISO 25000 SGSI
Calidad del Producto Software
ISO 27001
Sistema de Gestin Seguridad de la Informacin

Adicionalmente:
BPCE Buenas Prctica Comercio Electrnico
ISO 27002
Gua de Controles

Datacenter Green. Sostenibilidad Energtica en CPDs- SE CPD-


Copyright AENOR. Diciembre 2006

Nota: tiene PDCA / Control interno Tecnologas de Informacin


Congreso Acadmico ITGSM13 Diapositiva 12
Hitos del modelo

El modelo se crea bottom-up en el ao 2006. (SGSISGSTISPICEGobiernoTISGCN)


El modelo se basa en MOTOR-CONOCIMIENTO orientado a objetivos de negocio; donde motor es
el PDCA y conocimiento los controles de cada sistema de gestin.
En las siguientes transparencias, ver los hitos de cada sistema de gestin.

Congreso Acadmico ITGSM13 Diapositiva 13


Cmo se realizan los pilotos en AENOR DD

Hitos ms relevantes en ISO 27001

o En el ao 2004 se publica la UNE 71502 con las ISO 17799.


o Piloto con la PNE-UNE 71502 con una empresa del sector financiero: durante el primer
cuatrimestre del 2004. (EUROFACTOR HISPANIA, S.A. E.F.C.)
o En 2006 lanzamiento de ISO 27001, similar a UNE 71502. AENOR migras la compaas
certificadas en UNE 71502 a ISO 27001.
o Pilotos con ETICOM (Asociacin TIC de Andaluca), ClusterTIC (Asturias), etc. durante los
aos 2005-2007 mediante planes Avanza, etc.
o Road-Show por toda Espaa durante los aos 2006-2010 del SGSI por AENOR
o Acreditados por ENAC para el SGSI desde 2008
o Publicacin en 2009 por AENOR Ediciones y Start-up: Gua de Aplicacin de la Norma UNE-
ISO/IEC 27001 sobre seguridad en Sistema de Informacin para pymes (en base a la experiencia
de implantacin en +40 pymes)

Congreso Acadmico ITGSM13 Diapositiva 14


ISO 27001: SG de la Seguridad de la Informacin

Solucin a los Riesgos Empresariales, Decisin estratgica de la organizacin


Modelo para la definicin, implementacin, operacin, revisin,
mantenimiento y mejora del SG de la SI.
Reordenar la Seguridad de los SI.
Sigue pautas de ISO 9001 e ISO 14001.
Para todo tipo de organizaciones.
En el marco de los riesgos empresariales generales.
Fin, seleccionar controles de seguridad, adecuados y proporcionados.
Enfoque por procesos, y para la mejora contnua.

Congreso Acadmico ITGSM13 Diapositiva 15


Propiedades principales asociadas a la Informacin

DISPONIBILIDAD CONFIDENCIALIDAD

Asegurar que los usuarios Asegurar que la informacin es


autorizados tienen acceso accesible solo para aquellos
cuando lo requieran a la autorizados a tener acceso.
informacin y sus activos
asociados.
INTEGRIDAD
Garantizar la exactitud y
completitud de la informacin y los
mtodos de su proceso

La gestin eficaz de la Seguridad de la Informacin permite a la organizacin


preservarlas.

Congreso Acadmico ITGSM13 Diapositiva 16


SGSI - UNE ISO 27001. MODELO PDCA

Definir poltica de seguridad


Establecer alcance del al SGSI P
Realizar anlisis de riesgos Implantar plan de gestin de riesgos
Seleccionar los controles Implantar el SGSI
Implantar los controles

ISO IEC 27002 / Anexo A. ISO IEC 27001

A A.5 Poltica de Seguridad de Informacin


A.10 Gestin de comunicaciones y
operaciones
A.11 Control de accesos
A.6 Estructura organizativa de la SI A.12 Desarrollo y mantenimiento de sistemas
A.7 Clasificacin y control de activos A.13 Gestin de Incidentes de Seguridad
A.8 Seguridad ligada al personal
A.9 Seguridad fsica y del entorno
A.14 Gestin Continuidad de Negocio
A15 Conformidad y Cumplimiento
D
legislacin

Adoptar las acciones correctivas


Adoptar las acciones preventivas
Revisar internamente el SGSI
Realizar auditorias internas del SGSI
C Indicadores y Mtricas
Revisin por Direccin
17
Congreso Acadmico ITGSM13 Diapositiva 17
Gestin de riesgos Implantacin de controles

Procesos de Negocio/Servicio de TI

Activos de SI Anlisis y Gestin de riesgos Riesgo Residual


Sistemas de informacin R=F(X1,X2,X3,Xn) Activo1-------R1
(aplicativos) Integridad (X1)
Software Confidencialidad (X2) Activo2-------R2
Hardware Disponibilidad (X3)
Telecomunicaciones Aplicando
Amenazas (X4)
Personas ISO/IEC 27002
Vulnerabilidades (X5)
(Seleccin de
Impacto Econmico (X6)
Controles)
XN

Congreso Acadmico ITGSM13 Diapositiva 18


Cmo se realizan los pilotos en AENOR DD

Hitos ms relevantes en ISO 20000-1

o En Junio 2007 se traspone la ISO/IEC 20000-1:2005 a norma UNE-ISO/IEC 20000-1:2007 (A


instancias del captulo espaol de itSMF)
o Piloto con grandes corporaciones: durante el periodo de 2006 y 2007 se realiza piloto con
Telefnica Soluciones y El Corte Ingls (Centro de Clculo). El 21 de Junio de 2007 AENOR certifica
a estas 2 grandes corporaciones espaolas.
o Piloto con 16 empresas TICs en el segmento de Mediana y Pequea empresa con las asociaciones:
CONETIC y GAIA. Con la colaboracin de NEXTEL. Dentro del plan avanza con subvencin del
MICYT durante el periodo 2008 y 2009. En Diciembre 2009 se certifican las 16 empresas.
o Proyecto AGESTIC 2009 para ISO 20000-1 (Plan Avanza)
o Publicacin en 2010 por AENOR Ediciones y Telefnica del libro: ISO/IEC 20000 Gua completa
de aplicacin para la gestin de los servicios y tecnologas de la informacin.
o Publicacin en 2010 por AENOR Ediciones, MICYT. el libro: ISO/IEC 20000 para pymes. Como
implantar un sistema de gestin de los servicios de tecnologas de la informacin
o Proyecto AUDISEC 2011 para ISO 20000-1 Plan AVANZA

Congreso Acadmico ITGSM13 Diapositiva 19


UNE -ISO 20000 Gestin de Servicios TI

Est formada por dos partes bajo el mismo ttulo: Tecnologas de la


Informacin Gestin del Servicio
o UNE-ISO/IEC 20000-1. Parte1: Especificacin
Promueve la adopcin de un marco de procesos de gestin, para una provisin de
servicios gestionados que estn en lnea con:
las necesidades del negocio
con los requisitos de los clientes
Motor
o ISO/IEC 20000-2. Parte 2: Cdigo de prcticas
Gua y recomendaciones relativas a las buenas prcticas de la Gestin del Servicio
Esta parte debera usarse junto con la parte 1 de la norma ISO/IEC 20000 relativa a las
especificaciones
Conocimiento

Congreso Acadmico ITGSM13 Diapositiva 20


UNE -ISO 20000 Gestin de Servicios TI

Aspectos ms importantes:
o PDCA
o Catlogo de Servicios
o SLAs
o CMDB
o Los 13 procesos de ISO 20000-1

Congreso Acadmico ITGSM13 Diapositiva 21


Certificacin SGSTI (ISO 20000-1): MODELO PDCA Plan-Do-Check-Act

Poltica, Alcance, Plan de


Gestin Servicio P
Implementar los objetivos y plan de gestin de
los servicios

ISO 20000-parte 2
(Procesos-Gua)
A
1.- Gestin del Nivel de Servicio
2-.Informes del Servicio
3.-Gestin de la Capacidad
4.-Gestin de la continuidad y de la disponibilidad del
servicio
5.-Gestin de la Seguridad de la Informacin
6.- Gestin de Presupuestos y contabilidad de los
servicios
7.-Gestin de Incidencias D
8.- Gestin de Problemas
9.- Gestin de Configuracin
10.- Gestin del Cambio
Mejorar la eficacia y la eficiencia 11.- Gestin de relaciones con el Negocio
de la prestacin y gestin de los 12. Gestin de Proveedores
servicios 13: Gestin de la entrega

Adoptar las acciones correctivas


Adoptar las acciones preventivas
Revisin por Direccin
Auditoras Internas, Mtricas e Indicadores, etc.

Congreso Acadmico ITGSM13 Diapositiva 22


Cmo se realizan los pilotos en AENOR DD

Hitos ms relevantes en SPICE ISO 15504 ISO 12207

o En 2008 Estudio sobre la relacin entre ISO/IEC 15504 SPICE y CMMI-DEV v1.2, subvencionado por
el Ministerio de Industria.- AENOR, Kybele-Consulting, UCLM, URJCI
o Piloto 2 aos (2008-2010), con 21 empresas de Nivel 2 de madurez. AENOR
o Definicin del esquema de certificacin segn ISO 17021. AENOR
o Creacin del portal www.iso15504.es para la difusin. AENOR-Kybele Consulting
o Jornadas divulgativas en ISO 15504/ISO 12207
o Formacin y reuniones tcnicas en ISO 15504/ISO 12207
o Publicacin 2011 por MICYT, AENOR y PRYMSA el libro: Gua de implantacin del modelo de procesos
de calidad del desarrollo de software en el nivel 2 de madurez SPICE en las Pymes
o Piloto 2011 ISO 15504 SPICE nivel 3 de madurez con la empresa DIMETRONIC
o Publicacin en Computer,Standards&Interface. ELSEVIER.(publicacin profesional)
Refrendo a nivel internacional) del modelo de AENOR de SPICE-ISO 15504/ISO 12207

Congreso Acadmico ITGSM13 Diapositiva 23


MODELO DE NIVELES DE MADUREZ

MEJORA DE LA CALIDAD
DE LOS PROCESOS
SOFTWARE

MODELO DE MODELO DE
PROCESOS EVALUACIN

ISO/IEC 12207:2008 ISO/IEC 15504


Atributos de Proceso (AP)
Procesos
Componentes de los
Resultados del Atributos de Proceso
Proceso (RP) (CAP)

24 Uso interno Banco de Espaa

CONFIDENCI24
Congreso Acadmico ITGSM13 Diapositiva

AL
PROCESOS DE LOS NIVELES 1 Y 2 DE MADUREZ
AP 2.1 Gestin de la realizacin
CAP 2.1.1 Definir los objetivos del proceso
CAP 2.1.2 Planificar y controlar el proceso
CAP 2.1.3 Adaptar la realizacin del proceso
CAP 2.1.4 Asignar las responsabilidades del proceso
Nivel 2 de CAP 2.1.5 Asignar los recursos y la informacin
madurez CAP 2.1.6 Gestionar la comunicacin entre involucrados
AP 2.2 Gestin de los productos de trabajo
CAP 2.2.1 Definir los requisitos para los productos de trabajo
CAP 2.2.2 Requisitos para la documentacin y control
CAP 2.2.3 Identificar, documentar y controlar los productos de trabajo
CAP 2.2.4 Revisar y adaptar los productos de trabajo
Nivel 1 de
madurez
Proceso de Suministro
Proceso de Definicin de Requisitos de los
Stakeholders
Proceso de Anlisis de los Requisitos del Sistema
Proceso de Gestin del Modelo de Ciclo de Vida
Proceso de Planificacin del Proyecto
Proceso de Evaluacin y Control del Proyecto
Proceso de Gestin de la Configuracin del
Software
Proceso de Gestin de la Configuracin
Proceso de Medicin
Proceso de Aseguramiento de la Calidad del
Software
25
Congreso Acadmico ITGSM13 Diapositiva 25
PROCESOS DE NIVEL 3 DE MADUREZ

Proceso de Gestin de Infraestructuras


Nivel 3 de madurez
Proceso de Gestin de Recursos Humanos
Proceso de Gestin de la Decisin
Proceso de Gestin de Riesgos
Proceso de Diseo de la Arquitectura del Sistema
Proceso de Integracin del Sistema
Nivel 2 de madurez Proceso de Anlisis de Requisitos del Software
Proceso de Diseo de la Arquitectura del Software
Proceso de Integracin del Software
Proceso de Verificacin del Software
Proceso de Validacin del Software
Nivel 1 de madurez

26
Congreso Acadmico ITGSM13 Diapositiva 26
PORTAL Y MATERIAL DE APOYO
Portal www.iso15504.es

Artculos

Foro

Cursos de formacin on line


27

Congreso Acadmico ITGSM13 Diapositiva 27


Cmo se realizan los pilotos en AENOR DD

Hitos ms relevantes en otros sistemas - SAM, ITGovernance, SGCN:

o SAM SGAS ISO 19770-1 piloto con la empresa TECNOFOR en 2010 subvencionado por los
fabricantes de Software.

o ITGovernance ISO 38500 piloto con empresa del sector financiero Rural de Servicios de
Informtica (RSI) en 2010.

o SGCN ISO 22301/UNE 71599-2/BS 25999-2, 3 pilotos; en sector sanitario en Espaa SANITAS
en el 2010, en sector financiero en Mxico BUR DE CRDITO y Sector Tecnolgico-Espaa
GMV en el 2011 y otros on-going

Congreso Acadmico ITGSM13 Diapositiva 28


Sistema de Gestin de Continuidad de Negocio - SGCN

ISO 22301:2011
(MOTOR PDCA)

1. Aporta al Plan de Continuidad de Negocio -PCN el PDCA


2. Correspondencia entre las normas ISO 9001, ISO 14001, ISO 27001
3. Destacar el BIA (Business Impact Analysis Anlisis de Impacto en el Negocio)

Congreso Acadmico ITGSM13 Diapositiva 29


Ciclo de PDCA ISO 22301 - SGCN

Partes 3. Planificacin
interesadas (PLAN) Partes
interesadas

6. Mantenimiento y 4. Implantacin
Mejora y Operacin
(ACT) (DO)
Requisitos y
expectativas de Continuidad de
la continuidad Negocio
de negocio 5. Supervisin y Gestionada
Revisin
(CHECK)

Congreso Acadmico ITGSM13 Diapositiva 30


Modelo de Gobierno Corporativo de TI (Certificado de conformidad)

La ISO 38500 tiene los siguientes componentes:


La direccin ha de gobernar las TI mediante 3 tareas principales:
o Monitorizar
o Evaluar
o Dirigir

31 Congreso Acadmico ITGSM13 Diapositiva 31


Modelo de Gobierno Corporativo de TI (Certificado de conformidad)

Estas tres tareas se incluyen en cada uno de los principios.

Principio 1:Responsabilidad
Principio 2: Estrategia
Principio 3: Adquisicin
Principio 4: Rendimiento
Principio 5: Conformidad
Principio 6: Factor Humano

Congreso Acadmico ITGSM13 Diapositiva 32


Cmo se realizan los pilotos en AENOR DD

Hitos ms relevantes en Sostenibilidad Energtica SE-CPD


o Comienzo en 2008 a estudiar Datacenter Green.

o Reuniones con Enertic.


o Realizacin de certificaciones piloto con INTECO, TISSAT y SANITAS.
o Modelo en base a sistemas ISO con alcance reducido a CPD. (Auditora energtica/Sistema
de Gestin Energtica-ISO 50001/Huella de Carbono)

Congreso Acadmico ITGSM13 Diapositiva 33


Proceso de Certificacin segn ISO 17021

FASE 1: PLANIFICACIN DE LA Informe


AUDITORA Y ESTUDIO DE fase 1
DOCUMENTACIN (presencial)

CUESTIONARIO FASE 2:
PRELIMINAR Y SOLICITUD REALIZACIN DE
AENOR LA AUDITORA (presencial)

Auditora de Certificacin Informe Hoja de datos


Auditoras de mantenimiento de la

final Alcance : de acuerdo


AUDITORAS DE (segn ISO 17021:2011) al XXX vigente

RENOVACIN
(AL TERCER AO)
ELABORACIN DEL PLAN DE
certificacin

AUDITORAS DE ACCIONES CORRECTIVAS - PAC


SEGUIMIENTO
(AL SEGUNDO AO)
REGISTRAR LOS
AUDITORAS DE RESULTADOS Informe de
SEGUIMIENTO Evaluacin y
(AL PRIMER AO) Decisin

CONCESIN DEL
CERTIFICADO

Congreso Acadmico ITGSM13 Diapositiva 34


Proceso de Certificacin - Cadena de valor

Evaluacin y Decisin
Manteniendo una estructura que permita independencia e
imparcialidad, en la toma de decisiones para la concesin o no de
una certificacin se establecen tres niveles:

Decisin
Coordinador TICs - Comit (Concesin / no concesin)

Revisin de Propuesta
TRE (Tcnico Expedientes) (Concesin / no concesin)

Propuesta
Auditor Jefe (Concesin / no concesin)

35
Congreso Acadmico ITGSM13 Diapositiva 35
Acreditacin de AENOR - SGSI

Congreso Acadmico ITGSM13 Diapositiva 36


Certificaciones de TICs en Universidades
SGSTI UNE-ISO/IEC 20000-1:2011
AO CONCESION Certificado Empresa
2009 STI-0007/2009 UPCNET S.L.U.

SGSI UNE-ISO/IEC 27001:2007


AO CONCESION Certificado Empresa
2010 SI-0034/2010 UNIVERSITAT JAUME I

2010 SI-0054/2010 UPCNET S.L.U.

+ 130 certificaciones emitidas en ISO 20000-1 entre Espaa y LATAM. Grandes corporaciones y Pymes
+ 400 certificaciones emitidas en ISO 27001 entre Espaa y LATAM. Grandes corporaciones y Pymes

Congreso Acadmico ITGSM13 Diapositiva 37


AENOR e ISO 20000-1 en la actualidad

Congreso Acadmico ITGSM13 Diapositiva 38


AENOR e ISO 27001 en la actualidad

Congreso Acadmico ITGSM13 Diapositiva 39


AENOR y SPICE- ISO 15504/ISO 12207 en la actualidad

Congreso Acadmico ITGSM13 Diapositiva 40


Salidas profesionales desde el modelo de AENOR / New Jobs !
AENOR FORMACION
Titulaciones Propias

ISO 27001 ISO 20000 ISO 22301 SPICE


SGSI SGSTI SGCN ISO 15504
Madurez en ciclo de vida de software

Responsable

Consultor

Auditor interno

Auditor externo dem dem dem

Otros Sistemas en Desarrollo con su titulacin


ISO 38500 SAM ISO 19770 EA 0044:2013
Gobierno de TI SGAS SE CPD

Congreso Acadmico ITGSM13 Diapositiva 41


Bibliografa TICs

Congreso Acadmico ITGSM13 Diapositiva 42


AENOR: Nuestra tarjeta de visita.

Congreso Acadmico ITGSM13 Diapositiva 43


Futuro y conclusiones en Sistemas de Gestin en las TICs.

Aspectos a considerar:
El control interno de Tecnologas de Informacin no es una moda.
El Sistema de Gestin en las TICs ayuda a gestionar el control interno de
Tecnologas de la Informacin alineado e integrado con los objetivos del negocio
y el cumplimiento normativo legal y sectorial.
El PDCA-motor y el conocimiento-control interno de TI, cumpliendo objetivos
de negocio.
CEO y CIO desean calidad y seguridad en los servicios de TI.
CEO y CIO desean aplicaciones implementadas que cumplan con los objetivos
de negocio/requisitos de los usuarios.

Congreso Acadmico ITGSM13 Diapositiva 44


Sistemas de Gestin en las TICs. Una historia reciente

La simplicidad es la mayor de las sofisticaciones


Leonardo Da Vinci

Congreso Acadmico ITGSM13 Diapositiva 45


Un nuevo reto en las TICs
PDCA Ciclo de mejora Continua (Deming)
Sistema de Gestin Integrado y alineado con los Objetivos del Negocio.

En conclusin: Dormir tranquilo el/la CIO?


GRACIAS

Carlos Manuel FERNNDEZ.CISA,CISM.


Gerente de TICs Direccin de Desarrollo
cmfernandez@aenor.es
Vocal del Colegio Profesional de Ingenieros de Informtica de
Madrid (CPIICM)

Congreso Acadmico ITGSM13 Diapositiva 46