Академический Документы
Профессиональный Документы
Культура Документы
Calidad para
Tecnologas de
la Informacin.
-TICs Carlos Manuel Fdez.
CISA, CISM
Product Manager
Certificacin TICs
eptiembre-07
AENOR
AENOR
La Asociacin Espaola de Normalizacin y
Certificacin (AENOR), creada en 1986, es una
entidad espaola, privada, independiente, sin
nimo de lucro, reconocida en los mbitos
nacional, comunitario e internacional, que
contribuye, mediante el desarrollo de las
actividades normalizacin y certificacin, a
mejorar la calidad en las empresas, sus
productos y servicios, as como proteger el medio
ambiente y, con ello, el bienestar de la
sociedad . (de la informacin).
AENOR
Asociacin privada
Sin nimo de lucro
Constitucin: 1986
Real decreto 2200/95
AENOR Corporacin.
AENOR INTERNACIONAL (9 filiales).
AENOR Mxico (10 aos en
Mxico DF y Delegaciones) .
Multisectorial
Normalizacin
Certificacin productos, servicios,
sistemas de gestin y personal
Servicios de Formacin.
Compromisos de AENOR
(I)
Compromisos de AENOR
(II)
siguientes
Datos relevantes:
25.700 normas UNE en catlogo
1.730 normas elaboradas en 2006
184 Comits Tcnicos de Normalizacin
Sistemas de Gestin
Integrados
Sistemas de Gestin
Integrados
Sistemas de Gestin
Integrados
Sistemas de Gestin
Integrados
Marcas de AENOR
Sistemas de Gestin
Integrados
Software
Otras certificaciones
INDICE
La Gestin de las TICs alineada al Negocio.
Calidad, competitividad e innovacin.
SGSIT ( UNE ISO 20000-1 y UNE ISO
20000-2)
SGSI (UNE ISO 27001)
Certificaciones SGSI y SGSSTI
Futuro del SGSI y SGSTI.
Bussines Continuity
Management. BSI standard
IT
Governance
Proyectos
ISO 12207
Ciclo
Ciclo de
de Vida
Vida de
de Desarrollo
Desarrollo de
de
Software
Software
Adicionalmente:
Certificacin Accesibilidad
TIC Sitios WEB.
Infraestructura CPD
Buenas Prcticas Comercio
Electrnico
AENOR
Software Original
Procesos /
Servicios
SAM
ISO 19770
Software Asset
Management
SGSTI
ISO 20000-1
Sistema de Gestin
Servicios IT
ISO
20000-2
Gua
Gua de
de Buenas
Buenas
Prcticas
Prcticas
SGSI
ISO 27001
Sistema de Gestin
Seguridad de la
Informacin
ISO
17799:2005
Gua
Gua de
de
Controles
Controles
rea de Desarrollo:
Spice ISO 15504 :
PDCA
(Motor)
M
E
T
SGSI
ISO 27001
SGSIT
ISO 20000-1
A
S
ISO..
(Conocimiento)
ISO..
D
E
ISO17799
ISO 20000-2
(ITIL)
LIBRERA
INFRAESTRUCTURA
CPD
I
M
P
L
A
N
T
A
CI
O
N
Certificacin
de Sistemas de
Gestin en las
TICs : la
calidad de los
servicios de
TICs. : La
solucin
orientada a los
objetivos del
negocio
AENOR
Conclusiones:
La Direccin de las cas. Tiene una percepcin ms positiva de
los CIOs que siguen crtierios de Negocio. Les dan el rol de
lderes contribuidores de negocio en un 58%.
La Gestin de las TICs mejora el posicionamiento del dpto. de
SI y del CIO.
En un futuro los CIOS ms gestores y menos tecnlogos.
(Encuesta a : 85 Directores de TICs, 36 Dir. Generales y 12
Presidentes ).
Se basa:
Probar
Probar
Construi
Construi
rr
Gestin
Gestin del
del Nivel
Nivel
de
servicio
de servicio
USUARIO
Peticin
Cambio RfC
Servicios de Soporte
(operacional)
(operacional)
Diseo y
Gestin
del
Servicio
Gestin
Gestin
Financiera
Financiera
Gestin
Gestin de
Disponibilida
Disponibilida
d
d
Gestin
Gestin de
de
Capacidad
Capacidad
CMDB
Gestin
Gestin de
de Cambios
Cambios
Gestin
Gestin de
de
Incidencias
Incidencias
Gestin
Gestin de
de
Problemas
Problemas
Gestin
Gestin de
de
Configuraci
Configuraci
n
Produccin
Produccin
SERVICIO
Gestin
Gestin de
de Continuidad
Continuidad
Gestin
Gestin de
de
Entrega
Entrega
PROVEEDORES
Gestin
Gestin del
Account
Account
de Seguridad
Gestin de
CLIENTE
(tctico)
Service Desk
Desk
Service
Entrega de Servicios
IPW
Workflow de implementacin de procesos
Gestin de la continuidad y
disponibilidad del servicio
Procesos de control
Proceso de entrega
Gestin de la entrega
Gestin de la configuracin
Gestin del cambio
Procesos de resolucin
Gestin de la Seguridad de
la Informacin
Elaboracin de presupuestos y
contabilidad de los servicios de
TI.
Procesos de relaciones
Gestin de relaciones de
negocio.
Gestin de suministradores.
AENOR
Planificar la implementacin y
prestacin de la Gestin de
servicios
P
ISO 20000-parte 2
(Procesos-Gua)
1.- Gestin del Nivel de Servicio
2-.Informes del Servicio
3.-Gestin de la Capacidad
4.-Gestin de la continuidad y de la
disponibilidad del servicio
5.-Gestin de la Seguridad de la Informacin
6.- Gestin de Presupuestos y contabilidad de
los servicios
7.-Gestin de Incidencias
8.- Gestin de Problemas
9.- Gestin de Configuracin
10.- Gestin del Cambio
11.- Gestin de relaciones con el Negocio
12. Gestin de Proveedores
13: Gestin de la entrega
Manual de SGSIT
Nivel 1
Poltica(s), alcance
Nivel 2
Nivel 3
Nivel 4
Procedimientos
Instrucciones de trab
listas de comprobac
formularios, etc.
Registros
Certificacin
de Sistemas de
Gestin en las
TICs : la
Seguridad de
los SI. La
solucin a los
Riesgos
Empresariales
AENOR
Riesgos Empresariales
PDCA
(Motor)
M
E
T
SGSI
ISO 27001
SGSIT
ISO 20000-1
A
S
ISO..
(Conocimiento)
ISO..
D
E
ISO17799
ISO 20000-2
(ITIL)
LIBRERA
INFRAESTRUCTURA
CPD
I
M
P
L
A
N
T
A
CI
O
N
AENOR
QU PRESERVAR?
Cada organizacin tiene que preservar 3 CARACTERSTICAS
asociadas a la informacin:
CONFIDENCIALIDAD
DISPONIBILIDAD
Asegurar que los usuarios
autorizados tienen acceso
cuando lo requieran a la
informacin y sus activos
asociados.
INTEGRIDAD
Garantizar la exactitud y
completitud de la informacin y los
mtodos de su proceso
IEC 17799:2005
1 Poltica de Seguridad de Informacin
2 Estructura organizativa de la SI
7 Control de accesos
AENOR
Certificacin SGSI
MODELO PDCA Plan-Do-Check-Act
Procesos
Activos de SI
Sistemas de
informacin
(aplicativos)
Software
Hardware
Telecomunicaciones
Personas
S.G.S.I.
Anlisis y Gestin de
riesgos
R=F(X1,X2,X3,Xn)
Integridad (X1)
Confidencialidad (X2)
Disponibilidad (X3)
Amenazas (X4)
Vulnerabilidades (X5)
Impacto Econmico (X6)
XN
Riesgo Residual
Activo1-------R1
Activo2-------R2
Aplicando
UNE ISO 17799
(Seleccin de
Controles)
11 REAS
39 OBJETIVOS
CONTROL
133 CONTROLES
Caracterstica de SGSI
Este Sistema proporciona mecanismos para la
salvaguarda:
De los Activos de Informacin.
De los Sistemas que los procesan.
En concordancia con las polticas de Seguridad
y planes estratgicos de la Organizacin.
Es la herramienta de que dispone la Direccin para implantar las polticas y
objetivos de Seguridad de la Informacin: integridad, confidencialidad y
disponibilidad.
VISITA PREVIA
INFORME
INFORME
AUDITORA DEL
SISTEMA
AUDITORAS DE
RENOVACIN
REGISTRO
SISTEMA DE
GESTIN
SERVICIOS
TECNOLOGAS DE
INFORMACIN
INFORME
PLAN DE ACCIONES
CORRECTORAS
1 mes
AUDITORAS DE
SEGUIMIENTO
ANUALES
CONCESIN DEL
CERTIFICADO
AENOR
AUDITORA
EXTRAORDINARIA
45
Ventajas SPICE:
Ventajas CMMI:
Ms conocido internacionalmente.
Mas implantado en grandes
corporaciones??.
Valoracin de Niveles externizable.
Inconvenientes CMMI:
Dficil de entender
Mayor Coste.
Procesos con estructura propia.
Auditores especializados en CMMI.
No orientado a PYMEs
Mejora de la calidad de
software
Ms consensuado y probado.
Ms econmico. Plan Avanza. PYMEs.
Apoyo : ISO 12207. Ciclo de Vida.
Posibilidad de integracin con otras Normas:
ISO 20000 (ITIL), ISO 27001, ISO 9001.
Proceso de certificacin AENOR usual.
Auditores CISA. Ms extendido.
Inconvenientes SPICE:
Menos difundido internacionalmente..
Al ser de ISO ms tiempo en
consensuar otras herramientas.
Romper la barrera de lo desconocido.
MKT relacional.