UNIVERSIDAD NIHON GAKKO

“Esfuerzo y disciplina para el éxito”

Facultad de Ciencias y Tecnologías

Ingeniería en Informática

INVESTIGACION DE OPERACIONES I
Trabajo de Investigación

TEMA: “Normas ISO para Sistemas Informáticos”

AUTOR: Enzo Quintana

PROF: Lic. Benito Almada

Fernando de la Mora - Paraguay

Año 2018
 Índice
RESUMEN........................................................................................................................................ 1
INTRODUCCIÓN ............................................................................................................................ 2
JUSTIFICACIÓN ............................................................................................................................. 3
PLANTEAMIENTO Y FORMULACIÓN DEL PROBLEMA ........................................................ 3
OBJETIVOS ..................................................................................................................................... 4
MARCO TEÓRICO .......................................................................................................................... 4
HIPÓTESIS ....................................................................................................................................... 5
¿QUÉ ES ISO? .................................................................................................................................. 6
¿DESDE CUÁNDO EXISTEN LAS NORMAS ISO? ..................................................................... 6
PAÍSES MIEMBROS DE LA ISO ................................................................................................... 6
¿CÓMO SE FINANCIA LA ORGANIZACIÓN ISO? .................................................................... 7
NORMAS ISO Y SUS DIFERENTES TIPOS ................................................................................. 7
LOS ESTANDARES DE CALIDAD ISO ESTANDAR ISO 9000- SOFTWARE ........................... 7
ISO 9001 ....................................................................................................................................... 7
FACTORES DE CALIDAD ISO 9126 ............................................................................................. 8
ISO 14598 – EVALUACIÓN DE PRODUCTOS DE SOFTWARE .............................................. 10
ISO/IEC 15504 SPICE .................................................................................................................... 12
¿EN QUÉ CONSISTE LA NORMA ISO/IEC 15504 SPICE? .................................................... 12
¿POR QUÉ ES IMPORTANTE LA NORMA ISO/IEC 15504? ................................................. 13
ESTRUCTURA DE LA NORMA ISO 15504 ............................................................................ 13
ISO 20000 CALIDAD DE LOS SERVICIOS TI ........................................................................... 14
SERVICIOS TI ........................................................................................................................... 15
SERVICIOS RENTABLES ........................................................................................................ 15
COMO FUNCIONA ISO/IEC 20000.......................................................................................... 15
ISO 22301 CONTINUIDAD DEL NEGOCIO ............................................................................... 17
ISO/IEC 25000 ................................................................................................................................ 18
ISO 27001 GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ....................................... 19
ELEMENTOS O FASES PARA LA IMPLEMENTACIÓN DE UN SGSI ................................ 20
IMPLANTANDO LA NORMA ISO 27001 ............................................................................... 20
BENEFICIOS DE LA NORMA ISO 27001................................................................................ 22
¿QUÉ ENTENDEMOS POR INFORMACIÓN EN ISO 27001? ............................................... 23
CONCLUSIÓN ............................................................................................................................... 24
BIBLIOGRAFÍA............................................................................................................................. 25
ANEXO ........................................................................................................................................... 26
GLOSARIO .................................................................................................................................... 27
 Resumen
ISO (Organización Internacional de Normalización) Es una organización no
gubernamental establecida en 1947 integrada por cuerpos de estandarización
nacionales de 157 países que produce normas internacionales, industriales y
comerciales con el propósito de facilitar el comercio, el intercambio de información
y contribuir con unos estándares para el desarrollo y transferencia de tecnologías.
El principal cometido de esta organización es desarrollar normativas
internacionales que favorezcan el comercio internacional. Estas normas,
promueven la evaluación objetiva de la calidad, como forma efectiva de evaluar los
procesos de un proveedor, reduciendo los riesgos basándose en el establecimiento
de criterios comunes para todo el mundo.
Los estándares internacionales hacen que las cosas funcionen. Proporcionan
especificaciones de clase mundial para productos, servicios y sistemas, para
garantizar la calidad, la seguridad y la eficiencia. Son instrumentales para facilitar
el comercio internacional.
Los estándares de calidad de software hacen parte de la ingeniería de software,
utilización de estándares y metodologías para el diseño, programación, prueba y
análisis del software desarrollado, con el objetivo de ofrecer una mayor
confiabilidad, mantenibilidad en concordancia con los requisitos exigidos, con esto
se eleva la productividad y el control en la calidad de software, parte de la gestión
de la calidad se establecen a mejorar su eficacia y eficiencia.
El Estándar de Calidad ISO 9001
El estándar, que ha sido adoptado por más de 130 países para su uso, se está
convirtiendo en el medio principal con el que los clientes pueden juzgar la
competencia de un desarrollador de software. Uno de los problemas con el estándar
ISO 9001 está en que no es específico de la industria: está expresado en términos
generales, y puede ser interpretado por los desarrolladores de diversos productos
como cojinetes de bolas, secadores de pelo, automóviles, equipamiento deportivo,
televisores, así como por los desarrolladores de software. Se han realzado muchos
documentos que relacionan el estándar con la industria del software, pero no entran
en una gran cantidad de detalles.
ISO 20000 GESTIONANDO LA CALIDAD DE SUS SERVICIOS TI
Los sistemas de tecnología de la información desempeñan un papel crítico en la
práctica totalidad de las empresas. Estos sistemas necesitan una supervisión
constante por parte de profesionales para mantenerlos actualizados y en condiciones
de funcionamiento. No obstante, imagine las consecuencias si su departamento de
tecnología de la información fuese incapaz de proporcionar los servicios que
necesita.

1
ESTANDAR 17799-Redes Es una norma internacional que ofrece recomendación
para la gestión de la seguridad de la información enfocada en el inicio, implantación
o mantenimiento de la seguridad en una organización. El objetivo de la norma es
proporcionar una base para desarrollar normas de seguridad dentro de las
organizaciones y ser una práctica eficaz de la gestión de la seguridad.
El Estándar internacional ISO/IEC 15504 denominado como Software Process
Improvement Capability Determination cuya traducción al español es
“Determinación de la Capacidad de Mejora del Proceso de Software”, también
conocido por su abreviatura SPICE nos propone un modelo para la evaluación de
la capacidad en los procesos de desarrollo de productos Software.
ISO/IEC 25000, conocida como SQuaRE (System and Software Quality
Requirements and Evaluation), es una familia de normas que tiene por objetivo la
creación de un marco de trabajo común para evaluar la calidad del producto
software.
ISO 27001 Es la norma principal de la serie y contiene los requisitos del sistema de
gestión de seguridad de la información. Este estándar internacional ha sido
preparado para proporcionar un modelo para establecer, implementar, operar,
monitorear, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la
Información (SGSI).

Introducción
Las Normas ISO tienen su origen en la Organización Internacional para la
Estandarización, ISO (International Organization for Standardization). ISO es una
organización no gubernamental, en la que se integran los organismos de
normalización de 157 países, y cuya Sede Central se sitúa en Ginebra, Suiza.
A través de sus miembros, reúne a expertos para compartir conocimientos y
desarrollar estándares internacionales voluntarios, basados en el consenso y
relevantes para el mercado, que apoyan la innovación y brindan soluciones a los
desafíos globales.
Las normas ISO se constituyen en una serie de Estándares que podemos agrupar
por familias, según los distintos aspectos relacionados con la calidad. Aunque
existen más de 18000 normas publicadas por ISO vamos a resaltar las más
importantes en cuanto a su aplicación y relevancia de los sectores para sistemas
informáticos.
Así podemos clasificar las normas según el siguiente criterio:
-Normas relacionadas directamente con la calidad.
-Normas relacionadas con la Gestión de la Seguridad.
-Normas relacionadas con la Calidad en la Investigación y Desarrollo.

2
 Justificación

La importancia del conocimiento de las normas ISO radica en dar una garantía ya
que estos estándares definen un conjunto de criterios que guían la forma en que se
aplican procedimientos y metodologías al software desarrollado, la certificación de
calidad permite una valoración independiente de la organización, donde se
demuestra la capacidad de desarrollar productos y servicios de calidad.

Planteamiento y formulación del problema

La ISO es la Organización Internacional de Normalización y se encarga de elaborar

normas internacionales que el mercado requiere y necesita dando los lineamientos
para que las organizaciones lleguen a sus clientes con productos y servicios de
calidad. Las normas son de carácter voluntario, nadie obliga o vigila su
cumplimiento, sin embargo, su uso por millones de empresas facilita el
entendimiento entre países y organizaciones y agregan un factor diferenciador a las
organizaciones que se encuentran certificadas.
Las normas ISO responden a una necesidad en el mercado.
ISO no decide cuándo desarrollar un nuevo estándar, sino que responde a una
solicitud de la industria u otras partes interesadas, como los grupos de consumidores.
Normalmente, un sector o grupo de la industria comunica la necesidad de un
estándar a su miembro nacional que luego se comunica con ISO. Los detalles de
contacto de los miembros nacionales se pueden encontrar en la lista de miembros.
Las normas ISO se basan en la opinión de expertos globales.
Las normas ISO son desarrolladas por grupos de expertos de todo el mundo, que
forman parte de grupos más grandes llamados comités técnicos. Estos expertos
negocian todos los aspectos de la norma, incluido su alcance, definiciones clave y
contenido. Los detalles se pueden encontrar en la lista de comités técnicos.
Las normas ISO se desarrollan a través de un proceso de múltiples partes
interesadas.
Los comités técnicos están formados por expertos de la industria relevante, pero
también de asociaciones de consumidores, instituciones académicas, ONG y
gobierno. Leer más sobre quien desarrolla las normas ISO.
4. Las normas ISO se basan en un consenso.
El desarrollo de normas ISO es un enfoque basado en el consenso y se tienen en
cuenta los comentarios de todas las partes interesadas.

3
 Objetivos

 Determinar los factores críticos de éxito para la implementación de estas

normas, de manera que si son satisfactorios aseguren un funcionamiento
competitivo y exitoso para la organización.
 Conocer a cerca de las normas más requeridas para la elaboración de
cualquier sistema informático.
 Asimilar la importancia y beneficios al implementar el uso de las normas
ISO.

Marco Teórico
Las Normas ISO tienen su origen en la Organización Internacional para la
Estandarización, ISO (International Organization for Standardization). ISO es una
organización no gubernamental, en la que se integran los organismos de
normalización de 157 países, y cuya Sede Central se sitúa en Ginebra, Suiza.
ISO crea documentos que proporcionan requisitos, especificaciones, pautas o
características que se pueden usar de manera consistente para garantizar que los
materiales, productos, procesos y servicios sean adecuados para su propósito.
Las primeras normativas publicadas por este organismo fueron los estándares de la
Gestión de la Calidad, en su primera edición en 1987. Nos referimos naturalmente
a la serie ISO 9000, actualmente un referente de la calidad a nivel mundial,
beneficiando tanto a los productores como a los compradores de bienes y servicios
con más de un millón de empresas certificadas en todos los continentes, liderados
por Europa con más de 500.000 empresas.
Al brindar beneficios reales y medibles a casi todos los sectores imaginables, los
estándares respaldan la tecnología en la que confiamos y garantizan la calidad que
se espera.
Al abordar todo esto y más, los estándares internacionales significan que los
consumidores pueden confiar en que sus productos son seguros, confiables y de
buena calidad. Las normas de ISO sobre seguridad vial, seguridad de juguetes y
embalaje médico seguro son solo algunas de las que ayudan a hacer del mundo un
lugar más seguro.
Los reguladores y los gobiernos cuentan con las normas ISO para ayudar a
desarrollar una mejor regulación, sabiendo que tienen una base sólida gracias a la
participación de expertos establecidos a nivel mundial.
Hay que constatar el éxito de la normalización a nivel mundial, con una tasa de
crecimiento anual en el peor de los casos de un 6%, duplicando cuanto menos el
ritmo de crecimiento de la economía mundial.

4
 Hipótesis

Los estándares internacionales hacen que las cosas funcionen. Proporcionan

especificaciones de clase mundial para productos, servicios y sistemas, para
garantizar la calidad, la seguridad y la eficiencia. Son instrumentales para facilitar
el comercio internacional.
ISO ha publicado 22407 Normas Internacionales y documentos relacionados, que
abarcan casi todas las industrias, desde tecnología, seguridad alimentaria,
agricultura y atención médica. Las Normas Internacionales ISO impactan a todos,
en todas partes.

5
 ¿Qué es ISO?
ISO son las siglas en inglés International Organization for Standardization. Se trata
de la Organización Internacional de Normalización, y se dedica a la creación de
estándares para asegurar la calidad, seguridad y eficiencia de productos y servicios.
Son las llamadas Normas ISO.
La Organización Internacional de Estandarización actualmente está presente en 162
países y es una organización no gubernamental e independiente. Actualmente hay
redactados más de 20.000 estándares que abarcan todas las industrias, desde
tecnología y seguridad alimentaria, hasta agricultura y salud.

¿Desde cuándo existen las normas ISO?

La organización ISO fue fundada en 1926 como Federación Internacional de
Asociaciones de Estandarización Nacionales (ISA). Durante la II Guerra Mundial,
fue temporalmente suspendida. Tras el estado bélico, las Naciones Unidas
propusieron la refundación de una organización de estandarización a través del
Comité de Coordinación de Estándares de las Naciones Unidas.
En 1946, representantes de 25 países se reunieron en la ciudad de Londres. Tenían
el objetivo de facilitar la coordinación de los estándares industriales, mediante la
unificación internacional. Fue durante esta reunión cuando pusieron las bases de lo
que se acabaría conociendo como ISO. Finalmente, la organización se fundó
oficialmente el 23 de febrero de 1947.
La sede de la ISO está actualmente ubicada en Ginebra, Suiza, y trabaja en 195
países.

Países miembros de la ISO

La organización de la ISO tiene 163 países miembros divididos en tres categorías:
cuerpo, corresponsales y suscriptores.
 Cuerpo: Cuerpos nacionales que son considerados la máxima
representación del país y únicos miembros de la organización con derecho
a voto.
 Corresponsales: Estos miembros no tienen su propia organización de
normalización dentro de su país. Las normas ISO actúan en estos países,
pero no participan en la creación de estos estándares.
 Subscriptores: Son países más pequeños, que pagan unas cuotas para poder
seguir el desarrollo de los estándares.

6
 ¿Cómo se financia la organización ISO?

La ISO se financia a través de otras organizaciones que presentan expertos para que
aporten el trabajo técnico, por las suscripciones de los cuerpos miembros y por la
venta de estándares.

Normas ISO y sus diferentes tipos

En la actualidad, existen más de 21.000 normas ISO diferentes. Cada una de ellas
está centrada en la estandarización o regulación de un elemento de los servicios y/o
productos. A continuación, te detallamos algunas de las normas ISO más habituales.

LOS ESTANDARES DE CALIDAD ISO ESTANDAR ISO 9000-

software
Este se ha convertido en el medio principal con el que los clientes pueden juzgar la
competencia de un desarrollador de software.

ISO 9001
La norma ISO 9001, perteneciente a la familia a de normas ISO 9000, redacta los
estándares de un Sistema de Gestión de Calidad. Lo hace mediante guías y
herramientas que aseguran la calidad de los productos y servicios de las empresas.
Todo tipo de empresas, desde pymes hasta grandes empresas, se pueden certificar
con la norma ISO 9001, independientemente de su actividad económica.
El certificado de calidad ISO 9001 está enfocado al cliente. También motiva a todos
los trabajadores de la empresa certificada e impacta sobre la dirección,
consiguiendo un aprendizaje y mejora continuos.
El estándar, que ha sido adoptado por más de 130 países para su uso, se está
convirtiendo en el medio principal con el que los clientes pueden juzgar la
competencia de un desarrollador de software. Uno de los problemas con el estándar
ISO 9001 está en que no es específico de la industria: está expresado en términos
generales, y puede ser interpretado por los desarrolladores de diversos productos
como cojinetes de bolas, secadores de pelo, automóviles, equipamiento deportivo,
televisores, así como por los desarrolladores de software. Se han realzado muchos
documentos que relacionan el estándar con la industria del software, pero no entran
en una gran cantidad de detalles.
Para la industria del software los estándares relevantes son:

7
• ISO 9001: este es un estándar que describe el sistema de calidad utilizado para
mantener el desarrollo de un producto que implique diseño.
• ISO 9000-3: este es un documento específico que interpreta el ISO 9001 para el
desarrollador de software.
• ISO 9004-2: este documento proporciona las directrices para el servicio de
facilidades del software como soporte de usuarios.
Los requisitos se agrupan bajo 20 títulos:
• Responsabilidad de la gestión
• Inspección, medición y equipo de pruebas
• Sistema de calidad
• Inspección y estado de pruebas
• Revisión de contrato
• Acción correctiva
• Control de diseño
• Control de producto no aceptado
• Control de documento
• Tratamiento, almacenamiento, empaquetamiento y entrega
• Compras
• Producto proporcionado al comprador
• Registros de calidad
• Identificación y posibilidad de seguimiento del producto
• Auditorías internas de calidad
• Formación
• Control del proceso
• Servicios
• Inspección y estado de pruebas
• Técnicas estadísticas.

Factores de calidad ISO 9126

El estándar ISO 9126 ha sido desarrollado en un intento de identificar los atributos
clave de calidad para el software. El estándar identifica 6 atributos clave de calidad:

8
• Funcionalidad: el grado en que el software satisface las necesidades indicadas por
los siguientes subatributos: idoneidad, corrección, interoperabilidad, conformidad
y seguridad.

• Confiabilidad: cantidad de tiempo que el software está disponible para su uso.

Está referido por los siguientes subatributos: madurez, tolerancia a fallos y facilidad
de recuperación.

• Usabilidad: grado en que el software es fácil de usar. Viene reflejado por los
siguientes subatributos: facilidad de comprensión, facilidad de aprendizaje y
operatividad.

• Eficiencia: grado en que el software hace óptimo el uso de los recursos del sistema.
Está indicado por los siguientes subatributos: tiempo de uso y recursos utilizados.

• Facilidad de mantenimiento: la facilidad con que una modificación puede ser

realizada. Está indicada por los siguientes subatributos: facilidad de análisis,
facilidad de cambio, estabilidad y facilidad de prueba.

• Portabilidad: la facilidad con que el software puede ser llevado de un entorno a

otro. Está referido por los siguientes subatributos: facilidad de instalación, facilidad
de ajuste, facilidad de adaptación al cambio.

ISO 12207 – Modelos de Ciclos de Vida del Software.

Estándar para los procesos de ciclo de vida del software de la organización, Este
estándar se concibió para aquellos interesados en adquisición de software, así como
desarrolladores y proveedores. El estándar indica una serie de procesos desde la
recopilación de requisitos hasta la culminación del software.
El estándar comprende 17 procesos lo cuales son agrupados en tres categorías:
· Principales
· de apoyo
· de organización

9
Este estándar agrupa las actividades que se pueden llevar a cabo durante el ciclo de
vida del software en cinco procesos principales, ocho procesos de apoyo y cuatro
procesos organizativos.

Esquema representacional de la ISO 12207

ISO 14598 – Evaluación de productos de software

La norma ISO/IEC 14598 es un estándar que proporciona un marco de trabajo

para evaluar la calidad de todo tipo de producto software e indica los requisitos
para los métodos de medición y el proceso de evaluación, proporcionando
métricas y requisitos para los procesos de evaluación, a través de 6 etapas.

10
 ISO/IEC 14598-1 Visión General: establece un resumen de las otras cinco
etapas, explica la relación entre la evaluación del producto software y el
modelo de calidad.
Actividades: (Establecer los requerimientos de evaluación, Especificar la
evaluación, Planear la evaluación, Ejecutar la evaluación).
 ISO/IEC 14598-2 Planificación y Gestión: contiene requisitos y guías para
las funciones de soporte tales como la planificación y gestión de la
evaluación del producto del software.
Actividades: (Preparación de políticas, definición de objetivos,
Identificación de la tecnología, Asignación de responsabilidades,
Evaluación de software desarrollado y adquirido).
 ISO/IEC 14598-3 Proceso de desarrolladores: Lo utiliza las organizaciones
que planean desarrollar un producto o mejorar uno existente, realiza
evaluaciones de producto utilizando indicadores que puede predecir la
calidad de los productos finales.
Actividades: (Organización, Planeamiento, Especificaciones, Diseño,
Montaje)
 ISO/IEC 14598-4 Proceso de comparadores: Lo utilizan las organizaciones
que pretenden comparar o rehusar un producto de software existente, se
aplica con el propósito de aceptación de un producto.
Actividades: (Requerimientos, Especificación evaluación, Diseño
evaluación, Ejecución evaluación).
 ISO/IEC 14598-5 Proceso evaluadores: este proceso es utilizado por
organizaciones encargadas de evaluar, provee los requisitos y guías para la
evaluación del producto software. Promueve las siguientes características
de proceso (repetible, Reproducible; Imparcial, Objetivo)
Actividades: (Trazabilidad, Resultados, Problemas, Mejoras,
Conclusiones).
 ISO/IEC 14598-6 Modulo evaluación: Especifica las mediciones que van a
ser tomadas sobre los atributos de calidad que se definieron en la etapa
anterior, provee las guías para la documentación de la evaluación.
Actividades: (Introducción, Alcance, Entradas, Resultados)

11
La Norma ISO-14598 proporciona un marco de trabajo para evaluar la calidad de
todos los tipos de software, indicando los requisitos que serán medidos, y
analizados en este proceso. Implementar estándares que garanticen una correcta
evaluación al software y mitigar los errores que pueda presentar cundo se esté
ejecutando.

ISO/IEC 15504 SPICE

El Estándar internacional ISO/IEC 15504 denominado como Software Process
Improvement Capability Determination cuya traducción al español es
«Determinación de la Capacidad de Mejora del Proceso de Software», también
conocido por su abreviatura SPICE nos propone un modelo para la evaluación de
la capacidad en los procesos de desarrollo de productos Software.
ISO/IEC 15004 SPICES se trata pues de una herramienta con los siguientes
objetivos:
 Proponer y desarrollar un estándar de evaluación de procesos de software.
 Evaluar su desempeño mediante su experimentación en la industria
emergente del desarrollo Software.
Promover la transferencia de tecnología de la evaluación de procesos de software a
la industria del software a nivel mundial.
Es evidente que los procesos de desarrollo en una industria emergente como el
Software, que continuamente aporta nuevos escenarios tecnológicos debe contar
con una herramienta de evaluación de la madurez de sus procesos que
continuamente este siendo evaluada por la industria de la que a su vez se nutre para
crecer y aportar conocimiento al resto del panorama industrial.

¿EN QUÉ CONSISTE LA NORMA ISO/IEC 15504 SPICE?

La norma SPICE establece requisitos para una evaluación de procesos y los
modelos de evaluación pretendiendo que estos requisitos puedan ser aplicados en
cualquier modelo de evaluación en una organización.
En general, los requisitos para la evaluación de procesos comprenden:
 Evaluación de procesos
 Mejora de procesos
 Evaluación de la capacidad y/o madurez de los procesos
Por otro lado, en cuanto a otros aspectos como el ciclo de vida la norma SPICE
también establece requisitos para la evaluación de procesos para las fases de ciclo
de vida del software que se definen en la norma ISO/IEC 12207, así como requisitos

12
para la evaluación de procesos las fases del ciclo de vida del sistema definidos en
el estándar ISO/IEC 15288.
En la norma SPICE también encontramos requisitos que puede ser utilizada para la
evaluación de procesos relacionados con el desarrollo de servicios TIC los cuales
son definidos en la norma ISO/IEC 20000

¿POR QUÉ ES IMPORTANTE LA NORMA ISO/IEC 15504?

El vertiginoso crecimiento de la industria del Software en los últimos tiempos hace
necesario la imposición de estándares para la certificación de los procesos de
desarrollo que acrediten a las empresas de cara a un mercado cada vez más
internacional y competitivo.
Por otro lado, los organismos oficiales imponen la necesidad de garantizar un
proceso de evaluación rigurosa de la capacidad de procesos TI de sus empresas
contratistas como único medio para una evaluación formal basada en la evidencia.
En este escenario vemos como la administración electrónica en España exige a sus
contratistas dentro del “Acuerdo marco para los servicios de desarrollo de sistemas
de administración electrónica” una metodología basada en alguno de los siguientes
modelos o certificaciones:
El modelo CMMI-DEV v.1.3 (Capability Maturity Model Integration for
evelopment), en el nivel de madurez 3 o superior.
El modelo de Madurez de la Ingeniería del Software (Norma ISO 15504), en el
nivel de madurez 3 o superior.
Como conclusión podemos afirmar que una empresa del ámbito del desarrollo de
sistemas informáticos que no cuente con algún sistema de gestión de calidad o de
evaluación de sus procesos de desarrollo software tiene muy difícil situarse en un
mercado competitivo o concurrir a cualquier licitación pública o privada,

ESTRUCTURA DE LA NORMA ISO 15504

ISO 15504 consta de 10 partes que se han ido publicando por separado desde 2003
a 2011:
ISO 15504. Parte 1. Conceptos y vocabulario
ISO 15504. Parte 2. Realización de una evaluación
ISO 15504. Parte 2. Llevando a cabo una evaluación. Guía para la realización de la
evaluación
ISO 15504. Parte 4. Guía sobre el uso para la mejora del proceso y la determinación
de la capacidad del proceso
ISO 15504. Parte 5. Un ejemplo de modelo de evaluación de procesos del ciclo de
vida del software (según ISO/IEC 12207)

13
ISO 15504. Parte 6. Un ejemplo de modelo de evaluación del ciclo de vida del
sistema (Según ISO/IEC 15288)
ISO 15504. Parte 7. Evaluación de madurez organizacional
ISO 15504. Parte 8. Un modelo ejemplar de evaluación de procesos para la gestión
de servicios de TI (Según ISO/IEC 20000)
ISO 15504. Parte 9. Perfiles de proceso objetivo
ISO 15504. Parte 10.Extensión de seguridad.

ISO 20000 CALIDAD DE LOS SERVICIOS TI

ISO 20000 GESTIONANDO LA CALIDAD DE SUS SERVICIOS TI

Los sistemas de tecnología de la información desempeñan un papel crítico en la
práctica totalidad de las empresas. Estos sistemas necesitan una supervisión
constante por parte de profesionales para mantenerlos actualizados y en condiciones
de funcionamiento. No obstante, imagine las consecuencias si su departamento de
tecnología de la información fuese incapaz de proporcionar los servicios que
necesita.
La Organización Internacional de Estandarización (ISO), a través de las normas
recogidas en ISO / IEC 20000, establece una implementación efectiva y un
planteamiento estructurado para desarrollar servicios de tecnología de la
información fiables en lo referente a la gestión de servicios de TI.
La certificación permite demostrar de manera independiente que los servicios
ofrecidos cumplen con las mejores prácticas.
La Norma ISO 20000 consta de:
 13 procesos definidos.
 Un proceso de planificación e implementación de servicios
 Requisitos de un sistema de gestión.
 Ciclo de mejora continua (PDCA).
Esta norma se presenta como el estándar internacional (ISO) para la gestión de
servicios TI y que ha sido aceptado como un referente en este campo por la
mayoría de los países del mundo.
El objetivo de ISO 20000 es doble:

Ayudar a las empresas a conseguir servicios de TI más efectivos

Incorporar las mejores prácticas internacionales en la Gestión de Servicios TI
(ITSM)

14
SERVICIOS TI
Cuando nos referimos a servicios TI nos estamos refiriendo a servicios cuya
provisión depende de las tecnologías de la información y que pueden ser tanto
Servicios a Clientes externos o servicios brindados a partes internas de la
organización y necesarios para el desarrollo de la actividad de su negocio
En el objetivo de mejorar la gestión de servicios TI ISO 20000 nos proporciona
o Un conjunto de procesos de administración de servicios TI
o Un conjunto de buenas prácticas internacionales

SERVICIOS RENTABLES
Las inversiones en Tecnologías de la información para la provisión de servicios
tanto internos como a clientes son de vital importancia en las organizaciones
afectando tanto a sus operaciones como a sus formas de comunicación, marketing
etc.
Es por ello que la gestión de los servicios TI supone para muchas organizaciones
un elemento fundamental de cómo hacer negocios
En este escenario, cualquier organización basada en servicios TI para alcanzar
objetivos tales como, adelantar a sus competidores, conseguir mayor cuota de
mercado o conseguir mayor rentabilidad y eficiencia, debe plantearse una
metodología probada para conseguir estas mejoras. Este es el campo de aplicación
de la norma ISO 20000, que en definitiva no persigue otro objetivo que conseguir
mejorar los ingresos, la reputación organizacional y reducir costos de operación
para ser más competitivos.

COMO FUNCIONA ISO/IEC 20000

Para conseguir mejorar la rentabilidad de los servicios TI, ISO 20000 nos permite
obtener servicios bien planificados, diseñados, administrados y entregados. En
definitiva, solo mediante una gestión de servicios de TI de alta calidad evitaremos
que los proyectos de TI tengan fallos reiterados o rebasan el presupuesto por
costes mal calculados difíciles de administrar y que nos pueden conducir a un
fracaso en el negocio.
La familia de Normas ISO 20000 se compone de 8 partes, aunque las más
utilizadas son las partes 1 y 2 donde los requisitos para la certificación de un
sistema de gestión ISO 20000 se encuentran solo en ISO 20000-1.
20000-1: REQUISITOS DEL SISTEMA DE GESTIÓN DE SERVICIOS
Requisitos para el establecimiento de un sistema de gestión de Servicios TI
incluyendo el diseño, la transición, la entrega y la mejora de los servicios TI.
Se trata de una descripción de los procesos para planificar, implementar, operar,
monitorear, revisar, mantener y mejorar un sistema de gestión de servicios

15
20000-2: GUÍA PARA A APLICACIÓN DE SISTEMAS DE GESTIÓN DE
SERVICIOS
Guía aplicación de sistemas de gestión de servicios según los requisitos de ISO /
IEC 20000-1.
20000-3: PROVEEDORES DE SERVICIO
Se trata de una guía para ayudar a las empresas a definir el alcance de la
aplicación de la norma ISO/IEC 20000-1 así como para la definición de la
conformidad con sus requisitos.
20000-4: MODELO DE EVALUACIÓN DE PROCESOS.
Describe el modelo para realizar una evaluación de procesos de provisión de
servicios TI según los requisitos de la norma ISO 15504. Contiene tanto los
requisitos para realizar la evaluación y una escala de medición para evaluar la
capacidad del proceso.
20000-5: UN EJEMPLO DE PLAN DE IMPLEMENTACIÓN PARA ISO / IEC
20000-1
Contiene recomendaciones para proveedores de servicios sobre la mejor manera
de cumplir con los requisitos de ISO / IEC 20000-1 estableciendo un plan de
implementación gradual de la norma en tres fases.
El modelo de implementación propuesto también contiene ejemplos de políticas
sobre provisión de servicios TI que cada proveedor puede adaptar para satisfacer
los requisitos de la norma y los propios de cada organización
Esta guía además provee una orientación sobre la gestión de la documentación,
incluyendo plantillas para algunos de los documentos especificados en ISO / IEC
20000-1: 2011 que pueden modificarse para adaptarse a las circunstancias
individuales.
20000-9: GUÍA PARA LA APLICACIÓN DE ISO / IEC 20000-1 A SERVICIOS
EN LA NUBE
Se trata de una guía para implementar ISO / IEC 20000-1: 2011 en proveedores de
servicios que ofrecen servicios en la nube (Cloud Services). Es aplicable a
diferentes categorías de servicios en la nube, como las definidas en ISO / IEC
17788 / ITU-T Y.3500 e ISO / IEC 17789 / ITU-T Y.3502. Cubre todo tipo de
servicios en la nube tales como
a) Servicio (IaaS) – Infraestructuras
b) Servicios (PaaS) – Plataformas
c) Servicio (SaaS) – Software
La aplicabilidad de ISO / IEC 20000-1 es independiente del tipo de tecnología o
modelo de servicio utilizado para prestar los servicios. Todos los requisitos en

16
ISO / IEC 20000-1 pueden ser aplicables a los proveedores de servicios en la
nube.
La guía se presenta como un conjunto de escenarios que pueden abordar muchas
de las actividades típicas de un proveedor de servicios en la nube.
20000-10: CONCEPTOS Y TERMINOLOGÍA
Contiene conceptos básicos de ISO / IEC 20000 y lo que es más interesante, cómo
son las relaciones entre ISO / IEC 20000 y otras normas internacionales e
informes técnicos con una explicación de la terminología utilizada en ISO / IEC
20000, para poder interpretar los conceptos correctamente.
20000-11: GUÍA SOBRE LA RELACIÓN ENTRE ISO 20000-1:2011 Y
MODELOS DE GESTIÓN DE SERVICIOS: ITIL
Se trata de un informe técnico sobre la relación entre ISO / IEC 20000-1 y un
marco de gestión de servicios de uso común, ITIL.
Puede ser utilizado por cualquier organización o persona que desee comprender
cómo se puede usar ITIL con ISO / IEC 20000? 1: 2011, incluye recomendaciones
para integrar ITIL con ISO 20000 así como una relación de causas, procesos y
términos incluidos en ambas normas
20000-12: GUIA SOBRE LA INTEGRACION ENTRE ISO/IEC 20000-1:2011 Y
MODELOS DE GESTIÓN DE SERVICIOS: CMMI-SVC
Se trata de una guía sobre la relación entre ISO / IEC 20000-1: 2011 y CMMI-
SVC V1.3 (hasta el nivel de madurez 3).
Contiene recomendaciones para integrar CMMI-SVC con los requisitos de la
norma ISO 20000-1 relacionando las áreas de proceso en CMMU con las
cláusulas de la norma ISO 20000.

ISO 22301 CONTINUIDAD DEL NEGOCIO

Desde una perspectiva histórica reciente la norma ISO 22301 ha sido una
conclusión de los esfuerzos del ámbito empresarial internacional por obtener un
estándar que nos ayude a gestionar la Continuidad de un negocio y/o actividades
de una organización. Como precedente a este estándar nos encontramos con la
norma británica BS 259999 que actuó como base e impulsora de la actual ISO
22301 Gestión de la Continuidad del Negocio publicada por la Organización
Internacional de estandarización ISO
Las claves para entender la norma ISO 22301 pasan entender que se trata de:
 Establecer una base común de conocimiento para entender la continuidad
del Negocio
 Desarrollar e implantar una política de Continuidad del Negocio en una
organización

17
  Acreditar la conformidad y compromiso de una organización con las
mejores prácticas internacionales en Continuidad del Negocio.
EL principal objetivo de esta norma es mantener la continuidad de las actividades
de una organización, proteger sus intereses defendiendo los intereses de sus
empleados y partes interesadas, mantener la reputación su reputación ante
cualquier amenaza o circunstancia adversa.

ISO/IEC 25000
Esta proporciona una guía para el uso de las nuevas series de estándares
internacionales, llamados Requisitos y Evaluación de Calidad de Productos de
Software (SQuaRE). Es una norma que se basa en la ISO 9126 y 14598 y su
principal objetivo es determinar una guía para el desarrollo de los productos de
software con la especificación y evaluación de requisitos de calidad. Establece
criterios para la especificación de requisitos de calidad de productos software, sus
métricas y su evaluación. El producto de software debe incorporar unas
características, de tal manera que se garantice su eficiencia de uso a los
requerimientos de los clientes. Se recomienda que los requisitos de calidad deban
ser proporcionales a las necesidades de la aplicación y lo crítico que sea el correcto
funcionamiento del sistema implementado.
La norma se compone por las siguientes divisiones:
 ISO/IEC 2500n. División de gestión de calidad. esta división define todos
los modelos comunes, términos y referencias a los que se alude en las demás
divisiones de SQuaRE.
 ISO/IEC 2501n. División del modelo de calidad. presenta un modelo de
calidad detallado, incluyendo características para la calidad interna, externa
y en uso.
 ISO/IEC 2502n. División de mediciones de calidad. Presenta un modelo de
referencia de calidad del producto software, definiciones matemáticas de las
métricas de calidad y una guía práctica para su aplicación. Presenta
aplicaciones de métricas para la calidad de software interna, externa y en
uso.
 ISO/IEC 2503n. División de requisitos de calidad. ayuda a especificar los
requisitos de calidad. Estos requisitos pueden ser usados en el proceso de
especificación de requisitos de calidad para un producto software que va a
ser desarrollado o como entrada para un proceso de evaluación. El proceso
de definición de requisitos se guía por el establecido en la norma ISO/IEC
15288 (ISO, 2003).
 ISO/IEC 2504n. División de evaluación de la calidad. proporciona
requisitos, recomendaciones y guías para la evaluación de un producto
software, tanto si la llevan a cabo evaluadores, como clientes o
desarrolladores.

18
  ISO/IEC 25050–25099. Estándares de extensión SQuaRE. Incluyen
requisitos para la calidad de productos de software “Off-The-Self” y para el
formato común de la industria (CIF) para informes de usabilidad.
Esta norma define tres vistas diferentes respecto al estudio de la calidad de un
producto software:
 Vista interna: se ocupa de las propiedades del software como: el tamaño, la
complejidad o la conformidad con las normas de orientación a objetos. Esta
vista puede utilizarse desde las primeras fases del desarrollo para detectar
deficiencia del software.
 Vista externa: analiza el comportamiento del software en producción y
estudia sus atributos, por ejemplo: el rendimiento de un software en una
máquina determinada, el uso de memoria de un programa o el tiempo de
funcionamiento entre fallos. Esta vista se utiliza una vez el software este
completo y listo para producción.
 Vista en uso: mide la productividad y efectividad del usuario final al utilizar
el software. Esta vista se utiliza una vez el software esté listo y será evaluado
por el cliente y dependerá de los factores determinantes del mismo.

ISO 27001 GESTIÓN DE LA SEGURIDAD DE LA

INFORMACIÓN
Para el fin de preservar la información, se ha demostrado que no es suficiente la
implantación de controles y procedimientos de seguridad realizados frecuentemente
sin un criterio común establecido, en torno a la compra de productos técnicos y sin
considerar toda la información esencial que se debe proteger.
La Organización Internacional de Estandarización (ISO), a través de las normas
recogidas en ISO / IEC 27000, establece una implementación efectiva de la
seguridad de la información empresarial desarrolladas en las normas ISO 27001 /
ISO 27002.
Los requisitos de la Norma ISO 27001 norma nos aportan un Sistema de Gestión
de la Seguridad de la Información (SGSI), consistente en medidas orientadas a
proteger la información, indistintamente del formato de la misma, contra cualquier
amenaza, de forma que garanticemos en todo momento la continuidad de las
actividades de la empresa.
Los Objetivos del SGSI son preservar la:
 Confidencialidad
 Integridad
 y Disponibilidad de la Información

19
ELEMENTOS O FASES PARA LA IMPLEMENTACIÓN DE UN
SGSI
El Sistema de Gestión de La Seguridad de la Información que propone la Norma
ISO 27001 se puede resumir en las siguientes fases que se detallan en la figura:

IMPLANTANDO LA NORMA ISO 27001

A la hora de implantar un Sistema de Gestión de la Seguridad de la Información
(SGSI) según la norma ISO 27001, debemos considerar como eje central de este
sistema la Evaluación de Riesgos. Este capítulo de la Norma, permitirá a la
dirección de la empresa tener la visión necesaria para definir el alcance y ámbito
de aplicación de la norma, así como las políticas y medidas a implantar,
integrando este sistema en la metodología de mejora continua, común para todas
las normas ISO.

20
Lo primero, es elegir una metodología de evaluación del riesgo apropiada para los
requerimientos del negocio. Existen numerosas metodologías estandarizadas de
evaluación de riesgos. Aquí explicaremos la metodología sugerida en la Norma.

Las fases de esta metodología son los siguientes:

1.- Identificar los Activos de Información y sus responsables, entendiendo por

activo todo aquello que tiene valor para la organización, incluyendo soportes físicos
(edificios o equipamientos), intelectuales o informativas (Ideas, aplicaciones,
proyectos ...) así como la marca, la reputación etc.
2.- Identificar las Vulnerabilidades de cada activo: aquellas debilidades propias del
activo que lo hacen susceptible de sufrir ataques o daños.
3.- Identificar las amenazas: Aquellas cosas que puedan suceder y dañar el activo
de la información, tales como desastres naturales, incendios o ataques de virus,
espionaje etc.

21
4.- Identificar los requisitos legales y contractuales que la organización está
obligada a cumplir con sus clientes, socios o proveedores.
5.- Identificar los riesgos: Definir para cada activo, la probabilidad de que las
amenazas o las vulnerabilidades propias del activo puedan causar un daño total o
parcial al activo de la información, en relación a su disponibilidad, confidencialidad
e integridad del mismo.
6.- Cálculo del riesgo: Este se realiza a partir de la probabilidad de ocurrencia del
riesgo y el impacto que este tiene sobre la organización (Riesgo = impacto x
probabilidad de la amenaza). Con este procedimiento determinamos los riesgos que
deben ser controlados con prioridad.
7.- Plan de tratamiento del riesgo: En este punto estamos preparados para definir la
política de tratamiento de los riesgos en función de los puntos anteriores y de la
política definida por la dirección. En este punto, es donde seleccionaremos los
controles adecuados para cada riesgo, los cuales irán orientados a:
 Asumir el riesgo
 Reducir el riesgo
 Eliminar el riesgo
 Transferir el riesgo

BENEFICIOS DE LA NORMA ISO 27001

Los riesgos de seguridad de la información representan una amenaza considerable
para las empresas debido a la posibilidad de pérdida financiera o daño, la pérdida
de los servicios esenciales de red, o de la reputación y confianza de los clientes.
La gestión de riesgos es uno de los elementos clave en la prevención del fraude
online, robo de identidad, daños a los sitios Web, la pérdida de los datos personales
y muchos otros incidentes de seguridad de la información. Sin un marco de gestión
de riesgos sólida, las organizaciones se exponen a muchos tipos de amenazas
informáticas.
La nueva norma internacional ISO / IEC 27001 - seguridad de la información,
ayudará a las organizaciones de todo tipo para mejorar la gestión de sus riesgos de
seguridad de la información.
Hoy en día, seguridad de la información está constantemente en las noticias con el
robo de identidad, las infracciones en las empresas los registros financieros y las
amenazas de terrorismo cibernético. Un sistema de gestión de seguridad de la
información (SGSI) es un enfoque sistemático para la gestión de la información
confidencial de la empresa para que siga siendo seguro. Abarca las personas,
procesos y sistemas de TI.

22
El diseño y la implementación de un SGSI (ISO / IEC 27001:2005) dará confianza
a clientes y proveedores que la seguridad de la información se toma en serio dentro
de la organización, estando a la vanguardia en la aplicación de la técnica de
procesos para hacer frente a las amenazas de la información y a y los problemas de
la seguridad.

¿QUÉ ENTENDEMOS POR INFORMACIÓN EN ISO 27001?

Sin duda, gran parte de la Información de una empresa se encuentra en los sistemas
informáticos, sin embargo, la Norma ISO 27001 define la información como:

La información es un activo que, como otros activos importantes del negocio, tiene
valor para la organización y requiere en consecuencia una protección adecuada a
información adopta diversas formas. Puede estar impresa o escrita en papel,
almacenada electrónicamente, transmitida por correo o por medios electrónicos,
mostrada en video o hablada en conversación. Debería protegerse adecuadamente
cualquiera que sea la forma que tome o los medios por los que se comparta o
almacene.
Atendiendo a este concepto, ISO 27001 propone un marco de gestión de la
seguridad de toda la información de la empresa, incluso si es información
perteneciente al propio conocimiento y experiencia de las personas o sea tratada en
reuniones etc. En este sentido las propias personas pueden ser tratadas en el SGSI
como activos de información si así se cree conveniente.
Por tanto, no debemos centrar la atención solamente en los sistemas informáticos
por mucho que tengan hoy en día una importancia más que relevante en el
tratamiento de la información ya que de otra forma, podríamos dejar sin proteger
información que puede ser esencial para la actividad de la empresa.

23
 Conclusión
Las Normas Internacionales ISO tocan a todos. Desde permitirle usar su tarjeta
bancaria en el extranjero hasta asegurarse de que los juguetes de su hijo no tengan
bordes afilados, se usan en todas partes. Las normas ISO, seguidas por empresas de
todo el mundo, proporcionan especificaciones para garantizar que los productos y
servicios funcionen de la manera en la que se espera. Además, ayudan a mejorar la
satisfacción del cliente. En un mundo donde la voz del cliente es cada vez más
prominente, este es un requisito comercial esencial. Es por eso que los
representantes de los consumidores desempeñan un papel integral en el desarrollo
de estándares.

24
 Bibliografía

-Estándares de Calidad, Luis Lozano, 2013 disponible en:

http://estandarescalidadsoftware.blogspot.com/
-Estándares ISO para el Desarrollo de Software, tecnomaestros disponible en:
http://tecnomaestros.awardspace.com/estandares_iso.php
-Organización Internacional de Normalización disponible en:
https://www.iso.org/benefits-of-standards.html
-ISO 15504, Normas ISO, Disponible en: http://www.normas-iso.com/iso-iec-
15504-spice/
- Normas ISO TICs según el modelo AENOR, Javier Garzás,2014 disponible en:
http://www.javiergarzas.com/2014/06/normas-iso-para-tecnologia.html
- ¿Qué es ISO?, SPG Sistemas y Procesos de Gestión, Certificación, disponible en:
https://www.certificadoiso9001.com/que-es-iso/

25
Anexo

26
 Glosario

IEC: International Electrotechnical Commission (Comisión Electrotécnica

Internacional).
Servicios TI: Servicios de tecnologías de la información.
PDCA: círculo PDCA (del inglés plan-do-check-act, esto es, planificar-hacer-
verificar-actuar).
ITIL: Biblioteca de Infraestructura de Tecnologías de Información (Information
Technology Infrastructure Library, sus siglas en inglés).
SGSI: Sistema de Gestión de la Seguridad de la Información.

27