5. INTRODUCCIÓN Debido a la necesidad de documentar procedimientos eficaces de procesos tecnológicos surgen las normas de estandarización internacional (ISO), luego estas, se fueron comercializadas para utilizarlas en procedimientos administrativos; su desarrolló se generó a través del campo de la ingeniería. 3
6. NORMAS ISO Entidad internacional encargada de favorecer la normalización en el mundo. Con sede en Ginebra, es una federación de organismos nacionales, éstos, a su vez, son oficinas de normalización que actuan de delegadas en cada país, como por ejemplo: AENOR en España, AFNOR en Francia, DIN en Alemania, etc. con comités técnicos que llevan a término las normas. Se creó para dar más eficacia a las normas nacionales. 4
7. NORMAS ISO ¿QUÉ ES UNA NORMA? Son un modelo, un patrón, ejemplo o criterio a seguir. Una norma es una fórmula que tiene valor de regla y tiene por finalidad definir las carecterísticas que debe poseer un objeto y los productos que han de tener una compatibilidad para ser usados a nivel internacional. 5
8. NORMAS ISO TIPOLOGÍA DE NORMAS Las normas pueden ser cuantitativas (normas de dimensión, por ej. las DIN-A, etc) O tambien, pueden ser cualitativas (las 9000 de cualidad, etc.) 6
13. ISO 20000 EN ESPIRAL MICROSISTEMAS ¿Cuáles son las diferencias entre implantar procesos ITIL® y buscar una certificación en ISO 20000? ITIL® es una colección de buenas prácticas no certificable. Las recomendaciones de ITIL® pueden abordarse con la profundidad y exigencia que la organización considere oportuno. ISO 20000 es una norma certificable que considera 13 procesos. No se puede optar a la certificación en ISO 20000 sin haber implantado, aunque sea mínimamente, los 13 procesos. 11
14.
15.
16. ISO 20000 EN ESPIRAL MICROSISTEMAS Resultó fácil… Definir los procesos operativos Integrar los requisitos de ISO 20000 en el sistema de gestión ya existente Apreciar los beneficios aportados tras la implantación Implantar los procesos operativos con ayuda de ProactivaNET® Resultó difícil… Definir los procesos no operativos Disciplinar a los afectados por los procesos operativos para seguir los nuevos procedimientos Identificar quién actuaba de cliente en un alcance interno Considerar los aspectos no tecnológicos de la norma 14
18. DESARROLLO CON NORMAS ISO Una empresa de desarrollo de software para ordenador, que daba servicio a un nicho de mercado, reconoció que a medida que su base de usuarios fuese expandiéndose ellos deberían hacer frente a temas relativos a la gestión del producto y control de la configuración y a su vez mejorar la calidad de su producto. Los cambios en los productos base, en el hardware del usuario y en los requisitos reglamentarios estaban aumentando los problemas del servicio al cliente. La Normas ISO le proporcionó la guía que necesitaban para establecer procedimientos documentados para controlar los cambios y mejora del proceso. Más tarde, adquirieron otra empresa de desarrollo de software y pudieron utilizar su sistema de gestión de la calidad para integrar muy rápidamente la adquisición de la empresa a su propia estructura, con un mínimo cambio para sus clientes. 16
19. 17 ISO 9001 ISO /IEC 9003 Software 15504 Evaluación de Proceso 15939 Medición del Sw 12207 Procesos del Ciclo de vida del Sw
27. CASO III: Seguridad de la Información ISO/IEC 27001 19 Protección de la información, el activo más valioso
28. Norma ISO/IEC 27001 única norma internacional auditable que define los requisitos para un sistema de gestión de la seguridad de la información (SGSI). Ayuda a proteger los activos de información y otorga confianza a cualquiera de las partes interesadas, sobre todo a los clientes Adopta un enfoque por procesos para establecer, implantar, operar, supervisar, revisar, mantener y mejorar un SGSI. 20
29. ¿Para quién es significativo? Cualquier organización, grande o pequeña, de cualquier sector o parte del mundo. También es muy eficaz para organizaciones que gestionan la información por encargo de otros, por ejemplo, empresas de subcontratación de TI. 21 La norma es particularmente interesante si la protección de la información es crítica, como en finanzas, sanidad sector público y tecnología de la información (TI).
30. Beneficios Demuestra la garantía independiente de los controles internos y cumple los requisitos de gestión corporativa y de continuidad de la actividad comercial. Demuestra independientemente que se respetan las leyes y normativas que sean de aplicación. Proporciona una ventaja competitiva al cumplir los requisitos contractuales y demostrar a los clientes que la seguridad de su información es primordial. 22
31. Beneficios Verifica independientemente que los riesgos de la organización estén correctamente identificados, evaluados y gestionados al tiempo que formaliza unos procesos, procedimientos y documentación de protección de la información. Demuestra el compromiso de la cúpula directiva de su organización con la seguridad de la información. El proceso de evaluaciones periódicas ayuda a supervisar continuamente el rendimiento y la mejora.Nota: las organizaciones que simplemente cumplen la norma ISO/IEC 27001 o las recomendaciones de la norma del código profesional, ISO/IEC 17799 no logran estas ventajas. 23
32. La seguridad de la información requiere invertir tanto en capital humano, como en tecnología. Política de seguridad Aspectos organizativos para la seguridad. Clasificación de activos. Control. Seguridad ligada al personal. Seguridad física y del entorno. Gestión de Comunicaciones y Operaciones. Control de Accesos. Desarrollo y mantenimiento de sistemas. Gestión de Continuidad del Negocio. Conformidad con la legislación y reglamentación existente. 24 De estos ONCE DOMINIOS se derivan 39 objetivos de control (resultados que se esperan alcanzar mediante la implementación de controles) y 133 controles (practicas, procedimientos o mecanismos que reducen el nivel de riesgo).