Certificación y normas técnicas: Un enfoque estratégico para las TIC

Transcripción

1 Certificación y normas técnicas: Un enfoque estratégico para las TIC Observatorio IT para las Administraciones Públicas 19 de mayo de 2010 Murcia José Angel Valderrama Antón Gerente de Nuevas Tecnologías

2 Indice Estrategia TIC y Normalización internacional Normas técnicas: ISO 27001, ISO 20000, UNE , ISO (SPICE) Certificación de cumplimiento Que es, objetivos y ventajas El proceso de certificación e IQNET El certificado La acreditación de ENAC Datos 2

3 Asociación privada, independiente y sin ánimo de lucro, reconocida en los ámbitos nacional, comunitario e internacional Actividades multisectoriales de N+C; formación; publicaciones; información; Desde 1986; Veintiún centros operativos en España, además de México, Chile, Italia, Portugal, Brasil, El Salvador, Perú, Bulgaria Certificaciones en 45 países; 500 auditores Servicios: info ( , info@aenor.es), Biblioteca en sede central y en las delegaciones de. 3

4 , Misión Contribuir mediante el desarrollo de las actividades de N+C a mejorar la calidad de las empresas, sus productos y servicios, proteger el medio ambiente y con ello lograr: El bienestar de la sociedad Elaborar normas con la participación abierta de todas las partes interesadas impulsando la aportación española Certificar productos, servicios y empresas confiriéndoles un valor competitivo diferencial que contribuya a favorecer intercambios comerciales y la cooperación internacional. Orientar la gestión a la satisfacción de nuestros clientes, Impulsar que nos relacione con la calidad y busca la excelencia. 4

5 Estrategia TIC - Estándares Un problema, una herramienta, una solución y un negocio. Amenazas Vulnerabilidades (Riesgos) Concordancia entre estrategia de negocio y estrategia TIC Gestión eficiente y desarrollo sistemático de las TIC Entorno cambiante (tecnológico, legal, ) e interconectado Situación El riesgo de los Ordenadores y las TIC para los negocios ocupa el primer lugar en 3 países (Japón, Reino Unido y USA), y en el top three de los otros países (World Economic Forums Annual DAVOS Dic2005) Sólo un 21% de las cías gestionan el Dpto. de SI con criterios de negocio. En futuro los CIOS más gestores, menos tecnólogos (Informe Penteo 2006). 5

6 Normalización estándares oficiales Norma: Documento establecido por consenso y aprobado por un organismo reconocido, que proporciona, para un uso común y repetido, reglas, directrices o características para ciertas actividades o sus resultados, con el fin de conseguir un grado óptimo de orden en un contexto dado. Resultado de la experiencia Voluntarias (o requeridas por legislación) Públicas, CEN / CENELEC, ETSI, COPANT, ISO / IEC Gestión interna - Mercado global - Ayuda a AAPP 6

7 Estándares internacionales en TIC PNE BS25999 (1 y 2) Gestión de continuidad de negocio ISO SG. STI ISO/IEC Gobierno de las TI ISO EFQM; ISO 14001; OHSAS; ISO SPiCE - PRM SW (parte 2, 5, 7) ISO ciclo de vida de desarrollo de SW ISO Guía de buenas prácticas ISO SG Seguridad de la Información ISO Guía de controles ISO DRS ICT Normas y certificacion es TICs ISO SAM UNE Accesibilidad Web Buenas prácticas en comercio electrónico Software original, Auditorías a Operadores de Telecomunicaciones 7

8 El SG SI - ISO La Información: Activo principal de las organizaciones (confidencialidad, integridad, disponibilidad). Amenazas - vulnerabilidades (errores, problemas informáticos, ataques, virus, empleados, legislación, cambios tecnológicos, naturaleza ). Tiene mucho valor y riesgo. Requiere evaluar riesgos y establecer controles adecuados; aunque sin un Sistema de Gestión no se asegura la protección. Seguridad informática Seguridad de la Información 8

9 El SG SI ISO Organiza, simplifica, y gestiona la seguridad de la información en concordancia con los planes estratégicos de la organización, sus políticas de seguridad y la situación. Herramienta de la Dirección. En el marco de los riesgos empresariales generales. Enfoque común con otros SG. ISO (9001, 14001, 20000). Para todo tipo de organizaciones. Enfoque por procesos, y para la mejora continua. Soportado en conocimientos adquiridos (ISO 27002). Abarca aspectos legales. A P C D Mejora Continua 9

10 El SG SI: Ventajas del SGSI para el Negocio Integrar la gestión de la SI con otros SG empresarial. Mejorar la imagen, confianza y competitividad empresarial. Certificación y reconocimiento por terceros. Comprobar su compromiso con el cumplimiento de la legislación: protección de datos de carácter personal, servicios sociedad de información, comercio electrónico, propiedad intelectual, etc. Dar satisfacción a accionistas y demostrar el valor añadido de las actividades de SI en la empresa. Mejora gestión de SI (evalúa riesgos, establece controles adecuados, sistematiza y gestiona recursos y actividades) ES SOPORTE, APORTA CONFIANZA - CREDIBILIDAD 10

11 El SG STI - ISO Para que el proveedor de servicios de TI realice una gestión eficaz de los servicios y que responda a las necesidades de sus clientes (responder a requisitos del negocio + clientes). Herramienta de la Dirección. En el marco de los riesgos empresariales generales. Enfoque común con otros SG. ISO (9001, 14001, 20000). Para quienes prestan servicios de TI (interno /externo). Enfoque por procesos, y para la mejora continua. Soportado en conocimientos adquiridos (ISO ). Basado en las librerías ITIL. A P C D Mejora Continua 11

12 El SG STI: Beneficios Maximizar la Calidad del servicio Alinear los servicios de TI a las necesidades del negocio Reducir Costes Aumentar la satisfacción del Cliente Visión clara de la capacidad del departamento de TI Minimizar el tiempo de ciclo de cambios y mejorar resultados en base a métricas Toma de decisiones en base a indicadores de negocio y de TI 12

13 ISO SPICE Para organizaciones / áreas de desarrollo de SW. Determinación del nivel de madurez de los procesos del ciclo de vida del SW, y de la organización. Independiente del tipo de organización, modelo de ciclo de vida, metodología de desarrollo y de la tecnología usada Modelo ISO, PMR ISO 12207:2008 : Ciclo de Vida de Desarrollo de Software. Fases en la creación de un software. Cada nivel de madurez tiene un conjunto de procesos asociados, definidos en la ISO 12207, y se valora en función de la capacidad de los procesos, medida según los resultados y las actividades, atributos del proceso. Mejora continua. Es la competencia a CMMI. 13

14 ISO 15504: Beneficios Mejora la: Planificación (reduce retrabajos) Coordinación de los proyectos (define responsabilidades, actividades). Comunicación (establece canales internos, con el cliente) Consolidación de conocimiento y experiencias (genera una base de conocimientos sobre procesos y proyectos, reduce tiempos de integración de personas, cualificación). Calidad del producto (control proceso / proyecto, y detección temprana de errores). Mejora de la capacidad Mejora en la calidad y productividad Aumenta satisfacción de clientes Mejora en la competitividad 14

15 La web accesible UNE Soporte para administración electrónica y difusión de contenidos. La web debe ser para todos, y para ello independiente de: el dispositivo de acceso (PC, teléfono, TV, PDA,... Versión; el ancho de banda; el navegador, sin color, sin sonido, sin pantalla). Capacidades de los usuarios (dificultades visuales, auditivas, motoras, cognitivas, el cansancio, ). La cultura o el conocimiento (textos, representaciones, formato de fechas, ). Es requisito que sea accesible (UNE ): Ley 11/2007 de acceso electrónico a los SP. Ley 34/2002, LSSICE. Ley 51/2003, LIONDAU. Ley 56/2007 MISI. Ley 32/2003 GT. Real Decreto 1494/2007. Ley 49/2007 Régimen de infracciones y sanciones LIONDAU. 15

16 Accesibilidad web Requisitos Para las AAPP, servicios públicos, webs financiadas y empresas que presten servicios al público de especial trascendencia económica (LMISI); Prioridad 2 de la Norma UNE :2004 (nivel AA), a partir del Deber de informar sobre el grado de accesibilidad y la fecha de revisión; ofrecer un sistema de contacto, y evaluar periódicamente los resultados. Incumplimiento: Grave ( ) Certificación como evidencia de cumplimiento. 16

17 Certificación Qué es? Acto por el que una tercera parte testifica que ha obtenido la adecuada confianza en la conformidad de un determinado producto, proceso o servicio, debidamente identificado, con una norma u otro documento normativo especificado. Comprobación de que un SG cumplen con una serie de requisitos especificados en ISO / ISO

18 Certificación en logos 18

19 Certificación objetivos Demostrar a los clientes el cumplimiento de las normas, mediante las marcas. Facilitar la introducción de los productos en otros mercados. Facilitar la compra /contratación de productos. Demostrar el cumplimiento de la Reglamentación obligatoria (si existe) ausencia de dolo-. Oportunidad de mejora interna (procesos / productos) 19

20 Certificación Ventajas para SGSI / SGSTI Apoya la actividad del Responsable TI. Apoya enfoque de negocio de la Dirección, y demuestra compromiso. Demuestra el cumplimiento de los requisitos (LOPD, LSSICE, ENS, ), la calidad. Auditores formados, cualificados, y expertos (El análisis del experto, novedades y oportunidades de mejora). Genera confianza / credibilidad interna y externa Aceptación global (clientes, empleados, accionistas / propietarios, administraciones / jueces, ) Imagen de marca y diferenciación (, ENAC, IQNet). Diferenciación del mercado. Facilita la comercialización / venta, y la exportación Apoya la competitividad 20

21 El proceso de certificación CUESTIONARIO PREVIO Y SOLICITUD PLANIFICACIÓN DE LA AUDITORÍA ANÁLISIS DE LA DOCUMENTACIÓN FASE I INFORME/s VISITA PREVIA FASE I AUDITORÍAS DE RENOVACIÓN (Cada tres años) AUDITORÍA DEL SISTEMA FASE II INFORME AUDITORÍAS DE SEGUIMIENTO (Anuales) CONCESIÓN DEL CERTIFICADO PLAN DE ACCIONES CORRECTORAS 1 mes AUDITORÍA EXTRAORDINARIA 21

22 Accesibilidad web Certificación Conformidad Nivel AA y AAA; Desde cualquier contenido / sección / sitio web; Sólo verifica requisitos técnicos (UNE ); Sin seguimiento; Sin uso de marca o logo; Accesible a una fecha; Generalmente para desarrolladores; Marca N Nivel AA y AAA; Para sitios web / microsites; Verifica requisitos técnicos (UNE) y el SG (BackOffice); Seguimiento técnico semestral, y del SG anual; Uso de marca o logo; Se mantiene accesible; Generalmente para propietarios; 22

23 IQNET: 38 socios de referencia España AFAQ Francia ANCE Méjico APCER Portugal AVI Bélgica CISQ Italia CQC China CQM China CQS República Checa Cro Cert Croacia DQS Alemania DS Dinamarca ELOT Grecia FCAV Brasil FONDONORMA Venezuela IHKQAA China (Hong Kong) CONTEC Colombia IMNC Méjico IRAM Argentina JQA Japón KEMA Holanda KFQ Corea MSZT Hungría NEMKO Noruega NSAI Irlanda ÖQS Austria PCBC Polonia PSB Singapur QMI Canadá RR Rusia SAI GL Australia SFS Finlandia SII Israel SIQ Eslovenia SQS Suiza SRAC Rumania TEST-St. P. Rusia YUQS Montenegro Serbia 23

24 La acreditación de ENAC en Acreditada por ENAC para certificar SGSI Miembro español de IQNet. Experiencia, cualificación, prestigio 24

25 El certificado norma, alcance, validez, número 25 net

26 Datos: The ISO Survey 2009 (Dec 2008). SGSI_1 26

27 Datos: los Certificados de SGSI UNE ISO 27001: 240 empresas certificadas, en todos los sectores. España en el top ten. SGSTI- UNE-ISO 20000: 40 empresas certificadas (el 50% PYMES-TIC) España en el top ten, según ItSMF. SPICE ISO / ISO 12207: Modelo de madurez del desarrollo de software. Factorías de SW. Es la competencia a CMMI. 22 empresas certificadas. Accesibilidad de sitios WEB - UNE sitios web certificados 27

28 Muchas gracias, estamos a su disposición José Angel Valderrama Antón Gerente Nuevas Tecnologías nuevastecnologias@aenor.es Murcia Pza. Fuensanta Nº 2, 2º-C, Murcia - Tel drm@aenor.es Info