View
239
Download
0
Category
Preview:
Citation preview
5/28/2018 u2_actividad 2 - Modelo Iso Sobre Tic
1/13
CONTEXTUALIZACIN DE LAS TECNOLOGAS DE LA INFORMACIN Y LACOMUNICACIN (I7713)
16 DE MARZO DE 2014UNIVERSIDAD DE GUADALAJARA
UNIDAD 2: POL TICAS, LINEAMIENTOS Y EST NDARES DE LAS TIC A NIVEL MUNDIAL,AMRICA LATINA Y NACIONAL
ACTIVIDAD 2: MODELO ISO SOBRE TICASESOR TITULAR: JAVIER RIZO PIMENTEL
ASESOR: JAVIER RIZO PIMENTELCOORDINADOR DE LTEI: PAOLA MERCADO LOZANO
ALUMNO: GABRIEL PREZ GUERRERO (214294341)GRUPO: 81490
SISTEMA DE UNIVERSIDAD VIRTUAL
UDG VIRTUAL
LIC. EN TECNOLOGAS E
INFORMACIN 2014A
5/28/2018 u2_actividad 2 - Modelo Iso Sobre Tic
2/13
1GABRIEL PREZ GUERRERO
LTEI_2014A
Modelo ISO sobre TIC.
Actualmente el uso de las TIC ha crecido, y sigue en aumento, por lo que los riesgos asociados tambin van en aumento. Las
empresas utilizarn una serie de herramientas para controlar, prevenir y remediar los fallos de seguridad y dar confianza y
tranquilidad a los clientes, as, asegurando la fidelidad de estos y su continuidad en el negocio.
El sistema de gestin en las TIC nos ayuda a gestionar el control interno de TIC, siempre y cuando est alineado e integrado con
los objetivos del negocio y que cumplan con la normalizacin legal y sectorial. Es necesario aplicar las normas ISO para obtener
una correcta gestin de las TIC en el negocio.
Principales elementos del modelo ISO en TIC.
Calidad y Seguridad.
25,300 Certificados ISO 9000
1,200 Certificados OHSAS 18001
+ 250 certificados ISO 27001
+ 70 certificados ISO 20000-1
24 certificados SPICE nivel 2
1 certificado SPICE nivel 3
Para la calidad, es un concepto global de gestionar calidad en empresas tecnolgicas o departamentos de informtica de pymes y
grandes empresas. La calidad se aplica en la prestacin de servicios IT (Information Technology), tales como atencin a cliente,
subcontratacin de servicios, desarrollo de software, disponibilidad de sistemas crticos, hosting, entrega de aplicaciones, etc.
Una de las claves de del negocio de las organizaciones es la informacin, sa que est alojada en los sistemas TIC, en el
conocimiento de sus empleados, en los procesos de la organizacin, en los archivos fsicos. La informacin forma parte del activo
ms importante de una compaa y es necesario protegerla por la propia continuidad de negocio. La seguridad de la informacin
5/28/2018 u2_actividad 2 - Modelo Iso Sobre Tic
3/13
2GABRIEL PREZ GUERRERO
LTEI_2014A
debe ser gestionada como un proceso abarcando temas tecnolgicos y aspectos que comienzan desde la propia gestin en las
personas.
Medio ambiente.
6,220 certificados ISO 14000
558 certificados EMAS
Menor impacto negativo al medio ambiente.
Producto.
Ms de 89,570 certificados
Calidad y seguridad del producto.
Normalizacin.Ms de 25,000 Normas (UNE y Ratificadas)
Documentacin que permite a los diferentes interlocutores tener la certeza de que estn hablando de lo mismo cuando tratan sobre
un servicio prestado, una forma de gestionar una entidad o un producto.
Internacional.
Ms de 45 acuerdos internacionales para la certificacin de sistemas
Ms de 40 pases donde AENOR ha concedido certificados
Recursos Humanos.500 auditores/25 auditores TICs
Cambio climtico.
5/28/2018 u2_actividad 2 - Modelo Iso Sobre Tic
4/13
3GABRIEL PREZ GUERRERO
LTEI_2014A
Ms de 200 proyectos MDL, AC y voluntarios
Normas con relacin con TICs:
BS25999 (1y2) Gestin de continuidad de negocio.
BS 25999-1presenta los procesos y principios necesarios para una adecuada gestin de la continuidad del negocio que permita
cubrir las necesidades de clientes y organizaciones.
BS 25999-2 es una norma britnica emitida en 2007, y se ha convertido en la principal norma para gestin de la continuidad del
negocio. Define un sistema de gestin de la continuidad del negocio con las siguientes fases de gestin: planificacin,
implementacin, revisin y supervisin, y por ltimo, mejora.
IT Governance.
ISO 15504 SPiCE.
Software Process Improvement Capability Determination. Sirve para la mejora, evaluacin de los procesos de desarrollo,mantenimiento de sistemas de informacin y productos de software.
ISO12207
Ciclo de vida de desarrollo de software.
ISO 19770 SAM.
Estndar internacional relacionado con la gestin de activos de software (SAM).
ISO20001-1
S.G. STI
ISO20000-2
Gua de buenas prcticas.
5/28/2018 u2_actividad 2 - Modelo Iso Sobre Tic
5/13
4GABRIEL PREZ GUERRERO
LTEI_2014A
ISO 27001
S.G. Seguridad de la informacin.
ISO 27002
Gua de controles.
Modelo ISO para las TICs y otros entornos.
Gobierno y gestin de las TICs con estndares ISO.
SGCN UNE 71599-2 Sistema de Gestin Continuidad del Negocio.
UNE 71599-1
Entendimiento de la empresa: anlisis de impacto, identificacin de actividades crticas, determinacin de requisitos de
continuidad, evaluacin de amenazas sobre actividades crticas, determinacin de opciones, visto bueno.
Determinacin de la estrategia de continuidad del negocio: Opciones estratgicas, personal, locales, tecnologa, informacin,
suministros, partes interesadas, emergencias civiles, visto bueno.
Desarrollo e implantacin de una respuesta GCN: Estructura de la respuesta a incidentes, contenido de los planes, plan de Gestin
de Incidentes, plan de continuidad del negocio.
Prueba, mantenimiento y revisin: Programa de pruebas, pruebas de puesta en prctica, mantenimiento de las disposiciones,
revisin de las disposiciones.
Gestin del programa de GCN: Asignacin de responsabilidades (gobierno), implantacin de la continuidad de negocio en la
organizacin, gestin continua, documentacin de GCN.
UNE 71599-2
5/28/2018 u2_actividad 2 - Modelo Iso Sobre Tic
6/13
5GABRIEL PREZ GUERRERO
LTEI_2014A
Establecer: Planificacin del Sistema de Continuidad de Negocio: Creacin y Gestin del SGCN; Implantacin de la GCN en la
cultura de la Organizacin; Documentos y registros del SGCN.
Implantar y operar: Implantacin y operacin del SGCN: Entender la Organizacin; Determinacin de la estrategia de continuidad
de negocio; Desarrollo e implantacin de una respuesta de GCN; Prueba, mantenimiento y revisin de planes y acciones de GCN.
Seguimiento y supervisin: Supervisin y seguimiento del SGCN: Auditora Interna; Revisin por la direccin del SGCN.
Mantener y mejorar: Mantenimiento y mejora del SGCN: Acciones Preventivas Correctivas; Mejora continua.
Gobierno de TI ISO / IEC 38500 IT Governance
Fija estndares de una buena gestin de procesos y decisiones empresariales relacionadas con los servicios de informacin y
comunicacin, los cuales suelen estar gestionados tanto por especialistas TI internos o ubicados en otras unidades de negocio de
la organizacin. Asegura que se pueda confiar en el gobierno corporativo TI, si la norma es seguida de manera adecuada
(directivos, consultores, ingenieros, proveedores de hardware, auditores, etc.). Informa y orienta a los directores que controlan el
uso de las TI en la organizacin. Proporciona una base para la evaluacin objetiva por parte de la alta direccin de la gestin de TI.
Se puede aplicar a entidades de todo tamao, incluyendo empresas pblicas y privadas, organizaciones gubernamentales o sin
nimo de lucro.
Desarrollo de software
Nivel de Madurez. Ciclo de Vida de SW SPICE ISO 15504
Modelo de evaluacin, mejora y madurez de software: Adaptacin para la evaluacin de procesos en PYMEs y pequeos grupos
de desarrollo software por niveles de madurez segn la norma ISO/IEC 15504. Permite realizar evaluaciones usando niveles de
madurez. La madurez define en niveles, siendo stos conjuntos predefinidos de procesos que ayudan a una organizacin a
mejorar en el desarrollo del software.
Nivel 0Organizacin inmadura: La organizacin no tiene una implementacin efectiva de los procesos.
Nivel 1Organizacin bsica: Implementa y alcanza los objetivos de los procesos.
5/28/2018 u2_actividad 2 - Modelo Iso Sobre Tic
7/13
6GABRIEL PREZ GUERRERO
LTEI_2014A
Nivel 2Organizacin gestionada: Gestiona los procesos y los productos de trabajo se establecen, controlan y mantienen.
Nivel 3Organizacin establecida: Utiliza procesos adaptados basados en estndares.
Nivel 4Organizacin predecible: Gestiona cuantitativamente los procesos.
Nivel 5Organizacin optimizando: Mejora continuamente los procesos para cumplir los objetivos de negocio.
ISO 12207 Ciclo de Vida de Desarrollo de Software
Procesos de ciclo de vida del software: Los procesos se clasifican en tres tipos: Procesos principales, de soporte y procesos de la
organizacin.
Procesos principales: Adquisicin, suministro, desarrollo, operacin, mantenimiento.
Procesos de soporte: Documentacin, gestin de la configuracin, aseguramiento de calidad, verificacin, validacin, revisin
conjunta, auditora, resolucin de problemas.
Procesos de la organizacin: Gestin, infraestructura, mejora, recursos humanos.
Procesos/Servicios
SGASSAM ISO 19770-1
Pertenece al estndar internacional ISO/IEC 19770. ISO 19770-1 Establece un conjunto base de procesos para la gestin de
activos de software (SAM).
Procesos SAM.
Gestin organizacional: Ambiente de control, procesos de planificacin e implementacin.
Procesos nucleares de SAM: Inventario, verificacin y cumplimiento, gestin de operaciones e interfaces.
Procesos bsicos: Procesos de ciclo de vida SAM.
5/28/2018 u2_actividad 2 - Modelo Iso Sobre Tic
8/13
7GABRIEL PREZ GUERRERO
LTEI_2014A
Sistema de Gestin Activos Software
SGSTI ISO 20000-1
Primera parte del ISO 20000. Sistema de Gestin de Servicios TI: Requisitos de los sistemas de gestin de servicios. Define los
requerimientos necesarios para realizar una entrega de servicios TI alineados con las necesidades de negocio, con calidad y valoraadido para los clientes, asegurando la optimizacin de costes y garantiza la seguridad de la entrega. Tambin garantiza que se
est realizando un ciclo de mejora continuo en la gestin de servicios TI.
ISO 20000-2
Segunda parte del ISO 20000. Gua de Buenas Prcticas. Gua de implementacin de los sistemas de gestin de servicios.
Representa el conjunto de buenas prcticas adoptadas y aceptadas por la industria en materia de Gestin de Servicio de TI. Es la
gua y soporte de establecimiento de acciones de mejora en el servicio o preparacin de auditoras contra el ISO 20000-1:2005.
SGSI ISO 27001
Sistema de Gestin Seguridad de la Informacin. Estndar para la seguridad de la informacin, aprobado y publicado como
estndar internacional en Octubre de 2005 por International Organization for Standarization y por la comisin International
Electrotechnical Commission.
Especifica los requisitos para establecer, implantar, mantener y mejorar un sistema de gestin de la seguridad se la informacin
(SGSI) segn el conocido como Ciclo de Deming: PDCA Plan, Do, Check, Act.
En 2013 desaparece la seccin enfoque a procesos dando mayor flexibilidad para la eleccin de metodologas de trabajo para el
anlisis de riesgos y mejoras. Cambia su estructura conforme al anexo SL comn al resto de estndares de la ISO. Pasa de 102
requisitos a 130. Considerables cambios en los controles establecidos en el anexo A. Inclusin de un nuevo dominio sobre
Relaciones con el Proveedor. Se parte del anlisis de riesgos para determinar los controles necesarios y compararlos con elanexo A.
ISO 27002
5/28/2018 u2_actividad 2 - Modelo Iso Sobre Tic
9/13
8GABRIEL PREZ GUERRERO
LTEI_2014A
Anteriormente denomidada ISO 17799. Gua de Controles. Gua de buenas prcticas que describe los objetivos de control y
controles recomendables en cuanto a la seguridad de la informacin. En la versin del 2005 incluye Poltica de Seguridad de la
Informacin, Organizacin de la Seguridad de la Informacin, Gestin de Activos de Informacin, Seguridad de los Recursos
Humanos, Seguridad Fsica y Ambiental, Gestin de las Comunicaciones y Operaciones, Control de Accesos, Adquisicin,
Desarrollo y Mantenimiento de Sistemas de Informacin, Gestin de Incidentes en la Seguridad de la Informacin, Gestin de
Continuidad del Negocio, Cumplimiento. Dentro de cada una de las secciones anteriormente mencionadas, se especifican losobjetivos de los distintos controles para la seguridad de la informacin.
Estndares Internacionales aplicables a las TIC
5/28/2018 u2_actividad 2 - Modelo Iso Sobre Tic
10/13
9GABRIEL PREZ GUERRERO
LTEI_2014A
ISO DescripcinBS 25999 (1y2) Gestin de continuidad de negocio
ISO 15504 SPICE (Software Process Improvement Capability Determination)
ISO 12207 Ciclo de vida de desarrollo de softwareISO 19770 Estndar internacional relacionado con la gestin de activos de software
(SAM)
ISO 20001-1 SGSTI (Sistema de Gestin de Servicios TI)ISO 20000-2 Gua de Buenas PrcticasISO 27001 SGSI (Sistema de Gestin Seguridad de la Informacin)ISO 27002 Gua de Controles
UNE 71599-2 SGCN (Sistema de Gestin de Continuidad del Negocio)ISO/IEC 38500 Gobierno de TI / IT Governance
ISO 15504 SW SPICENivel de MadurezCiclo de Vida de SoftwareISO 12207 Ciclo de Vida de Desarrollo de Software
ISO 19770-1 SGAS (Sistema de Gestin de Activos Software) SAMISO/IEC 29110 Perfiles de ciclo de vida para pequeas entidades
Familia de normasISO 25000
Calidad del producto de Software
ISO/IEC 29119 Pruebas de Software que an estn en elaboracin
5/28/2018 u2_actividad 2 - Modelo Iso Sobre Tic
11/13
10GABRIEL PREZ GUERRERO
LTEI_2014A
REFERENCIA BIBLIOGRFICA(2013, Noviembre 27) Aplicacin de las Normas ISO para la correcta gestin de las TIC. Recuperado el 16 de Marzo del 2014 de,
http://www.sbqconsultores.es/aplicacion-de-las-normas-iso-para-la-correcta-gestion-de-las-tic/
27001 Academy. ISO 27001 and ISO 22301 Online Consultation Center. (s.f.) Conceptos bsicos de la BS 25999-2. Recuperado el 15 de Marzo
del 2014 de,http://www.iso27001standard.com/es/que-es-la-norma-bs-25999-2
http://www.sbqconsultores.es/aplicacion-de-las-normas-iso-para-la-correcta-gestion-de-las-tic/http://www.sbqconsultores.es/aplicacion-de-las-normas-iso-para-la-correcta-gestion-de-las-tic/http://www.iso27001standard.com/es/que-es-la-norma-bs-25999-2http://www.iso27001standard.com/es/que-es-la-norma-bs-25999-2http://www.iso27001standard.com/es/que-es-la-norma-bs-25999-2http://www.iso27001standard.com/es/que-es-la-norma-bs-25999-2http://www.sbqconsultores.es/aplicacion-de-las-normas-iso-para-la-correcta-gestion-de-las-tic/5/28/2018 u2_actividad 2 - Modelo Iso Sobre Tic
12/13
11GABRIEL PREZ GUERRERO
LTEI_2014A
Fernndez, C. M. (2011). Normas (estndares) ISO relativas a TIC. Modelo de ISO en las TIC. AENOR. Recuperado el 14 de Marzo del 2014
de,http://www.s2grupo.es/pdf/Carlos_Manuel_AENOR.pdf
IT360 (s.f.) Calidad TIC. Seguridad de la Informacin, Calidad de desarrollo de software. Recuperado el 15 de Marzo del 2014 de,
http://www.it360.es/calidadtic.php
Marble Station. Sergi Blanco-Cuaresma. (2008, Marzo 09) BS 25999-1: Gestin de la Continuidad del Negocio. Recuperado el 15 de Marzo del
2014 de,http://www.marblestation.com/?p=650
Martnez Cndano, Beatrz. (2008, Junio) ISO/IEC 38500 y el Buen Gobierno de las T.I. Recuperado el 15 de Marzo del 2014 de,
http://www.criptored.upm.es/guiateoria/gt_m453a.htm
Valderrama Antn, Jos Angel; Jimnez Caballero, Jos Antonio. (2008, Octubre) Normalizacin y Certificacin en TIC. Recuperado el 15 de
Marzo del 2014 de,http://www.revistadintel.es/Revista1/DocsNum26/Normas/Valderrama.pdf
Wikipedia (Actualizacin: 09 de Octubre 2013) ISO/IEC 15505. Recuperado el 15 de Marzo del 2014 de,
http://es.wikipedia.org/wiki/ISO/IEC_15504
http://www.s2grupo.es/pdf/Carlos_Manuel_AENOR.pdfhttp://www.s2grupo.es/pdf/Carlos_Manuel_AENOR.pdfhttp://www.s2grupo.es/pdf/Carlos_Manuel_AENOR.pdfhttp://www.it360.es/calidadtic.phphttp://www.it360.es/calidadtic.phphttp://www.marblestation.com/?p=650http://www.marblestation.com/?p=650http://www.marblestation.com/?p=650http://www.criptored.upm.es/guiateoria/gt_m453a.htmhttp://www.criptored.upm.es/guiateoria/gt_m453a.htmhttp://www.revistadintel.es/Revista1/DocsNum26/Normas/Valderrama.pdfhttp://www.revistadintel.es/Revista1/DocsNum26/Normas/Valderrama.pdfhttp://www.revistadintel.es/Revista1/DocsNum26/Normas/Valderrama.pdfhttp://es.wikipedia.org/wiki/ISO/IEC_15504http://es.wikipedia.org/wiki/ISO/IEC_15504http://es.wikipedia.org/wiki/ISO/IEC_15504http://www.revistadintel.es/Revista1/DocsNum26/Normas/Valderrama.pdfhttp://www.criptored.upm.es/guiateoria/gt_m453a.htmhttp://www.marblestation.com/?p=650http://www.it360.es/calidadtic.phphttp://www.s2grupo.es/pdf/Carlos_Manuel_AENOR.pdf5/28/2018 u2_actividad 2 - Modelo Iso Sobre Tic
13/13
12GABRIEL PREZ GUERRERO
LTEI_2014A
Wikipedia (Actualizacin: 10 de Febrero 2014) ISO/IEC 20000. Recuperado el 15 de Marzo del 2014 de,
http://es.wikipedia.org/wiki/ISO/IEC_20000
Wikipedia (Actualizacin: 10 de Febrero 2014) ISO/IEC 27002. Recuperado el 15 de Marzo del 2014 de,
http://es.wikipedia.org/wiki/ISO/IEC_27002
Wikipedia (Actualizacin: 21 de Febrero 2014) ISO/IEC 19770. Recuperado el 15 de Marzo del 2014 de,
http://es.wikipedia.org/wiki/ISO/IEC_19770
Wikipedia (Actualizacin: 26 de Enero 2014) Modelo de evaluacin de procesos software ISO 15504 SPICE. Recuperado el 15 de Marzo del
2014 de,http://es.wikipedia.org/wiki/Modelo_de_evaluaci%C3%B3n_de_procesos_software_ISO_15504_SPICE
Wikipedia (Actualizacin: 29 de Enero 2014) ISO/IEC 12207. Recuperado el 15 de Marzo del 2014 de,
http://es.wikipedia.org/wiki/ISO/IEC_12207
http://es.wikipedia.org/wiki/ISO/IEC_20000http://es.wikipedia.org/wiki/ISO/IEC_20000http://es.wikipedia.org/wiki/ISO/IEC_27002http://es.wikipedia.org/wiki/ISO/IEC_27002http://es.wikipedia.org/wiki/ISO/IEC_19770http://es.wikipedia.org/wiki/ISO/IEC_19770http://es.wikipedia.org/wiki/Modelo_de_evaluaci%C3%B3n_de_procesos_software_ISO_15504_SPICEhttp://es.wikipedia.org/wiki/Modelo_de_evaluaci%C3%B3n_de_procesos_software_ISO_15504_SPICEhttp://es.wikipedia.org/wiki/Modelo_de_evaluaci%C3%B3n_de_procesos_software_ISO_15504_SPICEhttp://es.wikipedia.org/wiki/ISO/IEC_12207http://es.wikipedia.org/wiki/ISO/IEC_12207http://es.wikipedia.org/wiki/ISO/IEC_12207http://es.wikipedia.org/wiki/Modelo_de_evaluaci%C3%B3n_de_procesos_software_ISO_15504_SPICEhttp://es.wikipedia.org/wiki/ISO/IEC_19770http://es.wikipedia.org/wiki/ISO/IEC_27002http://es.wikipedia.org/wiki/ISO/IEC_20000Recommended