Sistemas de

Calidad para
Tecnologas de
la Informacin.
-TICs Carlos Manuel Fdez.
CISA, CISM

Product Manager
Certificacin TICs

eptiembre-07
AENOR

AENOR
La Asociacin Espaola de Normalizacin y
Certificacin (AENOR), creada en 1986, es una
entidad espaola, privada, independiente, sin
nimo de lucro, reconocida en los mbitos
nacional, comunitario e internacional, que
contribuye, mediante el desarrollo de las
actividades normalizacin y certificacin, a
mejorar la calidad en las empresas, sus
productos y servicios, as como proteger el medio
ambiente y, con ello, el bienestar de la
sociedad . (de la informacin).

AENOR
Asociacin privada
Sin nimo de lucro
Constitucin: 1986
Real decreto 2200/95
AENOR Corporacin.
AENOR INTERNACIONAL (9 filiales).
AENOR Mxico (10 aos en
Mxico DF y Delegaciones) .
Multisectorial
Normalizacin
Certificacin productos, servicios,
sistemas de gestin y personal

Servicios de Formacin.

Compromisos de AENOR

(I)

Elaborar normas tcnicas espaolas con la

participacin abierta a todas las partes
interesadas, y colaborar impulsando la
aportacin espaola en la elaboracin de
normas europeas e internacionales
Certificar productos, servicios y empresas
(sistemas) confiriendo a los mismos un
valor
competitivo
diferencial
que
contribuya a favorecer los intercambios
comerciales y la cooperacin internacional
Sistemas de Gestin
Integrados

Compromisos de AENOR

(II)

Orientar la gestin a la satisfaccin de

nuestros clientes y la participacin activa
de nuestras personas, con criterios de
calidad total, y obtener resultados que
garanticen un desarrollo competitivo
Impulsar la difusin de una cultura que
nos relacione con la calidad y nos
identifique como apoyo de quien busca
la excelencia
Sistemas de Gestin
Integrados.

AENOR: Organismo de Normalizacin

Normalizacin multisectorial
Miembro
espaol
de
los
organismos internacionales:
Internacionales (ISO/IEC)
Europeos (CEN/CENELEC/ETSI)
Americanos (COPANT)

siguientes

Datos relevantes:
25.700 normas UNE en catlogo
1.730 normas elaboradas en 2006
184 Comits Tcnicos de Normalizacin

Sistemas de Gestin
Integrados

AENOR: Entidad de certificacin

Certificacin de productos y servicios
Certificacin de sistemas de gestin
(calidad, medioambiente, prevencin de
riesgos laborales y otros referenciales)
Validaciones y evaluaciones (GRI, AyERM,
EMAS)
Entidad operacional designada, DOE, para
la validacin y verificacin de gases de
efecto invernadero

Sistemas de Gestin
Integrados

AENOR: entidad de certificacin produ

Amplio rango de marcas de certificacin
de productos y servicios
Miembro espaol de la Asociacin Europea
de Certificacin de Productos Elctricos
(EEPCA)
Ms de 75.000 productos o servicios
certificados pertenecientes a ms de
3.725 empresas

Sistemas de Gestin
Integrados

AENOR: entidad de certificacin sistem

Acreditada por la Entidad Nacional de
Acreditacin para 38 sectores en calidad y
para 48 cdigos en medio ambiente
Miembro espaol de IQNet y de GEN
Sistemas de Aseguramiento de la Calidad
(ISO 9000): 17.600 empresas certificadas
Sistemas de Gestin Medioambiental (ISO
14001):
ms
de
3.700
empresas
certificadas
370 validaciones EMAS

Sistemas de Gestin
Integrados

Marcas de AENOR

Sistemas de Gestin
Integrados

Las marcas de AENOR

evidencian la
certificacin y
constituyen un elemento
diferenciador en el
mercado, mejorando la
imagen de productos y
servicios ofrecidos y
generando confianza
entre clientes y
consumidores

Certificacin en el sector TIC

Sistemas de informacin

Marca AENOR de Sistemas de Gestin de Seguridad de la

Informacin (norma UNE ISO/IEC 27001): ms de 60 empresas. Final
del 2007 aprox.: 100 empresas . (En Mxico: INFONAVIT, Bur de
Credito, etc.)
Gestin del Servicio en TI (norma UNE- ISO 20001): 2 empresas:
Tefnica Soluciones , El Corte Ingls. Final del 2007: aprox.: 10
empresas..

Software

Certificado AENOR de Sistemas de Gestin de Software Original

SAM :Administracin de activos informticos (norma ISO/IEC/19770
SAM)
SPiCE (norma UNE-EN ISO 15504).

Otras certificaciones

Certificacin Accesibilidad TIC sitios WEB (UNE 139803

Requistos de accesibilidad para contenidos WEB. Pautas de
accesibilidad WAI : A, AA y AAA.
Marca AENOR de Buenas Prcticas Comerciales para el Comercio
Electrnico

INDICE
La Gestin de las TICs alineada al Negocio.
Calidad, competitividad e innovacin.
SGSIT ( UNE ISO 20000-1 y UNE ISO
20000-2)
SGSI (UNE ISO 27001)
Certificaciones SGSI y SGSSTI
Futuro del SGSI y SGSTI.

Actividades de AENOR en TICs

BCM
25999

Bussines Continuity
Management. BSI standard

IT
Governance
Proyectos

SPICE ISO 15504

Modelo de Evaluacin, Mejora y Capacidad

de Software

ISO 12207

Ciclo
Ciclo de
de Vida
Vida de
de Desarrollo
Desarrollo de
de
Software
Software

Adicionalmente:
Certificacin Accesibilidad
TIC Sitios WEB.
Infraestructura CPD
Buenas Prcticas Comercio
Electrnico

AENOR
Software Original

Gobierno de las TIC.

Norma Australiana

Procesos /
Servicios

SAM
ISO 19770
Software Asset
Management

SGSTI
ISO 20000-1
Sistema de Gestin
Servicios IT
ISO
20000-2
Gua
Gua de
de Buenas
Buenas
Prcticas
Prcticas

SGSI
ISO 27001
Sistema de Gestin
Seguridad de la
Informacin

ISO
17799:2005
Gua
Gua de
de
Controles
Controles

Actividades de AENOR en TICs

IT Governance :
Proyecto en estudio de Norma Australiana.(IT management).
Plan estratgico de TICs incorporado a Gobierno Corporativo
(Corporate Governance)..

BCM BSI 25999 :

Piloto en desarrollo. Normas de BSI. Fase Inicial.
Plan de Continuidad de Negocio.
Norma certificable.

reas: de Desarrollo y rea de Procesos / Servicios y

nuevos productos:

Actividades de AENOR en TICs

rea de Desarrollo:
Spice ISO 15504 :

Modelo de madurez del desarrollo de software. Evaluacin por niveles.

AENOR se le concede PROFIT. + 25 empresas.
Proyecto PROCER orientado a PYMES.
Es la competencia a CMMI.
ISO 12207 :
Ciclo de Vida de Desarrollo de Software. Fases en la creacin de un software.

SAM (Software Asset Mangement) ISO 19770 :

El software como activo. Fase Inicial. Traduccin norma.
Proyecto BSA . Espaa y LatinoAmerica.

Actividades de Aenor en TICs

rea de Procesos / servicios:
SGSTI- UNE-ISO 20000 :
Sistema de Gestin de Tecnologas de Informacin. Calidad en la
Gestin de servicios de TICs a la empresa o clientes.(CPD externo o
CPD interno). Modelo PDCA. (Basado en las libreras ITIL).
AENOR-DDEC certifica a EL Corte Ingls-CPD y Telefnica
Soluciones . (Despus de un piloto de ms de seis meses).

SGSI UNE ISO 27001:

Sistema de Gestin de la Seguridad de la Informacin. Modelo PDCA

Aprox.: 50 empresas certificadas. De todos los sectores.
Premio revista SIC a mejor labor en Seguridad de SI. 2006.
Proyecto con comunidades: Andaluca, Asturias,

SISTEMAS DE GESTIN DETICs

G
UI
A

PDCA
(Motor)

M
E
T

SGSI
ISO 27001

SGSIT
ISO 20000-1

A
S

ISO..

(Conocimiento)

ISO..

D
E

ISO17799

ISO 20000-2
(ITIL)

LIBRERA
INFRAESTRUCTURA
CPD

I
M
P
L
A
N
T
A
CI
O
N

Certificacin
de Sistemas de
Gestin en las
TICs : la
calidad de los
servicios de
TICs. : La
solucin
orientada a los
objetivos del
negocio
AENOR

Gestin de las TICs con criterios

de Negocio-calidad en el servicio
TICs
Informe Penteo (2006):
Slo un 21% de las cas gestionan el dpto. de SI con criterios de
negocio.
31 % gestionan el dpto. de SI slo con criterios tecnolgicos
48 % gestionan con criterios hbridos.

Conclusiones:
La Direccin de las cas. Tiene una percepcin ms positiva de
los CIOs que siguen crtierios de Negocio. Les dan el rol de
lderes contribuidores de negocio en un 58%.
La Gestin de las TICs mejora el posicionamiento del dpto. de
SI y del CIO.
En un futuro los CIOS ms gestores y menos tecnlogos.
(Encuesta a : 85 Directores de TICs, 36 Dir. Generales y 12
Presidentes ).

UNE -ISO 20000

Tecnologas de la Informacin
Gestin de Servicios
Alcance:

Que un proveedor de servicios de TI (CPD) provea servicios gestionados

de una calidad aceptable para sus clientes

Se basa:

en ITIL es un estndar internacional , que es un conjunto de buenas

prcticas en la Gestin del Serrvicio de TI, desarrollado por la Office of Goverment
Comerce (UK) .

Beneficios de ISO 20000-ITIL:

Maximizar la Calidad del servicio

Alinear los servicios de TI a las necesidades del negocio
Reducir Costes
Aumentar la satisfaccin del Cliente .
Visin clara de la capacidad del departamento de TI.
Minimizar el tiempo de ciclo de cambios y mejorar resultados en base a
mtricas.
Toma de decisiones en base a indicadores de negocio y de TI

Probar
Probar

Construi
Construi
rr

Gestin
Gestin del
del Nivel
Nivel
de
servicio
de servicio

USUARIO

Peticin
Cambio RfC

Servicios de Soporte

(operacional)
(operacional)

Diseo y
Gestin
del
Servicio
Gestin
Gestin
Financiera
Financiera

Gestin
Gestin de
Disponibilida
Disponibilida
d
d
Gestin
Gestin de
de
Capacidad
Capacidad

CMDB

Gestin
Gestin de
de Cambios
Cambios
Gestin
Gestin de
de
Incidencias
Incidencias

Gestin
Gestin de
de
Problemas
Problemas

Gestin
Gestin de
de
Configuraci
Configuraci
n
Produccin
Produccin

SERVICIO

Fuente: IPW . Quint Wellington Redwood

Gestin
Gestin de
de Continuidad
Continuidad

Gestin
Gestin de
de
Entrega
Entrega

PROVEEDORES

Gestin
Gestin del
Account
Account

de Seguridad
Gestin de

CLIENTE
(tctico)

Service Desk
Desk
Service

Entrega de Servicios

IPW
Workflow de implementacin de procesos

PROCESOS DE PROVISION DE SERVICIO

Gestin de la capacidad

Gestin del nivel de servicio

Gestin de la continuidad y
disponibilidad del servicio

Gestin del nivel de servicio

Informacin del servicio

Procesos de control
Proceso de entrega
Gestin de la entrega

Gestin de la configuracin
Gestin del cambio

Procesos de resolucin

Fte: ISO / IEC 20000. Gua de Bolsillo. itSMF

Gestin de la Seguridad de
la Informacin
Elaboracin de presupuestos y
contabilidad de los servicios de
TI.

Procesos de relaciones

Gestin del incidente.

Gestin de relaciones de
negocio.

Gestin del problema.

Gestin de suministradores.

 AENOR

Certificacin SGSIT (ISO 20000-1)

MODELO PDCA Plan-Do-Check-Act

Planificar la implementacin y
prestacin de la Gestin de
servicios

Mejorar la eficacia y la eficiencia

de la prestacin y gestin de los
servicios
Adoptar las acciones correctivas
Adoptar las acciones preventivas

Implementar los objetivos y plan de gestin de

los servicios

P
ISO 20000-parte 2
(Procesos-Gua)
1.- Gestin del Nivel de Servicio
2-.Informes del Servicio
3.-Gestin de la Capacidad
4.-Gestin de la continuidad y de la
disponibilidad del servicio
5.-Gestin de la Seguridad de la Informacin
6.- Gestin de Presupuestos y contabilidad de
los servicios
7.-Gestin de Incidencias
8.- Gestin de Problemas
9.- Gestin de Configuracin
10.- Gestin del Cambio
11.- Gestin de relaciones con el Negocio
12. Gestin de Proveedores
13: Gestin de la entrega

Revisar plan de gestin de los servicios y requisitos de los servicios

Revisin por Direccin
Auditoras Internas, etc.

Documentacin del SGSIT

Manual de SGSIT

Nivel 1
Poltica(s), alcance

Nivel 2

Nivel 3

Nivel 4

Describe procesos - quin, qu,

cundo,)

Procedimientos

Describe las tareas y las actividades

especficas y cmo se realizan
Proporciona las pruebas objetivas del cumplimiento
con las exigencias del SGSIT

Instrucciones de trab
listas de comprobac
formularios, etc.

Registros

Certificacin
de Sistemas de
Gestin en las
TICs : la
Seguridad de
los SI. La
solucin a los
Riesgos
Empresariales

AENOR

Factores que influyen en la

Seguridad de los SI:
Actualmente: Nueva York y en los 80s :
Mainframe Ciudad de vila. Magerit
Amplio uso de la Tecnologa.
Interconectividad de los sistemas. Sistemas
abiertos y distribuidos.
Cambios muy rpidos en las TICs.
Ataques a Organizaciones. Tema atractivo?.
Factores externos: Legislacin .etc...
(Information Security Governance. 2001. IT
Governance Institute).

Riesgos Empresariales

En el World Economic Forums Annual DAVOS meeting-, SWISS

RE informa de su estudio encuesta a nivel mundial (60 entrevistas a
senior executives en : USA, Francia, Alemania, Italia , Japn y Reino
Unido-Dic-2005 ).

El riesgo de los Ordenadores-SI- y las TICs, ocupa el primer lugar en

3 pases (Japn, Reino Unido y USA), y en el top three de los otros
pases, para sus negocios.

Como herramienta primordial para mitigar estos riesgos de SI

indican el Control Interno Informtico. SWISS RE.
SGSI- ISO 27001- y UNE ISO 17799:2005. (Fuente: AENOR- Carlosmf)

Informe de riesgos en las TICs

Uno de cada 5 empleados deja a su familia y
amigos usar sus porttiles corporativos para
acceder a Internet. (21%)
Uno de cada diez confiesa que baja algn tipo de
contenido que no debiera mientras est en el
trabajo.
Dos tercios admiten tener conocimientos muy
limitados en materia de seguridad.
Un 5% dice que tienen acceso a areas de la red
corporativa que no deberan tener.
Fuente: McAffee.

SISTEMAS DE GESTIN DETICs

G
UI
A

PDCA
(Motor)

M
E
T

SGSI
ISO 27001

SGSIT
ISO 20000-1

A
S

ISO..

(Conocimiento)

ISO..

D
E

ISO17799

ISO 20000-2
(ITIL)

LIBRERA
INFRAESTRUCTURA
CPD

I
M
P
L
A
N
T
A
CI
O
N

Certificacin de Sistemas de Gestin de

la Seguridad de la Informacin-SGSIEn que consiste?
Establecer y reordenar la Seguridad de los Sistemas de
Informacin en concordancia con los Planes
Estratgicos de la Organizacin y con sus Polticas de
Seguridad.
Un nuevo Ciclo de Mejora Continua: SGSI
una Gestin eficaz de la Seguridad de los SI permite
garantizar:
la Confidencialidad,
la Integridad y
la Disponibilidad de los Sistemas de Informacin.

 AENOR

QU PRESERVAR?
Cada organizacin tiene que preservar 3 CARACTERSTICAS
asociadas a la informacin:

CONFIDENCIALIDAD

DISPONIBILIDAD
Asegurar que los usuarios
autorizados tienen acceso
cuando lo requieran a la
informacin y sus activos
asociados.

Asegurar que la informacin es accesible

solo para aquellos autorizados a tener
acceso.

INTEGRIDAD
Garantizar la exactitud y
completitud de la informacin y los
mtodos de su proceso

DEFINICION DE SISTEMA DE GESTION

DE SI
Aquella parte del sistema general de gestin que
comprende la poltica, la estructura organizativa, los
procedimientos, los procesos, y los recursos
necesarios para implantar la gestin de la seguridad
de la informacin.
Es la herramienta de que dispone la Direccin para
implantar las polticas y objetivos de Seguridad de la
Informacin.

Definir poltica de seguridad

Establecer alcance del al SGSI
Realizar anlisis de riesgos
Seleccionar los controles

Implantar plan de gestin de riesgos

Implantar el SGSI
Implantar los controles

IEC 17799:2005
1 Poltica de Seguridad de Informacin

6 Gestin de comunicaciones y operaciones

2 Estructura organizativa de la SI

7 Control de accesos

3 Clasificacin y control de activos

8 Desarrollo y mantenimiento de sistemas

4 Seguridad ligada al personal

9 Gestin de Incidentes de Seguridad

5 Seguridad fsica y del entorno

10. Gestin Continuidad de Negocio

----------------------------------------------------------11 Conformidad y Cumplimiento legislacin

Adoptar las acciones correctivas

Adoptar las acciones preventivas
Revisar internamente el SGSI
Realizar auditorias internas del SGSI

AENOR

Certificacin SGSI
MODELO PDCA Plan-Do-Check-Act

Procesos
Activos de SI
Sistemas de
informacin
(aplicativos)
Software
Hardware
Telecomunicaciones
Personas

S.G.S.I.
Anlisis y Gestin de
riesgos
R=F(X1,X2,X3,Xn)
Integridad (X1)
Confidencialidad (X2)
Disponibilidad (X3)
Amenazas (X4)
Vulnerabilidades (X5)
Impacto Econmico (X6)
XN

Riesgo Residual

Activo1-------R1

Activo2-------R2

Aplicando
UNE ISO 17799
(Seleccin de
Controles)

NORMA ISO 27001: Especificaciones para los Sistemas de

Gestin de la
Seguridad de la Informacin
INDICE
1 Objeto y Alcance
2 Referencias Normativas
3 TRMINOS Y DEFINICIONES
4 SGSI
5 Responsabilidad de Direccin.
6 Auditoras Internas
7 REVISIN DEL SGSI por la Direccin
8 Mejora del SGSI
9 BIBLIOGRAFA
Anexo A: Objetivos de Control y Controles
Anexo B: Principios de OCDE.
Anexo C: Correspondencia con ISO 9001:200, ISO 14001:2004

NORMA ISO 27001: Especificaciones para los

Sistemas de Gestin de la
Seguridad de la Informacin
Objeto yAlcance
Esta norma especifica los requisitos para establecer,
implantar, documentar y evaluar un SGSI de acuerdo
con la UNE-ISO 17799.
Especifica los requisitos de los controles de seguridad de
acuerdo con las necesidades de las organizaciones,
independientemente de su tipo, tamao o rea de
actividad.

NORMA ISO/IEC 17799:

OBJETIVOS Y CONTROLES

Cada rea o dominio tiene asociados uno o varios objetivos de

seguridad

Para cada objetivo se definen, a su vez, uno o ms controles de

seguridad cuya implantacin debe traducirse en la consecucin
del objetivo de seguridad asociado

11 REAS

39 OBJETIVOS
CONTROL
133 CONTROLES

Caracterstica de SGSI
Este Sistema proporciona mecanismos para la
salvaguarda:
De los Activos de Informacin.
De los Sistemas que los procesan.
En concordancia con las polticas de Seguridad
y planes estratgicos de la Organizacin.
Es la herramienta de que dispone la Direccin para implantar las polticas y
objetivos de Seguridad de la Informacin: integridad, confidencialidad y
disponibilidad.

Factores crticos para el xito

Una seguridad orientada al negocio
Implementar la Seguridad en consonancia con la cultura de
la empresa
Apoyo visible y compromiso de la Direccin.
Buen entendimiento de los requisitos de seguridad, de la
evaluacin y gestin de los riesgos.
Convencer de la necesidad de la seguridad a directivos y
empleados.
Proveer formacin y guas sobre polticas y normas a toda
la organizacin.
Un sistema de medicin para evaluar el rendimiento de la
gestin de la seguridad y sugerir mejoras.

VENTAJAS DE CERTIFICAR LAS

ACTIVIDADES DE SI -1/2Con respecto a los Sistemas de Informacin:

Sistematizar las actividades de SI

Ahorro de recursos en las actividades de SI, mejorando la

motivacin e implicacin de los empleados

Analizar riesgos: identificar amenazas, vulnerabilidades e

impactos en la actividad empresarial
Establecer objetivos y metas que permitan aumentar el nivel de
confianza en la seguridad

Planificar, organizar y estructurar los recursos asignados a

seguridad de la informacin

Identificar y clasificar los activos de informacin

VENTAJAS DE CERTIFICAR LAS

ACTIVIDADES DE SI -2/2 Seleccionar controles y dispositivos fsicos y lgicos
adecuados a la estructura de la organizacin
Asegurar el nivel necesario de disponibilidad,
integridad, y confidencialidad de la informacin
Establecer planes para adecuada gestin de la
continuidad del negocio
Establecer procesos y actividades de revisin, mejora
continua y auditora de la gestin y tratamiento de la
informacin

VENTAJAS DE CERTIFICAR LAS

ACTIVIDADES DE SI -1/1
Con respecto al Negocio:
Integrar la gestin de la seguridad de la informacin con
otras modalidades de gestin empresarial
Mejorar la imagen confianza y competitividad
empresarial. La organizacin que desarrolle un SGSI segn
la norma, tendr ventajas de reconocimiento por los
organismos que certifican los sistemas.
Comprobar su compromiso con el cumplimiento de la
legislacin: proteccin de datos de carcter personal,
servicios sociedad de informacin, comercio electrnico,
propiedad intelectual, etc...
Dar satisfaccin a accionistas y demostrar el valor aadido
de las actividades de seguridad de la informacin en la
empresa

Resumen de Beneficios de SGSI

en las Organizaciones

Estado Actual. Un buen presagio.

La Seguridad de los SI en los procesos de

Negocio.
Ingeniera de la Seguridad de los Sistemas
de Informacin. Mediante un ciclo de
mejora continua.
Reordenar nuestro Sistema de SSI.
Interface con otros Sistemas. SDLC, etc..

DIAGRAMA DE FLUJO DEL PROCESO DE CERTIFICACIN

ANLISIS DE LA DOCUMENTACIN
(MANUAL, PROCEDIMIENTOS)
CUESTIONARIO
PRELIMINAR Y SOLICITUD

VISITA PREVIA
INFORME

INFORME
AUDITORA DEL
SISTEMA

AUDITORAS DE
RENOVACIN

REGISTRO
SISTEMA DE
GESTIN
SERVICIOS
TECNOLOGAS DE
INFORMACIN

INFORME
PLAN DE ACCIONES
CORRECTORAS
1 mes

AUDITORAS DE
SEGUIMIENTO
ANUALES
CONCESIN DEL
CERTIFICADO
AENOR

AUDITORA
EXTRAORDINARIA
45

Un Nuevo Reto en las

TICs:
La Gestin Integrada
(PDCA) de las TICs
alineadas con el
Negocio.
Muchas Gracias, estamos a
su disposicin en:
AENOR Corporacin y en
AENOR Mxico
-Presidente Masaryk 473
Colonia Polanco 11510
Mxico DF
-52 (55) 52 80 77 55-AENOR Corporacin

Pros / Contras CMMI vs SPICE

(Anlisis comparativo-Proyecto CICYT-Ministerio de Ciencia y Tecnologa-04

Ventajas SPICE:

Ventajas CMMI:
Ms conocido internacionalmente.
Mas implantado en grandes
corporaciones??.
Valoracin de Niveles externizable.

Inconvenientes CMMI:

Dficil de entender
Mayor Coste.
Procesos con estructura propia.
Auditores especializados en CMMI.
No orientado a PYMEs

Mejora de la calidad de
software

Ms consensuado y probado.
Ms econmico. Plan Avanza. PYMEs.
Apoyo : ISO 12207. Ciclo de Vida.
Posibilidad de integracin con otras Normas:
ISO 20000 (ITIL), ISO 27001, ISO 9001.
Proceso de certificacin AENOR usual.
Auditores CISA. Ms extendido.

Inconvenientes SPICE:
Menos difundido internacionalmente..
Al ser de ISO ms tiempo en
consensuar otras herramientas.
Romper la barrera de lo desconocido.
MKT relacional.