MODELO DE GOBIERNO Y GESTION EN LAS TICs CON NORMAS ISO

Transcripción

1 Martes 20 de Mayo de 2013 (UCLM Ciudad Real) MODELO DE GOBIERNO Y GESTION EN LAS TICs CON NORMAS ISO Carlos Manuel Fernández. CISA, CISM. Gerente /Coordinador de certificaciones TICs. AENOR

2 Speaker Bio & Company Information Ingeniero en Informática por la Universidad Politécnica de Madrid. Máster en Dirección de Empresas-MBA- por CECO. Diplomado en Estudios Avanzados en InformáticaDoctorando por la Universidad Pontificia de Salamanca. Diplomado en Administración de Empresas CEPADE-UPM. Certificado como CISA Certified Information System Auditor (1989) y CISM Certified Information Security Manager (2004) por ISACA y certificado ITIL Foundations. Con más de 30 años de experiencia en el sector de las TICs y 20 de ellos en Control Informático y la auditoría de SI: en la Administración Pública (Ministerio de Defensa /Cuartel Gral de la Armada-jefe de proyecto)) y en empresas internacionales de informática ( MICROSOFT-Original Software EXECUTIVE) y del sector financiero (Resident Vice President CITICORP-CITIBANK Europe/Spain), entre otras empresas/organizaciones. Actualmente en la Docencia: o Profesor asociado de la Universidad Pontificia de Salamanca (UPSAM) desde 1985; o Profesor de Máster de auditoría de Sistemas de Información y Seguridad Universidad Politécnica de Madrid desde 2000 ; o Profesor de Máster de la Universidad de Alcalá de Henares desde 2008 y profesor de la UNESCO-CREI en LATAM. ( ) o Director del 1er Máster de auditoría informática (Madrid-Barcelona) en CENEI ( ) Coordinador y autor: del libro Modelo para el Gobierno de las TIC con normas ISO. Noviembre AENOR Ediciones Coautor de libros de Auditoría Informática, Peritajes Informáticos, Factorías de Software, Implementación de ISO , IT Governance. Coautor de artículos en la revista UNE, Dintel, Red Y Seguridad, Computing, en relación a la gestión y auditoría de TI (ISO 27001, ISO , ISO SPICE, IT-Governance, etc.). Coautor de la Guía completa de aplicación para la gestión de servicios de tecnologías de la información ISO editada por AENOR en colaboración con TELEFONICA Fundador de la Asociación de Auditores Informáticos de España ASIA Chapter ISACA Madrid. Miembro asociado. Directivo de la junta directiva del Colegio Profesional de Ingenieros en Informática de Madrid. España. Vocal. Miembro de la Asociación CIONET. Patrono de la Fundación I + D Software Libre. Congreso Académico ITGSM13 Diapositiva 2 Carlos Manuel FERNÁNDEZ.CISA,CISM. Gerente de TICs Dirección de Desarrollo cmfernandez@aenor.es

3 AENOR Asociación privada de Normalización y Certificación AENOR es el representante de ISO en España y algunos países de Latinoamérica. Sin ánimo de lucro Constitución: 1986 Real decreto 2200/95 AENOR Corporación AENOR INTERNACIONAL (12 filiales) AENOR México ( +10 años en México DF y Delegaciones) Multisectorial Normalización Certificación productos, servicios, sistemas de gestión y personal Servicios de Formación AENOR es miembro de IQNET Congreso Académico ITGSM13 Diapositiva 3

4 AENOR ASOCIACIÓN ESPAÑOLA DE NORMALIZACIÓN Y CERTIFICACIÓN Entidad privada, independiente, sin ánimo de lucro ACTIVIDADES -Elaborar normas técnicas nacionales (UNE) y participar en la elaboración de normas internacionales -Certificar productos, servicios y empresas (sistemas de gestión) Entidad designada por el Ministerio de Industria y Energía (R.D. 1614/1985), como entidad para desarrollar las actividades de N+C. Reconocida como Organismo de Normalización y para actuar como Entidad de Certificación (R.D. 2200/1995) Congreso Académico ITGSM13 Diapositiva 4

5 AENOR Datos relevantes Medioambiente Calidad y Seguridad Certificados ISO 9000 Certificados OHSAS Certificados IS Certificados ISO Certificados SPICE nivel 2 Certificados SPICE nivel Certificados ISO Certificados EMAS Producto Normalización Más de Normas (UNE y Ratificadas) Más de Certificados Internacional Recursos Humanos 500 Auditores/25 auditores TICs Más de 45 Acuerdos internacionales para certificación de sistemas Más de 40 Países donde AENOR concedido certificados Cambio Climático Más de 200 proyectos MDL, AC y Voluntarios Congreso Académico ITGSM13 Diapositiva 5

6 AENOR. Dirección de Desarrollo Estratégico (INNOVACIÓN) DIRECCION GENERAL José Luis TEJERA Normalización Desarrollo Estratégico Operaciones Gerente / Coordinador de Certificaciones TICs Carlos M. FERNÁNDEZ +30 auditores especializados en TICs. Técnico TICs/ Auditor Jefe TICs Auditores Jefe TICs Auditores TICs Mayormente Ing. Informática/ Telecomunicaciones + 50% CISAs Congreso Académico ITGSM13 Diapositiva 6

7 Centro de Cómputo o Tecnologías de Información y Comunicaciones Es un Conjunto de: - Personas (Humanware) - Sistemas o Tecnologías (Base de Datos, software, aplicaciones, Hardware, Telecomunicaciones y sala de servers e infraestructura). - Procesos - Infraestructura Congreso Académico ITGSM13 Diapositiva 7

8 Gestión de las TICs con criterios de negocio Informe Penteo: Sólo un 21% de las cías gestionan el Dpto. de SI con criterios de negocio 31 % gestionan el dpto. de SI sólo con criterios tecnológicos 48 % gestionan con criterios híbridos Conclusiones: La Dirección de las cías. Tiene una percepción más positiva de los CIOs que siguen criterios de Negocio. Les dan el rol de líderes contribuidores de negocio en un 58% La Gestión de las TICs mejora el posicionamiento del dpto. de SI y del CIO En un futuro los CIOS más gestores y menos tecnólogos (Encuesta a: 85 Directores de TICs, 36 Dir. Generales y 12 Presidentes) Congreso Académico ITGSM13 Diapositiva 8

9 El tiempo de los Procesos en las TICs 80 s (mecanizar operaciones) 90 s (Help Desk y control presupuestario) Finales 90 s (E-Commerce y marketplace) XXI- (ITIL, CMMI, COBIT, ISO, etc..) : definir, medir y analizar: Ciclo Mejora Continua. Los procesos en TICs:incrementando el desarrollo de productos e innovación) CIOs se convierten en CPOs (Chief Process Officers) integrados con los objetivos del negocio.» Fuente: David Flint. Vice President de Gartner. Research. (Junio -2008). Congreso Académico ITGSM13 Diapositiva 9

10 Cómo perciben los ejecutivos los Sistemas de Información 71% de los ejecutivos están de acuerdo que es una palanca las TI para transformar el negocio 62% creen que las TICs deben focalizarse en la innovación de los procesos de negocio 66% están de acuerdo que las TICs han implicado una gestión de riesgos más compleja en las corporaciones.» Fuente: Ernst&Young study What next for the CIO? (Enero 2011). Una solución al gobierno y la gestión de las TICs es el modelo de AENOR de ISO en las TICs donde se realiza el gobierno y la gestión de las TICs alineadas con los objetivos de negocio. Congreso Académico ITGSM13 Diapositiva 10

11 Cuando el EL CIO (chief Information Officer) es esencial Conclusiones del Estudio Mundial de CIOs 2011 de IBM (EN BASE A ENTREVISTAS PERSONALES CON MÁS DE 3000 CiOs DE TODO EL MUNDO) -Los CIOs piensan actualmente más parecido a los CEOs. -Los Cios ayudan a enfrentarse a la complejidad, simplificando operaciones, los procesos de negocio, los productos y servicios. - Los CIOs para incrementar la competitividad : Planes visionarios que incluyen la analítica y la inteligencia del negocio (BI) el 83%, soluciones de movilidad el 74% y virtualización el 68%, etc... -Solución de IBM (con los Mandatos del CIO) que es como se ve el rol del CIO. Potenciar Proveedor de servicios de TI, para una mayor eficacia en la organización. Expandir Liderar las operaciones de TI para unos mejores procesos de negocio y la colaboración en la empresa. Transformar Mejorar la cadena de valor sectorial mejorando las relaciones con clientes, partners y clientes internos. Explorar Pioneros, rediseñar productos, mercados y modelos de negocio. -En conclusión: Los CEOs en el 2010 clasificaron los factores tecnológicos como la segunda fuerza externa más importante que impactara en sus organizaciones. (1ª Factores de Mercado y/o Factores macroeconómicos) Congreso Académico ITGSM13 Diapositiva 11

12 Modelo ISO para las TICs y otros entornos ( ) La empresa y su continuidad según procesos críticos Objetivo: Gobierno y Gestión de las TICs con estándares ISO. SGCN ISO Sistema de Gestión Continuidad del Negocio. Creación de Software Gobierno de TI ISO / IEC IT Governance Procesos / Servicios Desarrollo de Software Nivel de Madurez. Ciclo de Vida de SW SPICE ISO Modelo de Evaluación, Mejora y Madurez de Software Funciones del director de TI SGAS - SAM ISO Sistema de Gestión Activos Software (Licencias de Software) Calidad y seguridad en servicios de TI (el día a día) SGSTI ISO Sistema de Gestión Servicios TI ISO ISO Ciclo de Vida de Desarrollo de Software Guía de Buenas Prácticas ISO Calidad del Producto Software SGSI ISO Sistema de Gestión Seguridad de la Información Adicionalmente: BPCE Buenas Práctica Comercio Electrónico ISO Guía de Controles Datacenter Green. Sostenibilidad Energética en CPDs- SE CPDCopyright AENOR. Diciembre 2006 Nota: tiene PDCA / Control interno Tecnologías de Información Congreso Académico ITGSM13 Diapositiva 12

13 Hitos del modelo El modelo se crea bottom-up en el año (SGSI SGSTI SPICE GobiernoTI SGCN) El modelo se basa en MOTOR-CONOCIMIENTO orientado a objetivos de negocio; donde motor es el PDCA y conocimiento los controles de cada sistema de gestión. En las siguientes transparencias, ver los hitos de cada sistema de gestión. Congreso Académico ITGSM13 Diapositiva 13

14 Cómo se realizan los pilotos en AENOR DD Hitos más relevantes en ISO o En el año 2004 se publica la UNE con las ISO o Piloto con la PNE-UNE con una empresa del sector financiero: durante el primer cuatrimestre del (EUROFACTOR HISPANIA, S.A. E.F.C.) o En 2006 lanzamiento de ISO 27001, similar a UNE AENOR migras la compañías certificadas en UNE a ISO o Pilotos con ETICOM (Asociación TIC de Andalucía), ClusterTIC (Asturias), etc. durante los años mediante planes Avanza, etc. o Road-Show por toda España durante los años del SGSI por AENOR o Acreditados por ENAC para el SGSI desde 2008 o Publicación en 2009 por AENOR Ediciones y Start-up: Guía de Aplicación de la Norma UNEISO/IEC sobre seguridad en Sistema de Información para pymes (en base a la experiencia de implantación en +40 pymes) Congreso Académico ITGSM13 Diapositiva 14

15 ISO 27001: SG de la Seguridad de la Información Solución a los Riesgos Empresariales, Decisión estratégica de la organización Modelo para la definición, implementación, operación, revisión, mantenimiento y mejora del SG de la SI. Reordenar la Seguridad de los SI. Sigue pautas de ISO 9001 e ISO Para todo tipo de organizaciones. En el marco de los riesgos empresariales generales. Fin, seleccionar controles de seguridad, adecuados y proporcionados. Enfoque por procesos, y para la mejora contínua. Congreso Académico ITGSM13 Diapositiva 15

16 Propiedades principales asociadas a la Información DISPONIBILIDAD CONFIDENCIALIDAD Asegurar que los usuarios autorizados tienen acceso cuando lo requieran a la información y sus activos asociados. Asegurar que la información es accesible solo para aquellos autorizados a tener acceso. INTEGRIDAD Garantizar la exactitud y completitud de la información y los métodos de su proceso La gestión eficaz de la Seguridad de la Información permite a la organización preservarlas. Congreso Académico ITGSM13 Diapositiva 16

17 SGSI - UNE ISO MODELO PDCA Definir política de seguridad Establecer alcance del al SGSI Realizar análisis de riesgos Seleccionar los controles P Implantar plan de gestión de riesgos Implantar el SGSI Implantar los controles ISO IEC / Anexo A. ISO IEC A A.5 Política de Seguridad de Información A.6 Estructura organizativa de la SI A.7 Clasificación y control de activos A.8 Seguridad ligada al personal A.9 Seguridad física y del entorno Adoptar las acciones correctivas Adoptar las acciones preventivas C A.10 Gestión de comunicaciones y operaciones A.11 Control de accesos A.12 Desarrollo y mantenimiento de sistemas A.13 Gestión de Incidentes de Seguridad A.14 Gestión Continuidad de Negocio A15 Conformidad y Cumplimiento legislación D Revisar internamente el SGSI Realizar auditorias internas del SGSI Indicadores y Métricas Revisión por Dirección 17 Congreso Académico ITGSM13 Diapositiva 17

18 Gestión de riesgos Implantación de controles Procesos de Negocio/Servicio de TI Activos de SI Análisis y Gestión de riesgos Sistemas de información (aplicativos) R=F(X1,X2,X3,Xn) Software Confidencialidad (X2) Hardware Telecomunicaciones Personas Integridad (X1) Disponibilidad (X3) Amenazas (X4) Vulnerabilidades (X5) Impacto Económico (X6) XN Congreso Académico ITGSM13 Diapositiva 18 Riesgo Residual Activo R 1 Activo R 2 Aplicando ISO/IEC (Selección de Controles)

19 Cómo se realizan los pilotos en AENOR DD Hitos más relevantes en ISO o En Junio 2007 se traspone la ISO/IEC :2005 a norma UNE-ISO/IEC :2007 (A instancias del capítulo español de itsmf) o Piloto con grandes corporaciones: durante el periodo de 2006 y 2007 se realiza piloto con Telefónica Soluciones y El Corte Inglés (Centro de Cálculo). El 21 de Junio de 2007 AENOR certifica a estas 2 grandes corporaciones españolas. o Piloto con 16 empresas TICs en el segmento de Mediana y Pequeña empresa con las asociaciones: CONETIC y GAIA. Con la colaboración de NEXTEL. Dentro del plan avanza con subvención del MICYT durante el periodo 2008 y En Diciembre 2009 se certifican las 16 empresas. o Proyecto AGESTIC 2009 para ISO (Plan Avanza) o Publicación en 2010 por AENOR Ediciones y Telefónica del libro: ISO/IEC Guía completa de aplicación para la gestión de los servicios y tecnologías de la información. o Publicación en 2010 por AENOR Ediciones, MICYT. el libro: ISO/IEC para pymes. Como implantar un sistema de gestión de los servicios de tecnologías de la información o Proyecto AUDISEC 2011 para ISO Plan AVANZA Congreso Académico ITGSM13 Diapositiva 19

20 UNE -ISO Gestión de Servicios TI Está formada por dos partes bajo el mismo título: Tecnologías de la Información Gestión del Servicio o UNE-ISO/IEC Parte1: Especificación Promueve la adopción de un marco de procesos de gestión, para una provisión de servicios gestionados que están en línea con: las necesidades del negocio con los requisitos de los clientes Motor o ISO/IEC Parte 2: Código de prácticas Guía y recomendaciones relativas a las buenas prácticas de la Gestión del Servicio Esta parte debería usarse junto con la parte 1 de la norma ISO/IEC relativa a las especificaciones Conocimiento Congreso Académico ITGSM13 Diapositiva 20

21 UNE -ISO Gestión de Servicios TI Aspectos más importantes: o o o o o PDCA Catálogo de Servicios SLA s CMDB Los 13 procesos de ISO Congreso Académico ITGSM13 Diapositiva 21

22 Certificación SGSTI (ISO ): MODELO PDCA Plan-Do-Check-Act Política, Alcance, Plan de Gestión Servicio P Implementar los objetivos y plan de gestión de los servicios ISO parte 2 (Procesos-Guía) A Mejorar la eficacia y la eficiencia de la prestación y gestión de los servicios 1.- Gestión del Nivel de Servicio 2-.Informes del Servicio 3.-Gestión de la Capacidad 4.-Gestión de la continuidad y de la disponibilidad del servicio 5.-Gestión de la Seguridad de la Información 6.- Gestión de Presupuestos y contabilidad de los servicios 7.-Gestión de Incidencias 8.- Gestión de Problemas 9.- Gestión de Configuración 10.- Gestión del Cambio 11.- Gestión de relaciones con el Negocio 12. Gestión de Proveedores 13: Gestión de la entrega D Adoptar las acciones correctivas Adoptar las acciones preventivas Revisión por Dirección Auditorías Internas, Métricas e Indicadores, etc. C Congreso Académico ITGSM13 Diapositiva 22

23 Cómo se realizan los pilotos en AENOR DD Hitos más relevantes en SPICE ISO ISO o En 2008 Estudio sobre la relación entre ISO/IEC SPICE y CMMI-DEV v1.2, subvencionado por el Ministerio de Industria.- AENOR, Kybele-Consulting, UCLM, URJCI o Piloto 2 años ( ), con 21 empresas de Nivel 2 de madurez. AENOR o Definición del esquema de certificación según ISO AENOR o Creación del portal para la difusión. AENOR-Kybele Consulting o Jornadas divulgativas en ISO 15504/ISO o Formación y reuniones técnicas en ISO 15504/ISO o Publicación 2011 por MICYT, AENOR y PRYMSA el libro: Guía de implantación del modelo de procesos de calidad del desarrollo de software en el nivel 2 de madurez SPICE en las Pymes o Piloto 2011 ISO SPICE nivel 3 de madurez con la empresa DIMETRONIC o Publicación en Computer,Standards&Interface. ELSEVIER.(publicación profesional) Refrendo a nivel internacional) del modelo de AENOR de SPICE-ISO 15504/ISO Congreso Académico ITGSM13 Diapositiva 23

24 MODELO DE NIVELES DE MADUREZ MEJORA DE LA CALIDAD DE LOS PROCESOS SOFTWARE MODELO DE PROCESOS MODELO DE EVALUACIÓN ISO/IEC 12207:2008 ISO/IEC Procesos Resultados del Proceso (RP) 24 Atributos de Proceso (AP) Componentes de los Atributos de Proceso (CAP) Uso interno Banco de España CONFIDENCI24 AL Congreso Académico ITGSM13 Diapositiva

25 PROCESOS DE LOS NIVELES 1 Y 2 DE MADUREZ Nivel 2 de madurez AP 2.1 Gestión de la realización CAP Definir los objetivos del proceso CAP Planificar y controlar el proceso CAP Adaptar la realización del proceso CAP Asignar las responsabilidades del proceso CAP Asignar los recursos y la información CAP Gestionar la comunicación entre involucrados AP 2.2 Gestión de los productos de trabajo CAP Definir los requisitos para los productos de trabajo CAP Requisitos para la documentación y control CAP Identificar, documentar y controlar los productos de trabajo CAP Revisar y adaptar los productos de trabajo Nivel 1 de madurez 25 Proceso de Suministro Proceso de Definición de Requisitos de los Stakeholders Proceso de Análisis de los Requisitos del Sistema Proceso de Gestión del Modelo de Ciclo de Vida Proceso de Planificación del Proyecto Proceso de Evaluación y Control del Proyecto Proceso de Gestión de la Configuración del Software Proceso de Gestión de la Configuración Proceso de Medición Proceso de Aseguramiento de la Calidad del Software Congreso Académico ITGSM13 Diapositiva 25

26 PROCESOS DE NIVEL 3 DE MADUREZ Nivel 3 de madurez Nivel 2 de madurez Proceso de Gestión de Infraestructuras Proceso de Gestión de Recursos Humanos Proceso de Gestión de la Decisión Proceso de Gestión de Riesgos Proceso de Diseño de la Arquitectura del Sistema Proceso de Integración del Sistema Proceso de Análisis de Requisitos del Software Proceso de Diseño de la Arquitectura del Software Proceso de Integración del Software Proceso de Verificación del Software Proceso de Validación del Software Nivel 1 de madurez 26 Congreso Académico ITGSM13 Diapositiva 26

27 PORTAL Y MATERIAL DE APOYO Portal Artículos Foro Cursos de formación on line 27 Congreso Académico ITGSM13 Diapositiva 27

28 Cómo se realizan los pilotos en AENOR DD Hitos más relevantes en otros sistemas - SAM, ITGovernance, SGCN: o SAM SGAS ISO piloto con la empresa TECNOFOR en 2010 subvencionado por los fabricantes de Software. o ITGovernance ISO piloto con empresa del sector financiero Rural de Servicios de Informática (RSI) en o SGCN ISO 22301/UNE /BS , 3 pilotos; en sector sanitario en España SANITAS en el 2010, en sector financiero en México BURÓ DE CRÉDITO y Sector Tecnológico-España GMV en el 2011 y otros on-going Congreso Académico ITGSM13 Diapositiva 28

29 Sistema de Gestión de Continuidad de Negocio - SGCN ISO 22301:2011 (MOTOR PDCA) Aporta al Plan de Continuidad de Negocio -PCN el PDCA Correspondencia entre las normas ISO 9001, ISO 14001, ISO Destacar el BIA (Business Impact Analysis Análisis de Impacto en el Negocio) Congreso Académico ITGSM13 Diapositiva 29

30 Ciclo de PDCA ISO SGCN 3. Planificación (PLAN) Partes interesadas 4. Implantación y Operación (DO) 6. Mantenimiento y Mejora (ACT) Requisitos y expectativas de la continuidad de negocio Partes interesadas Continuidad de Negocio Gestionada 5. Supervisión y Revisión (CHECK) Congreso Académico ITGSM13 Diapositiva 30

31 Modelo de Gobierno Corporativo de TI (Certificado de conformidad) La ISO tiene los siguientes componentes: La dirección ha de gobernar las TI mediante 3 tareas principales: o Monitorizar o Evaluar o Dirigir 31 Congreso Académico ITGSM13 Diapositiva 31

32 Modelo de Gobierno Corporativo de TI (Certificado de conformidad) Estas tres tareas se incluyen en cada uno de los principios. Principio 1:Responsabilidad Principio 2: Estrategia Principio 3: Adquisición Principio 4: Rendimiento Principio 5: Conformidad Principio 6: Factor Humano Congreso Académico ITGSM13 Diapositiva 32

33 Cómo se realizan los pilotos en AENOR DD Hitos más relevantes en Sostenibilidad Energética SE-CPD o Comienzo en 2008 a estudiar Datacenter Green. o Reuniones con Enertic. o Realización de certificaciones piloto con INTECO, TISSAT y SANITAS. o Modelo en base a sistemas ISO con alcance reducido a CPD. (Auditoría energética/sistema de Gestión Energética-ISO 50001/Huella de Carbono) Congreso Académico ITGSM13 Diapositiva 33

34 Proceso de Certificación según ISO Informe fase 1 FASE 1: PLANIFICACIÓN DE LA AUDITORÍA Y ESTUDIO DE DOCUMENTACIÓN (presencial) Auditorías de mantenimiento de la certificación CUESTIONARIO PRELIMINAR Y SOLICITUD FASE 2: REALIZACIÓN DE LA AUDITORÍA (presencial) AENOR Auditoría de Certificación AUDITORÍAS DE RENOVACIÓN (AL TERCER AÑO) (según ISO 17021:2011) Hoja de datos Alcance : de acuerdo al XXX vigente ELABORACIÓN DEL PLAN DE ACCIONES CORRECTIVAS - PAC AUDITORÍAS DE SEGUIMIENTO (AL SEGUNDO AÑO) AUDITORÍAS DE SEGUIMIENTO (AL PRIMER AÑO) Informe final REGISTRAR LOS RESULTADOS Informe de Evaluación y Decisión CONCESIÓN DEL CERTIFICADO Congreso Académico ITGSM13 Diapositiva 34

35 Proceso de Certificación - Cadena de valor Evaluación y Decisión Manteniendo una estructura que permita independencia e imparcialidad, en la toma de decisiones para la concesión o no de una certificación se establecen tres niveles: Decisión (Concesión / no concesión) Coordinador TICs - Comité TRE (Técnico Expedientes) Auditor Jefe Revisión de Propuesta (Concesión / no concesión) Propuesta (Concesión / no concesión) 35 Congreso Académico ITGSM13 Diapositiva 35

36 Acreditación de AENOR - SGSI Congreso Académico ITGSM13 Diapositiva 36

37 Certificaciones de TICs en Universidades SGSTI UNE-ISO/IEC :2011 AÑO CONCESION 2009 Certificado Empresa STI-0007/2009 UPCNET S.L.U. SGSI UNE-ISO/IEC 27001:2007 AÑO CONCESION Certificado Empresa 2010 SI-0034/2010 UNIVERSITAT JAUME I 2010 SI-0054/2010 UPCNET S.L.U certificaciones emitidas en ISO entre España y LATAM. Grandes corporaciones y Pymes certificaciones emitidas en ISO entre España y LATAM. Grandes corporaciones y Pymes Congreso Académico ITGSM13 Diapositiva 37

38 AENOR e ISO en la actualidad Congreso Académico ITGSM13 Diapositiva 38

39 AENOR e ISO en la actualidad Congreso Académico ITGSM13 Diapositiva 39

40 AENOR y SPICE- ISO 15504/ISO en la actualidad Congreso Académico ITGSM13 Diapositiva 40

41 Salidas profesionales desde el modelo de AENOR / New Jobs! AENOR FORMACION Titulaciones Propias ISO SGSI ISO SGSTI ISO SPICE ISO SGCN Madurez en ciclo de vida de software Responsable Consultor Auditor interno Auditor externo Ídem Ídem Ídem Otros Sistemas en Desarrollo con su titulación ISO Gobierno de TI EA 0044:2013 SE CPD SAM ISO SGAS Congreso Académico ITGSM13 Diapositiva 41

42 Bibliografía TICs Congreso Académico ITGSM13 Diapositiva 42

43 AENOR: Nuestra tarjeta de visita. Congreso Académico ITGSM13 Diapositiva 43

44 Futuro y conclusiones en Sistemas de Gestión en las TICs. Aspectos a considerar: El control interno de Tecnologías de Información no es una moda. El Sistema de Gestión en las TICs ayuda a gestionar el control interno de Tecnologías de la Información alineado e integrado con los objetivos del negocio y el cumplimiento normativo legal y sectorial. El PDCA-motor y el conocimiento-control interno de TI, cumpliendo objetivos de negocio. CEO y CIO desean calidad y seguridad en los servicios de TI. CEO y CIO desean aplicaciones implementadas que cumplan con los objetivos de negocio/requisitos de los usuarios. Congreso Académico ITGSM13 Diapositiva 44

45 Sistemas de Gestión en las TICs. Una historia reciente La simplicidad es la mayor de las sofisticaciones Leonardo Da Vinci Congreso Académico ITGSM13 Diapositiva 45

46 Un nuevo reto en las TICs PDCA Ciclo de mejora Continua (Deming) Sistema de Gestión Integrado y alineado con los Objetivos del Negocio. En conclusión: Dormirá tranquilo el/la CIO? GRACIAS Carlos Manuel FERNÁNDEZ.CISA,CISM. Gerente de TICs Dirección de Desarrollo cmfernandez@aenor.es Vocal del Colegio Profesional de Ingenieros de Informática de Madrid (CPIICM) Congreso Académico ITGSM13 Diapositiva 46