MODELO DE GOBIERNO Y GESTION EN LAS TICs CON NORMAS ISO

Documentos relacionados
ERA DEL BIG DATA (SMAC) Carlos Manuel FERNÁNDEZ. CISA,CISM. Gerente de TICs -AENOR AENOR

Normas (estándares) ISO relativas a TICs Modelo de ISO en las TICs

Evaluación, mejora y certificación del producto software: Un caso práctico

GOBIERNO Y GESTION DE LAS TICs en el Siglo XXI

AENOR. CERTIFICACIÓN DE SOSTENIBILIDAD ENERGÉTICA EN CPDs EA 0044:2013. D. Antonio CARRETERO. D. Carlos Manuel FERNÁNDEZ. Dirección de Desarrollo

Jornada El modelo de AENOR de Gobierno y Gestión de las TICs con estándares ISO. Experiencias y salidas profesionales

Jornada El modelo de AENOR de Gobierno y Gestión de las TICs con estándares ISO. Experiencias y salidas profesionales

NORMAS DE GESTIÓN AVANZADA 2011 La Norma ISO/IEC Buen Gobierno de las Tecnologías de la Información. La Norma ISO/IEC

Calidad. en el desarrollo de software. El software forma parte de nuestras SISTEMA SPICE

Normas (estándares) ISO relativas a TICs Modelo de ISO en las TICs

CSTIC 2010 Gestión de las TIC: Calidad y Sostenibilidad"

Caso Práctico: Proyecto de Certificación ISO 27001

TALLER. 19 y 20 de Julio 2016 Hotel Park Inn, San José. ISO-IEC Seguridad de la Información orientada al Negocio

Gestión de la seguridad de la información: UNE 71502, ISO Antonio Villalón Huerta

AUDITORIA EN SISTEMAS NORMA DIANA NATALY CUERVO BAQUERO JULIAN DAVID HERNANDEZ RIVERA

II Encuentro con el SECTOR PÚBLICO DINTEL 2010 "La Sostenibilidad del Ecosistema TIC de las Administraciones Públicas

AENOR. Seguridad en la Gestión de las TICs con normas ISO (Modelo de Gobierno y Gestión de las TICs) Octubre 2013 Dirección de Desarrollo AENOR

ISO , por dónde empezamos?

Gobierno de las Tecnologías de la Información Máster Universitario en Ingeniería Informática

UNE EN ISO Sistemas de Gestión de la Energía Ventajas de la optimización de la gestión energética

CSTIC Madrid, 5 de octubre 2010 CSTIC Universidad Pontificia Comillas C/ Alberto Aguilera, 23

SOLICITUD DE INFORMACIÓN PARA LA ELABORACION DEL ESTUDIO DE MERCADO

Diplomado en GERENCIA DE SISTEMAS DE GESTIÓN HSEQ

Anexo 2. Plan de Implementación del SGC para BDV, S.A., basado en la Norma ISO 9001:2015

Gestión de la Demanda & IT un matrimonio perfecto sin prima de riesgo Juan C. Vigo, everis Diego Franco, ATI

ISO Daniel Pedrajas Van de Velde Sara Estellés Rojas Carlos García

*[ Adecuación al Esquema Nacional de Seguridad: Un Enfoque Integral ]

Política del Sistema de Gestión del Servicio Requisitos Generales del SGS

Organismo Nacional de Certificación, Normalización y Evaluación de la Conformidad

Más seguridad. para la era SMAC UNE-ISO/IEC 27001

ISO Sistemas de Gestión de Tecnología de la Información (TI)

SOSTENIBILIDAD ENERGÉTICA EN CPDs. CERTIFICACIÓN EA 0044:2013. Jornada: AHORRO Y EFICIENCIA ENERGÉTICA EN CENTROS DE PROCESOS DE DATOS FENERCOM

Modelo de Gobierno y Gestión de las TIC.

LA CERTIFICACION DE LOS SISTEMAS DE GESTION. For the benefit of business and people

MÁSTER EN DIRECCIÓN DE LA CALIDAD TOTAL

Curso ISO Lead Implementer

UNE-EN ISO 50001:2011

La certificación de la huella de carbono

La ISO 50001como herramienta del cumplimiento del Real Decreto56/2016 Vicente Ros Garro

LA NORMA ISO 50001: 2011 SISTEMAS DE GESTIÓN DE ENERGÍA

Sistemas de gestión de riesgos: proceso de certificación de la gestión de activos. Antonio Carretero Peña Gerencia GAFM, AENOR

UNE EN ISO Sistemas de Gestión de la Energía

ISO/IEC Gestión de la seguridad de la información. Ing. Marco Antonio Paredes Poblano

Sistema de Gestión de Instalaciones y Eficiencia Energética (SGIEE) conforme a la norma ISO y auditoría interna (1)

SERVICIOS EN SEGURIDAD DE LA INFORMACION SISTESEG BOGOTA/COLOMBIA

UNE EN ISO Sistemas de Gestión de la Energía

Los SGSI en e-business & e-commerce: status y futuro Seguridad en e-business y en e-commerce

JORNADA ITSMF EN MURCIA 2015

Mejora de la calidad del proceso de desarrollo software y subvenciones a la certificación en ISO 15504

Norma IRAM-ISO/IEC 27001

OFERTA Curso Fundamentos de ITIL + Curso ITSM Foundation Bridge

Resistir lo extraordinario

TALLER. BIA- Análisis de impacto en el negocio 2016 Riesgo Operativo, TI y Continuidad del Negocio

ANEXO A: Síntesis del estándar ISO/IEC 27001:2005 [J]

GUÍA DE PROCESOS PARA IMPLEMENTACIÓN DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI)

Norma Heriberto Tirado Pinzon Carlos Andres Velasquez Luis Ernesto Guerrero

ISO mejorar la capacidad y madurez (evaluación) de los procesos

ISO 20000, por dónde empezamos?

ITGSM. PMO y SMO. Diferencias, Similitudes y Colaboración ACADEMIC IX CONGRESO ACADÉMICO INTERNACIONAL DE GOBIERNO Y GESTIÓN TIC.

MEMORIA DE GESTIÓN, 2004

CURSO TALLER EL BIA Y LA GESTIÓN DE CONTINUIDAD DEL NEGOCIO

17 DE JUNIO AL 30 DE JULIO HORAS CURSO DIRECCIÓN Y ADMINISTRACIÓN DE PROYECTOS

Plan Director de Seguridad de la Información

El procés de certificació de les normes de requisits

La nueva ISO 9001:2015: una oportunidad para la puesta en valor de la gestión documental.

Certificación CISA: Auditoría de los Sistemas de. Información.

Ing. Informática Informe de la importancia del concepto de Gobierno de TI. Presentados por: Maricruz López Villarreal Marisela Ruth Camacho Cruz

Resultados de la encuesta ANUIES- TIC Noviembre 10 y 11 de 2016, Ciudad de México.

XI Congreso Profesionales IT

CURSO OFICIAL IMPLEMENTADOR LÍDER ISO 22301

Cumplimiento a través de la Certificación en Sistemas de Gestión Energética

Revisión de las buenas prácticas de gestión de TI

Tecnologías de la información

PRESENTACIÓN CORPORATIVA. w w w. g l o b a l s u i t e. e s

NORMA ISO/IEC :2018

A XESTIÓN AMBIENTAL COMO XERADORA DE RENDIBILIDADE EMPRESARIAL

Madurez del Gobierno de las TI en las universidades españolas en relación a la ISO 38500

VII FORO DE PREVENCIÓN

2 Definición de Servicio 2.1 Qué es el servicio al cliente 2.2 El contacto con el producto 2.3 El contacto con los documentos

2 Definición de Servicio 2.1 Qué es el servicio al cliente 2.2 El contacto con el producto 2.3 El contacto con los documentos

PROGRAMA DE CONTENIDOS

*[ Adecuación al Esquema Nacional de Seguridad: Un Enfoque Integral ]

ITIL e ISO Introducción 2. Las buenas prácticas ITIL. 3. La norma ISO 20000

Desempeño Alineación Riesgo

Auditoría Reglamentaria de Prevención de Riesgos Laborales

Master en Dirección de la Calidad Total

ING. JOHN RAFAEL REDONDO CAMPOS MATRICULA PROFESIONAL Nº (COPNIA)

SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN ISO 27001:2013 IMPLEMENTADOR LÍDER

Sistema de Gestión de Calidad para la Administración del Macroproceso de Investigación del INIFAP. Norma NMX-CC-9001-IMNC-2008

Cómo realizar una gestión eficaz de la seguridad de la información específica para los servicios sanitarios

ISO 50001:2011 SISTEMAS DE GESTIÓN DE LA ENERGÍA

Competencias y perfiles para el personal TIC de las Universidades

IS O & IS O 38500

1 10/10/12 Presentation TÜV Rheinland

Anexo O. Cálculo de la Inversión del Proyecto

CURSO/GUÍA PRÁCTICA DE DESTINOS TURÍSTICOS INTELIGENTES (DTI) Y CIUDADES INTELIGENTES.

Introducción a ISO 9004:2000

Transcripción:

Martes 20 de Mayo de 2013 (UCLM Ciudad Real) MODELO DE GOBIERNO Y GESTION EN LAS TICs CON NORMAS ISO Carlos Manuel Fernández. CISA, CISM. Gerente /Coordinador de certificaciones TICs. AENOR

Speaker Bio & Company Information Ingeniero en Informática por la Universidad Politécnica de Madrid. Máster en Dirección de Empresas-MBA- por CECO. Diplomado en Estudios Avanzados en InformáticaDoctorando por la Universidad Pontificia de Salamanca. Diplomado en Administración de Empresas CEPADE-UPM. Certificado como CISA Certified Information System Auditor (1989) y CISM Certified Information Security Manager (2004) por ISACA y certificado ITIL Foundations. Con más de 30 años de experiencia en el sector de las TICs y 20 de ellos en Control Informático y la auditoría de SI: en la Administración Pública (Ministerio de Defensa /Cuartel Gral de la Armada-jefe de proyecto)) y en empresas internacionales de informática ( MICROSOFT-Original Software EXECUTIVE) y del sector financiero (Resident Vice President CITICORP-CITIBANK Europe/Spain), entre otras empresas/organizaciones. Actualmente en la Docencia: o Profesor asociado de la Universidad Pontificia de Salamanca (UPSAM) desde 1985; o Profesor de Máster de auditoría de Sistemas de Información y Seguridad Universidad Politécnica de Madrid desde 2000 ; o Profesor de Máster de la Universidad de Alcalá de Henares desde 2008 y profesor de la UNESCO-CREI en LATAM. (1990-1995) o Director del 1er Máster de auditoría informática (Madrid-Barcelona) en CENEI (1987-1994) Coordinador y autor: del libro Modelo para el Gobierno de las TIC con normas ISO. Noviembre 2012. AENOR Ediciones Coautor de libros de Auditoría Informática, Peritajes Informáticos, Factorías de Software, Implementación de ISO 20000-1, IT Governance. Coautor de artículos en la revista UNE, Dintel, Red Y Seguridad, Computing, en relación a la gestión y auditoría de TI (ISO 27001, ISO 20000-1, ISO 15504-SPICE, IT-Governance, etc.). Coautor de la Guía completa de aplicación para la gestión de servicios de tecnologías de la información ISO 20000-1 editada por AENOR en colaboración con TELEFONICA Fundador de la Asociación de Auditores Informáticos de España ASIA Chapter ISACA Madrid. Miembro asociado. Directivo de la junta directiva del Colegio Profesional de Ingenieros en Informática de Madrid. España. Vocal. Miembro de la Asociación CIONET. Patrono de la Fundación I + D Software Libre. Congreso Académico ITGSM13 Diapositiva 2 Carlos Manuel FERNÁNDEZ.CISA,CISM. Gerente de TICs Dirección de Desarrollo cmfernandez@aenor.es

AENOR Asociación privada de Normalización y Certificación AENOR es el representante de ISO en España y algunos países de Latinoamérica. Sin ánimo de lucro Constitución: 1986 Real decreto 2200/95 AENOR Corporación AENOR INTERNACIONAL (12 filiales) AENOR México ( +10 años en México DF y Delegaciones) Multisectorial Normalización Certificación productos, servicios, sistemas de gestión y personal Servicios de Formación AENOR es miembro de IQNET Congreso Académico ITGSM13 Diapositiva 3

AENOR ASOCIACIÓN ESPAÑOLA DE NORMALIZACIÓN Y CERTIFICACIÓN Entidad privada, independiente, sin ánimo de lucro ACTIVIDADES -Elaborar normas técnicas nacionales (UNE) y participar en la elaboración de normas internacionales -Certificar productos, servicios y empresas (sistemas de gestión) Entidad designada por el Ministerio de Industria y Energía (R.D. 1614/1985), como entidad para desarrollar las actividades de N+C. Reconocida como Organismo de Normalización y para actuar como Entidad de Certificación (R.D. 2200/1995) Congreso Académico ITGSM13 Diapositiva 4

AENOR Datos relevantes Medioambiente Calidad y Seguridad 25.300 1.200 + 400 + 100 41 3 Certificados ISO 9000 Certificados OHSAS 18001 Certificados IS0 27001 Certificados ISO 20000-1 Certificados SPICE nivel 2 Certificados SPICE nivel 3 6.220 Certificados ISO 14000 558 Certificados EMAS Producto Normalización Más de25.000 Normas (UNE y Ratificadas) Más de 89.570 Certificados Internacional Recursos Humanos 500 Auditores/25 auditores TICs Más de 45 Acuerdos internacionales para certificación de sistemas Más de 40 Países donde AENOR concedido certificados Cambio Climático Más de 200 proyectos MDL, AC y Voluntarios Congreso Académico ITGSM13 Diapositiva 5

AENOR. Dirección de Desarrollo Estratégico (INNOVACIÓN) DIRECCION GENERAL José Luis TEJERA Normalización Desarrollo Estratégico Operaciones Gerente / Coordinador de Certificaciones TICs Carlos M. FERNÁNDEZ +30 auditores especializados en TICs. Técnico TICs/ Auditor Jefe TICs Auditores Jefe TICs Auditores TICs Mayormente Ing. Informática/ Telecomunicaciones + 50% CISAs Congreso Académico ITGSM13 Diapositiva 6

Centro de Cómputo o Tecnologías de Información y Comunicaciones Es un Conjunto de: - Personas (Humanware) - Sistemas o Tecnologías (Base de Datos, software, aplicaciones, Hardware, Telecomunicaciones y sala de servers e infraestructura). - Procesos - Infraestructura Congreso Académico ITGSM13 Diapositiva 7

Gestión de las TICs con criterios de negocio Informe Penteo: Sólo un 21% de las cías gestionan el Dpto. de SI con criterios de negocio 31 % gestionan el dpto. de SI sólo con criterios tecnológicos 48 % gestionan con criterios híbridos Conclusiones: La Dirección de las cías. Tiene una percepción más positiva de los CIOs que siguen criterios de Negocio. Les dan el rol de líderes contribuidores de negocio en un 58% La Gestión de las TICs mejora el posicionamiento del dpto. de SI y del CIO En un futuro los CIOS más gestores y menos tecnólogos (Encuesta a: 85 Directores de TICs, 36 Dir. Generales y 12 Presidentes) Congreso Académico ITGSM13 Diapositiva 8

El tiempo de los Procesos en las TICs 80 s (mecanizar operaciones) 90 s (Help Desk y control presupuestario) Finales 90 s (E-Commerce y marketplace) XXI- (ITIL, CMMI, COBIT, ISO, etc..) : definir, medir y analizar: Ciclo Mejora Continua. Los procesos en TICs:incrementando el desarrollo de productos e innovación) CIOs se convierten en CPOs (Chief Process Officers) integrados con los objetivos del negocio.» Fuente: David Flint. Vice President de Gartner. Research. (Junio -2008). Congreso Académico ITGSM13 Diapositiva 9

Cómo perciben los ejecutivos los Sistemas de Información 71% de los ejecutivos están de acuerdo que es una palanca las TI para transformar el negocio 62% creen que las TICs deben focalizarse en la innovación de los procesos de negocio 66% están de acuerdo que las TICs han implicado una gestión de riesgos más compleja en las corporaciones.» Fuente: Ernst&Young study What next for the CIO? (Enero 2011). Una solución al gobierno y la gestión de las TICs es el modelo de AENOR de ISO en las TICs donde se realiza el gobierno y la gestión de las TICs alineadas con los objetivos de negocio. Congreso Académico ITGSM13 Diapositiva 10

Cuando el EL CIO (chief Information Officer) es esencial Conclusiones del Estudio Mundial de CIOs 2011 de IBM (EN BASE A ENTREVISTAS PERSONALES CON MÁS DE 3000 CiOs DE TODO EL MUNDO) -Los CIOs piensan actualmente más parecido a los CEOs. -Los Cios ayudan a enfrentarse a la complejidad, simplificando operaciones, los procesos de negocio, los productos y servicios. - Los CIOs para incrementar la competitividad : Planes visionarios que incluyen la analítica y la inteligencia del negocio (BI) el 83%, soluciones de movilidad el 74% y virtualización el 68%, etc... -Solución de IBM (con los Mandatos del CIO) que es como se ve el rol del CIO. Potenciar Proveedor de servicios de TI, para una mayor eficacia en la organización. Expandir Liderar las operaciones de TI para unos mejores procesos de negocio y la colaboración en la empresa. Transformar Mejorar la cadena de valor sectorial mejorando las relaciones con clientes, partners y clientes internos. Explorar Pioneros, rediseñar productos, mercados y modelos de negocio. -En conclusión: Los CEOs en el 2010 clasificaron los factores tecnológicos como la segunda fuerza externa más importante que impactara en sus organizaciones. (1ª Factores de Mercado y/o Factores macroeconómicos) Congreso Académico ITGSM13 Diapositiva 11

Modelo ISO para las TICs y otros entornos (2006-2013) La empresa y su continuidad según procesos críticos Objetivo: Gobierno y Gestión de las TICs con estándares ISO. SGCN ISO 22301 Sistema de Gestión Continuidad del Negocio. Creación de Software Gobierno de TI ISO / IEC 38500 IT Governance Procesos / Servicios Desarrollo de Software Nivel de Madurez. Ciclo de Vida de SW SPICE ISO 15504 Modelo de Evaluación, Mejora y Madurez de Software Funciones del director de TI SGAS - SAM ISO 19770-1 Sistema de Gestión Activos Software (Licencias de Software) Calidad y seguridad en servicios de TI (el día a día) SGSTI ISO 20000-1 Sistema de Gestión Servicios TI ISO 20000-2 ISO 12207 Ciclo de Vida de Desarrollo de Software Guía de Buenas Prácticas ISO 25000 Calidad del Producto Software SGSI ISO 27001 Sistema de Gestión Seguridad de la Información Adicionalmente: BPCE Buenas Práctica Comercio Electrónico ISO 27002 Guía de Controles Datacenter Green. Sostenibilidad Energética en CPDs- SE CPDCopyright AENOR. Diciembre 2006 Nota: tiene PDCA / Control interno Tecnologías de Información Congreso Académico ITGSM13 Diapositiva 12

Hitos del modelo El modelo se crea bottom-up en el año 2006. (SGSI SGSTI SPICE GobiernoTI SGCN) El modelo se basa en MOTOR-CONOCIMIENTO orientado a objetivos de negocio; donde motor es el PDCA y conocimiento los controles de cada sistema de gestión. En las siguientes transparencias, ver los hitos de cada sistema de gestión. Congreso Académico ITGSM13 Diapositiva 13

Cómo se realizan los pilotos en AENOR DD Hitos más relevantes en ISO 27001 o En el año 2004 se publica la UNE 71502 con las ISO 17799. o Piloto con la PNE-UNE 71502 con una empresa del sector financiero: durante el primer cuatrimestre del 2004. (EUROFACTOR HISPANIA, S.A. E.F.C.) o En 2006 lanzamiento de ISO 27001, similar a UNE 71502. AENOR migras la compañías certificadas en UNE 71502 a ISO 27001. o Pilotos con ETICOM (Asociación TIC de Andalucía), ClusterTIC (Asturias), etc. durante los años 2005-2007 mediante planes Avanza, etc. o Road-Show por toda España durante los años 2006-2010 del SGSI por AENOR o Acreditados por ENAC para el SGSI desde 2008 o Publicación en 2009 por AENOR Ediciones y Start-up: Guía de Aplicación de la Norma UNEISO/IEC 27001 sobre seguridad en Sistema de Información para pymes (en base a la experiencia de implantación en +40 pymes) Congreso Académico ITGSM13 Diapositiva 14

ISO 27001: SG de la Seguridad de la Información Solución a los Riesgos Empresariales, Decisión estratégica de la organización Modelo para la definición, implementación, operación, revisión, mantenimiento y mejora del SG de la SI. Reordenar la Seguridad de los SI. Sigue pautas de ISO 9001 e ISO 14001. Para todo tipo de organizaciones. En el marco de los riesgos empresariales generales. Fin, seleccionar controles de seguridad, adecuados y proporcionados. Enfoque por procesos, y para la mejora contínua. Congreso Académico ITGSM13 Diapositiva 15

Propiedades principales asociadas a la Información DISPONIBILIDAD CONFIDENCIALIDAD Asegurar que los usuarios autorizados tienen acceso cuando lo requieran a la información y sus activos asociados. Asegurar que la información es accesible solo para aquellos autorizados a tener acceso. INTEGRIDAD Garantizar la exactitud y completitud de la información y los métodos de su proceso La gestión eficaz de la Seguridad de la Información permite a la organización preservarlas. Congreso Académico ITGSM13 Diapositiva 16

SGSI - UNE ISO 27001. MODELO PDCA Definir política de seguridad Establecer alcance del al SGSI Realizar análisis de riesgos Seleccionar los controles P Implantar plan de gestión de riesgos Implantar el SGSI Implantar los controles ISO IEC 27002 / Anexo A. ISO IEC 27001 A A.5 Política de Seguridad de Información A.6 Estructura organizativa de la SI A.7 Clasificación y control de activos A.8 Seguridad ligada al personal A.9 Seguridad física y del entorno Adoptar las acciones correctivas Adoptar las acciones preventivas C A.10 Gestión de comunicaciones y operaciones A.11 Control de accesos A.12 Desarrollo y mantenimiento de sistemas A.13 Gestión de Incidentes de Seguridad A.14 Gestión Continuidad de Negocio A15 Conformidad y Cumplimiento legislación D Revisar internamente el SGSI Realizar auditorias internas del SGSI Indicadores y Métricas Revisión por Dirección 17 Congreso Académico ITGSM13 Diapositiva 17

Gestión de riesgos Implantación de controles Procesos de Negocio/Servicio de TI Activos de SI Análisis y Gestión de riesgos Sistemas de información (aplicativos) R=F(X1,X2,X3,Xn) Software Confidencialidad (X2) Hardware Telecomunicaciones Personas Integridad (X1) Disponibilidad (X3) Amenazas (X4) Vulnerabilidades (X5) Impacto Económico (X6) XN Congreso Académico ITGSM13 Diapositiva 18 Riesgo Residual Activo1-------R 1 Activo2-------R 2 Aplicando ISO/IEC 27002 (Selección de Controles)

Cómo se realizan los pilotos en AENOR DD Hitos más relevantes en ISO 20000-1 o En Junio 2007 se traspone la ISO/IEC 20000-1:2005 a norma UNE-ISO/IEC 20000-1:2007 (A instancias del capítulo español de itsmf) o Piloto con grandes corporaciones: durante el periodo de 2006 y 2007 se realiza piloto con Telefónica Soluciones y El Corte Inglés (Centro de Cálculo). El 21 de Junio de 2007 AENOR certifica a estas 2 grandes corporaciones españolas. o Piloto con 16 empresas TICs en el segmento de Mediana y Pequeña empresa con las asociaciones: CONETIC y GAIA. Con la colaboración de NEXTEL. Dentro del plan avanza con subvención del MICYT durante el periodo 2008 y 2009. En Diciembre 2009 se certifican las 16 empresas. o Proyecto AGESTIC 2009 para ISO 20000-1 (Plan Avanza) o Publicación en 2010 por AENOR Ediciones y Telefónica del libro: ISO/IEC 20000 Guía completa de aplicación para la gestión de los servicios y tecnologías de la información. o Publicación en 2010 por AENOR Ediciones, MICYT. el libro: ISO/IEC 20000 para pymes. Como implantar un sistema de gestión de los servicios de tecnologías de la información o Proyecto AUDISEC 2011 para ISO 20000-1 Plan AVANZA Congreso Académico ITGSM13 Diapositiva 19

UNE -ISO 20000 Gestión de Servicios TI Está formada por dos partes bajo el mismo título: Tecnologías de la Información Gestión del Servicio o UNE-ISO/IEC 20000-1. Parte1: Especificación Promueve la adopción de un marco de procesos de gestión, para una provisión de servicios gestionados que están en línea con: las necesidades del negocio con los requisitos de los clientes Motor o ISO/IEC 20000-2. Parte 2: Código de prácticas Guía y recomendaciones relativas a las buenas prácticas de la Gestión del Servicio Esta parte debería usarse junto con la parte 1 de la norma ISO/IEC 20000 relativa a las especificaciones Conocimiento Congreso Académico ITGSM13 Diapositiva 20

UNE -ISO 20000 Gestión de Servicios TI Aspectos más importantes: o o o o o PDCA Catálogo de Servicios SLA s CMDB Los 13 procesos de ISO 20000-1 Congreso Académico ITGSM13 Diapositiva 21

Certificación SGSTI (ISO 20000-1): MODELO PDCA Plan-Do-Check-Act Política, Alcance, Plan de Gestión Servicio P Implementar los objetivos y plan de gestión de los servicios ISO 20000-parte 2 (Procesos-Guía) A Mejorar la eficacia y la eficiencia de la prestación y gestión de los servicios 1.- Gestión del Nivel de Servicio 2-.Informes del Servicio 3.-Gestión de la Capacidad 4.-Gestión de la continuidad y de la disponibilidad del servicio 5.-Gestión de la Seguridad de la Información 6.- Gestión de Presupuestos y contabilidad de los servicios 7.-Gestión de Incidencias 8.- Gestión de Problemas 9.- Gestión de Configuración 10.- Gestión del Cambio 11.- Gestión de relaciones con el Negocio 12. Gestión de Proveedores 13: Gestión de la entrega D Adoptar las acciones correctivas Adoptar las acciones preventivas Revisión por Dirección Auditorías Internas, Métricas e Indicadores, etc. C Congreso Académico ITGSM13 Diapositiva 22

Cómo se realizan los pilotos en AENOR DD Hitos más relevantes en SPICE ISO 15504 ISO 12207 o En 2008 Estudio sobre la relación entre ISO/IEC 15504 SPICE y CMMI-DEV v1.2, subvencionado por el Ministerio de Industria.- AENOR, Kybele-Consulting, UCLM, URJCI o Piloto 2 años (2008-2010), con 21 empresas de Nivel 2 de madurez. AENOR o Definición del esquema de certificación según ISO 17021. AENOR o Creación del portal www.iso15504.es para la difusión. AENOR-Kybele Consulting o Jornadas divulgativas en ISO 15504/ISO 12207 o Formación y reuniones técnicas en ISO 15504/ISO 12207 o Publicación 2011 por MICYT, AENOR y PRYMSA el libro: Guía de implantación del modelo de procesos de calidad del desarrollo de software en el nivel 2 de madurez SPICE en las Pymes o Piloto 2011 ISO 15504 SPICE nivel 3 de madurez con la empresa DIMETRONIC o Publicación en Computer,Standards&Interface. ELSEVIER.(publicación profesional) Refrendo a nivel internacional) del modelo de AENOR de SPICE-ISO 15504/ISO 12207 Congreso Académico ITGSM13 Diapositiva 23

MODELO DE NIVELES DE MADUREZ MEJORA DE LA CALIDAD DE LOS PROCESOS SOFTWARE MODELO DE PROCESOS MODELO DE EVALUACIÓN ISO/IEC 12207:2008 ISO/IEC 15504 Procesos Resultados del Proceso (RP) 24 Atributos de Proceso (AP) Componentes de los Atributos de Proceso (CAP) Uso interno Banco de España CONFIDENCI24 AL Congreso Académico ITGSM13 Diapositiva

PROCESOS DE LOS NIVELES 1 Y 2 DE MADUREZ Nivel 2 de madurez AP 2.1 Gestión de la realización CAP 2.1.1 Definir los objetivos del proceso CAP 2.1.2 Planificar y controlar el proceso CAP 2.1.3 Adaptar la realización del proceso CAP 2.1.4 Asignar las responsabilidades del proceso CAP 2.1.5 Asignar los recursos y la información CAP 2.1.6 Gestionar la comunicación entre involucrados AP 2.2 Gestión de los productos de trabajo CAP 2.2.1 Definir los requisitos para los productos de trabajo CAP 2.2.2 Requisitos para la documentación y control CAP 2.2.3 Identificar, documentar y controlar los productos de trabajo CAP 2.2.4 Revisar y adaptar los productos de trabajo Nivel 1 de madurez 25 Proceso de Suministro Proceso de Definición de Requisitos de los Stakeholders Proceso de Análisis de los Requisitos del Sistema Proceso de Gestión del Modelo de Ciclo de Vida Proceso de Planificación del Proyecto Proceso de Evaluación y Control del Proyecto Proceso de Gestión de la Configuración del Software Proceso de Gestión de la Configuración Proceso de Medición Proceso de Aseguramiento de la Calidad del Software Congreso Académico ITGSM13 Diapositiva 25

PROCESOS DE NIVEL 3 DE MADUREZ Nivel 3 de madurez Nivel 2 de madurez Proceso de Gestión de Infraestructuras Proceso de Gestión de Recursos Humanos Proceso de Gestión de la Decisión Proceso de Gestión de Riesgos Proceso de Diseño de la Arquitectura del Sistema Proceso de Integración del Sistema Proceso de Análisis de Requisitos del Software Proceso de Diseño de la Arquitectura del Software Proceso de Integración del Software Proceso de Verificación del Software Proceso de Validación del Software Nivel 1 de madurez 26 Congreso Académico ITGSM13 Diapositiva 26

PORTAL Y MATERIAL DE APOYO Portal www.iso15504.es Artículos Foro Cursos de formación on line 27 Congreso Académico ITGSM13 Diapositiva 27

Cómo se realizan los pilotos en AENOR DD Hitos más relevantes en otros sistemas - SAM, ITGovernance, SGCN: o SAM SGAS ISO 19770-1 piloto con la empresa TECNOFOR en 2010 subvencionado por los fabricantes de Software. o ITGovernance ISO 38500 piloto con empresa del sector financiero Rural de Servicios de Informática (RSI) en 2010. o SGCN ISO 22301/UNE 71599-2/BS 25999-2, 3 pilotos; en sector sanitario en España SANITAS en el 2010, en sector financiero en México BURÓ DE CRÉDITO y Sector Tecnológico-España GMV en el 2011 y otros on-going Congreso Académico ITGSM13 Diapositiva 28

Sistema de Gestión de Continuidad de Negocio - SGCN ISO 22301:2011 (MOTOR PDCA) 1. 2. 3. Aporta al Plan de Continuidad de Negocio -PCN el PDCA Correspondencia entre las normas ISO 9001, ISO 14001, ISO 27001 Destacar el BIA (Business Impact Analysis Análisis de Impacto en el Negocio) Congreso Académico ITGSM13 Diapositiva 29

Ciclo de PDCA ISO 22301 - SGCN 3. Planificación (PLAN) Partes interesadas 4. Implantación y Operación (DO) 6. Mantenimiento y Mejora (ACT) Requisitos y expectativas de la continuidad de negocio Partes interesadas Continuidad de Negocio Gestionada 5. Supervisión y Revisión (CHECK) Congreso Académico ITGSM13 Diapositiva 30

Modelo de Gobierno Corporativo de TI (Certificado de conformidad) La ISO 38500 tiene los siguientes componentes: La dirección ha de gobernar las TI mediante 3 tareas principales: o Monitorizar o Evaluar o Dirigir 31 Congreso Académico ITGSM13 Diapositiva 31

Modelo de Gobierno Corporativo de TI (Certificado de conformidad) Estas tres tareas se incluyen en cada uno de los principios. Principio 1:Responsabilidad Principio 2: Estrategia Principio 3: Adquisición Principio 4: Rendimiento Principio 5: Conformidad Principio 6: Factor Humano Congreso Académico ITGSM13 Diapositiva 32

Cómo se realizan los pilotos en AENOR DD Hitos más relevantes en Sostenibilidad Energética SE-CPD o Comienzo en 2008 a estudiar Datacenter Green. o Reuniones con Enertic. o Realización de certificaciones piloto con INTECO, TISSAT y SANITAS. o Modelo en base a sistemas ISO con alcance reducido a CPD. (Auditoría energética/sistema de Gestión Energética-ISO 50001/Huella de Carbono) Congreso Académico ITGSM13 Diapositiva 33

Proceso de Certificación según ISO 17021 Informe fase 1 FASE 1: PLANIFICACIÓN DE LA AUDITORÍA Y ESTUDIO DE DOCUMENTACIÓN (presencial) Auditorías de mantenimiento de la certificación CUESTIONARIO PRELIMINAR Y SOLICITUD FASE 2: REALIZACIÓN DE LA AUDITORÍA (presencial) AENOR Auditoría de Certificación AUDITORÍAS DE RENOVACIÓN (AL TERCER AÑO) (según ISO 17021:2011) Hoja de datos Alcance : de acuerdo al XXX vigente ELABORACIÓN DEL PLAN DE ACCIONES CORRECTIVAS - PAC AUDITORÍAS DE SEGUIMIENTO (AL SEGUNDO AÑO) AUDITORÍAS DE SEGUIMIENTO (AL PRIMER AÑO) Informe final REGISTRAR LOS RESULTADOS Informe de Evaluación y Decisión CONCESIÓN DEL CERTIFICADO Congreso Académico ITGSM13 Diapositiva 34

Proceso de Certificación - Cadena de valor Evaluación y Decisión Manteniendo una estructura que permita independencia e imparcialidad, en la toma de decisiones para la concesión o no de una certificación se establecen tres niveles: Decisión (Concesión / no concesión) Coordinador TICs - Comité TRE (Técnico Expedientes) Auditor Jefe Revisión de Propuesta (Concesión / no concesión) Propuesta (Concesión / no concesión) 35 Congreso Académico ITGSM13 Diapositiva 35

Acreditación de AENOR - SGSI Congreso Académico ITGSM13 Diapositiva 36

Certificaciones de TICs en Universidades SGSTI UNE-ISO/IEC 20000-1:2011 AÑO CONCESION 2009 Certificado Empresa STI-0007/2009 UPCNET S.L.U. SGSI UNE-ISO/IEC 27001:2007 AÑO CONCESION Certificado Empresa 2010 SI-0034/2010 UNIVERSITAT JAUME I 2010 SI-0054/2010 UPCNET S.L.U. + 130 certificaciones emitidas en ISO 20000-1 entre España y LATAM. Grandes corporaciones y Pymes + 400 certificaciones emitidas en ISO 27001 entre España y LATAM. Grandes corporaciones y Pymes Congreso Académico ITGSM13 Diapositiva 37

AENOR e ISO 20000-1 en la actualidad Congreso Académico ITGSM13 Diapositiva 38

AENOR e ISO 27001 en la actualidad Congreso Académico ITGSM13 Diapositiva 39

AENOR y SPICE- ISO 15504/ISO 12207 en la actualidad Congreso Académico ITGSM13 Diapositiva 40

Salidas profesionales desde el modelo de AENOR / New Jobs! AENOR FORMACION Titulaciones Propias ISO 27001 SGSI ISO 20000 SGSTI ISO 22301 SPICE ISO 15504 SGCN Madurez en ciclo de vida de software Responsable Consultor Auditor interno Auditor externo Ídem Ídem Ídem Otros Sistemas en Desarrollo con su titulación ISO 38500 Gobierno de TI EA 0044:2013 SE CPD SAM ISO 19770 SGAS Congreso Académico ITGSM13 Diapositiva 41

Bibliografía TICs Congreso Académico ITGSM13 Diapositiva 42

AENOR: Nuestra tarjeta de visita. Congreso Académico ITGSM13 Diapositiva 43

Futuro y conclusiones en Sistemas de Gestión en las TICs. Aspectos a considerar: El control interno de Tecnologías de Información no es una moda. El Sistema de Gestión en las TICs ayuda a gestionar el control interno de Tecnologías de la Información alineado e integrado con los objetivos del negocio y el cumplimiento normativo legal y sectorial. El PDCA-motor y el conocimiento-control interno de TI, cumpliendo objetivos de negocio. CEO y CIO desean calidad y seguridad en los servicios de TI. CEO y CIO desean aplicaciones implementadas que cumplan con los objetivos de negocio/requisitos de los usuarios. Congreso Académico ITGSM13 Diapositiva 44

Sistemas de Gestión en las TICs. Una historia reciente La simplicidad es la mayor de las sofisticaciones Leonardo Da Vinci Congreso Académico ITGSM13 Diapositiva 45

Un nuevo reto en las TICs PDCA Ciclo de mejora Continua (Deming) Sistema de Gestión Integrado y alineado con los Objetivos del Negocio. En conclusión: Dormirá tranquilo el/la CIO? GRACIAS Carlos Manuel FERNÁNDEZ.CISA,CISM. Gerente de TICs Dirección de Desarrollo cmfernandez@aenor.es Vocal del Colegio Profesional de Ingenieros de Informática de Madrid (CPIICM) Congreso Académico ITGSM13 Diapositiva 46

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback