Professional Documents
Culture Documents
La BS 25999 se trata de una norma certificable en la que se tiene como objeto la gestin del plan de continuidad del negocio fundamentalmente enfocado a
la disponibilidad de la informacin, uno de los activos ms importantes hoy en da para cualquier organizacin.
La norma se cre ante la necesidad que tienen las organizaciones de implementar mecanismos o tcnicas, que minimicen los riesgos a los que estn
expuestas, para conseguir una alta disponibilidad de las actividades de su negocio.
La norma consiste en una serie de recomendaciones o buenas prcticas para facilitar la recuperarcin de los recursos que permiten el funcionamiento
normal de un negocio, en caso de que ocurra un desastre. En este contexto, se tienen en cuenta tanto los recursos humanos, como las infraestructuras, la
informacin vital, las tecnologas de la informacin y los equipos que la soportan.
ndice
1 Historia
2 Fases de su implementacin
3 Vase tambin
4 Referencias
5 Enlaces externos
Historia
BS 25999 es un estndar britnico desarrollado como plan de continuidad del negocio (business continuity management, BCM') y ha sido desarrollada por
un amplio grupo de expertos de relevancia mundial de los sectores de la industria y de la administracin. Es una actualizacin de normas anteriores
La norma ha sido publicada en dos partes:
* BS 25999-1:2006, Parte 1: se trata de un documento orientativo que proporciona las recomendaciones prcticas para el BCM.1
* BS 25999-2:2007, Parte 2: establece los requisitos para un sistema de gestin de la continuidad ( BCM00). Esta es la parte de la norma que se
certifica a travs de una etapa de implementacin, de auditora y posterior certificacin. 2
Fases de su implementacin
El ncleo de esta normativa es el plan de continuidad del negocio o tambin denominado por sus siglas en ingls como BCM (Business Continuity
Management). Las fases principales son:
Anlisis de impacto en el negocio (Business Impact Analysis, BIA00). Valoracin del impacto de las amenazas en el negocio.
El ciclo de Deming (de Edwards Deming), tambin conocido como crculo PDCA (del ingls plan-do-check-act, esto es, planificar-hacer-verificaractuar) o espiral de mejora continua, es una estrategia de mejora continua de la calidad en cuatro pasos, basada en un concepto ideado por Walter A.
Shewhart. Es muy utilizado por los sistemas de gestin de la calidad (SGC) y los sistemas de gestin de la seguridad de la informacin (SGSI).
Los resultados de la implementacin de este ciclo permiten a las empresas una mejora integral de la competitividad, de los productos y servicios, mejorando
continuamente la calidad, reduciendo los costos, optimizando la productividad, reduciendo los precios, incrementando la participacin del mercado y
aumentando la rentabilidad de la empresa u organizacin.
ndice
1 Plan (Planificar)
2 Do (Hacer)
4 Act (Actuar)
5 Vase tambin
6 Bibliografa
Plan (Planificar)
Ilustracin del modelo de calidad del proceso de gestin (sistema de circuito cerrado), incluyendo el crculo PDCA
Se establecen las actividades del proceso, necesarias para obtener el resultado esperado. Al basar las acciones en el resultado esperado, la exactitud y
cumplimiento de las especificaciones a lograr se convierten tambin en un elemento a mejorar. Cuando sea posible conviene realizar pruebas de
preproduccin o pruebas piloto para probar los posibles efectos.
Definir las actividades necesarias para lograr el producto o servicio, verificando los requisitos especificados.
Establecer los objetivos y procesos necesarios para conseguir resultados necesarios de acuerdo con los requerimientos del cliente y las polticas
organizacional.
Herramientas de Planificacin
Estas herramientas pueden servir para dos cosas:
Para facilitar y estandarizar la metodologa de planificacin de proyectos, actividades y tareas.
Para ayudar a disear productos, procesos y servicios segn los requisitos y funciones previstas en el futuro.
Algunos ejemplos de herramientas de planificacin los podemos ver en la siguiente lista:
AMFE Anlisis Modal de Fallos y Efectos (Introduccin) Herramienta para el desarrollo de productos y servicios seguros.
Gua de uso de AMFE Anlisis Modal de Fallos y Efectos Cmo realizar un anlisis AMFE con ejemplos.
Diagrama de Gantt Planificacin y seguimiento de actividades y proyectos.
Mtodo de diseo intuitivo Poka-yoke Diseo a prueba de errores.
QFD Despliegue de la funcin calidad (Introduccin) Introduccin al anlisis de necesidades y expectativas.
Do (Hacer)
Se realizan los cambios para implantar la mejora propuesta. Generalmente conviene hacer una prueba piloto para probar el funcionamiento antes de realizar
los cambios a gran escala.
Check ( Controlar o Verificar)
Pasado un periodo previsto de antemano, los datos de control son recopilados y analizados, comparndolos con los requisitos especificados inicialmente,
para saber si se han cumplido y, en su caso, evaluar si se ha producido la mejora esperada.
Herramientas de evaluacin
Las herramientas de evaluacin sirven para controlar el estado actual de un proyecto, proceso, producto o servicio con el objetivo de tener una visin
detallada de su estado, evaluarlo o buscar formas de mejorarlo posteriormente.
Algunos ejemplos de herramientas de evaluacin se encuentran en la siguiente lista:
Diagrama de Pareto La famosa curva 80%-20% para organizar datos y centrar los esfuerzos en lo ms importante.
Diagrama de correlacin Representacin grfica que muestra la relacin de una variable con respecto a otra.
Diagrama de Ishikawa Estudio para localizar las causas de los problemas.
Cuadro de mando Modelo de gestin, con un soporte de informacin peridica para la direccin de los procesos de la empresa.
Check list Listas de Control.
Act (Actuar)
A partir de los resultados conseguidos en la fase anterior se procede a recopilar lo aprendido y a ponerlo en marcha. Tambin suelen aparecer
recomendaciones y observaciones que suelen servir para volver al paso inicial de Planificar y as el crculo nunca dejar de fluir.
Actualmente algunos expertos prefieren denominar este paso "Ajustar". Esto ayuda a las personas que se inician en el ciclo PDCA a comprender que el
cuarto paso tiene que ver con la idea de cerrar el ciclo con la realimentacin para acercar los resultados obtenidos a los objetivos. Adems, no debe
confundirse este paso "A" con el conjunto de acciones (implementacin) consecuencia del despliegue de los planes (que se desarrolla en el segundo paso,
"D", de "hacer" o "llevar a cabo las Acciones").
Herramientas de mejora
Las herramientas de mejora continua estn pensadas para buscar puntos dbiles a los procesos, productos y servicios actuales. Del mismo modo, algunas de
ellas se centran en sealar cules son las reas de mejora ms prioritarias o que ms beneficios pueden aportar a nuestro trabajo, de forma que podamos
ahorrar tiempo y realizar cambios slo en las reas ms crticas.
Algunos ejemplos de herramientas de mejora los podemos encontrar en la siguiente lista:
Ciclo PDCA (Planificar, Hacer, Verificar y Actuar) El mtodo ms conocido de mejora continua en el que se basan todos los dems. Esta es la base de la
mejora continua.
Anlisis de valor Mtodo ordenado para aumentar el valor de un producto o servicio.
2.
3.
Trminos y definiciones
4.
5.
Responsabilidad de la direccin
6.
7.
8.
ISO 9001:2015
1.
Alcance
2.
Referencias normativas
3.
Trminos y definiciones
4.
Contexto de la organizacin
5.
Liderazgo
6.
Planificacin
7.
Soporte
8.
Operaciones
9.
10. Mejora
1.
1ISO9001:2015: Qu cambia?
ISO9001:2015: Qu cambia?
Los cambios que estn teniendo lugar en ISO9001:2015 son considerablemente ms sustanciales que los efectuados durante la revisin de 2008. A
continuacin encontrar un pequeo sumario de las principales evoluciones.
Cada gran revisin de la norma introduce un concepto que permite a las empresas certificadas alcanzar un nuevo nivel de madurez.
La gestin del riesgo que se basa en una perspectiva de consideracin basada en el riesgo se ha vuelto fundamental en la norma revisada: identificacin del
riesgo, evaluacin y gestin. La calidad resulta de la gestin adecuada de estos riesgos, que van ms all del estricto mbito del producto o del servicio
proporcionado. La calidad solo puede existir si la organizacin puede suministrar a su cliente un producto o un servicio conforme a largo plazo.
El riesgo tiene su contrapartida: oportunidad. ISO9001:2015 tambin comprende este concepto de incertidumbre positiva.
Por supuesto, el riesgo es un concepto adicional que de ninguna forma sustituye al concepto ya existente en la norma. El riesgo se incorpora en los
fundamentos y completa estas nociones. As, el enfoque de proceso y de Planificar-Hacer-Verificar-Actuar (PDCA) siguen siendo dos pilares esenciales.
La gestin del riesgo significa tambin trabajar para alcanzar un perfeccionamiento continuo. La accin correctiva corresponde a un riesgo no identificado,
errneamente evaluado o mal gestionado; la accin preventiva se dirige a un riesgo de no conformidad posible pero que no ha tenido lugar.
3/ Liderazgo
El compromiso con la calidad mediante un liderazgo fuerte y visible se refuerza:
La idea de un representante de la direccin desaparece completamente.
La poltica de calidad y los objetivos expresados deben ser ms coherentes con las orientaciones estratgicas.
Los requisitos del Sistema de Gestin de la Calidad deben incorporarse en los procesos del negocio.
Identificar el conocimiento necesario para llevar a cabo la actividad de acuerdo con el Sistema de Gestin de la Calidad (QMS) y para alcanzar los
objetivos fijados.
El conocimiento debe ser mantenido, protegido y ponerse a disposicin donde sea necesario.
Anticipar los cambios en las necesidades de conocimiento y gestionar el riesgo de no adquirir el conocimiento en el tiempo debido
ISO/IEC 25000, conocida como SQuaRE (System and Software Quality Requirements and Evaluation), es una familia de normas que tiene por objetivo la
creacin de un marco de trabajo comn para evaluar la calidad del producto software.
La familia ISO/IEC 25000 es el resultado de la evolucin de otras normas anteriores, especialmente de las normas ISO/IEC 9126, que describe las
particularidades de un modelo de calidad del producto software, e ISO/IEC 14598, que abordaba el proceso de evaluacin de productos software. Esta
familia de normas ISO/IEC 25000 se encuentra compuesta por cinco divisiones.
Las normas que forman este apartado definen todos los modelos, trminos y definiciones comunes referenciados por todas las otras normas de la familia
25000. Actualmente esta divisin se encuentra formada por:
ISO/IEC 25000 - Guide to SQuaRE: contiene el modelo de la arquitectura de SQuaRE, la terminologa de la familia, un resumen de las partes, los
usuarios previstos y las partes asociadas, as como los modelos de referencia.
ISO/IEC 25001 - Planning and Management: establece los requisitos y orientaciones para gestionar la evaluacin y especificacin de los requisitos
del producto software.
ISO/IEC 25010 - System and software quality models: describe el modelo de calidad para el producto software y para la calidad en uso. Esta Norma
presenta las caractersticas y subcaractersticas de calidad frente a las cuales evaluar el producto software.
ISO/IEC 25012 - Data Quality model: define un modelo general para la calidad de los datos, aplicable a aquellos datos que se encuentran
almacenados de manera estructurada y forman parte de un Sistema de Informacin.
ISO/IEC 25020 - Measurement reference model and guide: presenta una explicacin introductoria y un modelo de referencia comn a los elementos
de medicin de la calidad. Tambin proporciona una gua para que los usuarios seleccionen o desarrollen y apliquen medidas propuestas por normas
ISO.
ISO/IEC 25021 - Quality measure elements: define y especifica un conjunto recomendado de mtricas base y derivadas que puedan ser usadas a lo
largo de todo el ciclo de vida del desarrollo software.
ISO/IEC 25022 - Measurement of quality in use: define especficamente las mtricas para realizar la medicin de la calidad en uso del producto.
ISO/IEC 25023 - Measurement of system and software product quality: define especficamente las mtricas para realizar la medicin de la calidad
de productos y sistemas software.
ISO/IEC 25024 - Measurement of data quality: define especficamente las mtricas para realizar la medicin de la calidad de datos.
ISO/IEC 25030 - Quality requirements: provee de un conjunto de recomendaciones para realizar la especificacin de los requisitos de calidad del
producto software.
ISO/IEC 25040 - Evaluation reference model and guide: propone un modelo de referencia general para la evaluacin, que considera las entradas al
proceso de evaluacin, las restricciones y los recursos necesarios para obtener las correspondientes salidas.
ISO/IEC 25041 - Evaluation guide for developers, acquirers and independent evaluators: describe los requisitos y recomendaciones para la
implementacin prctica de la evaluacin del producto software desde el punto de vista de los desarrolladores, de los adquirentes y de los
evaluadores independientes.
ISO/IEC 25042 - Evaluation modules: define lo que la Norma considera un mdulo de evaluacin y la documentacin, estructura y contenido que
se debe utilizar a la hora de definir uno de estos mdulos.
ISO/IEC 25045 - Evaluation module for recoverability: define un mdulo para la evaluacin de la subcaracterstica Recuperabilidad
(Recoverability).
ISO/IEC 25000
El objetivo general de la creacin del estndar ISO/IEC 25000 SQuaRE (Software Product Quality Requirements and Evaluation) es organizar, enriquecer y
unificar las series que cubren dos procesos principales: especificacin de requisitos de calidad del software y evaluacin de la calidad del software, soportada
por el proceso de medicin de calidad del software.
Las caractersticas de calidad y sus mediciones asociadas pueden ser tiles no solamente para evaluar el producto software sino tambin para definir los
requerimientos de calidad.La serie ISO/IEC 25000:2005 reemplaza a dos estndares relacionados: ISO/IEC 9126 (Software Product Quality) e ISO/IEC
14598 (Software Product Evaluation).
ndice
1 Divisiones
2 Contenido de SQuaRE
3 Estado Actual
4 Enlaces externos
Divisiones
ISO/IEC 2500n. Divisin de gestin de calidad. Los estndares que forman esta divisin definen todos los modelos comunes, trminos y referencias
a los que se alude en las dems divisiones de SQuaRE.
ISO/IEC 2501n. Divisin del modelo de calidad. El estndar que conforma esta divisin presenta un modelo de calidad detallado, incluyendo
caractersticas para la calidad interna, externa y en uso.
ISO/IEC 2502n. Divisin de mediciones de calidad. Los estndares pertenecientes a esta divisin incluyen un modelo de referencia de calidad del
producto software, definiciones matemticas de las mtricas de calidad y una gua prctica para su aplicacin. Presenta aplicaciones de mtricas
para la calidad de software interna, externa y en uso.
ISO/IEC 2503n. Divisin de requisitos de calidad. Los estndares que forman parte de esta divisin ayudan a especificar los requisitos de calidad.
Estos requisitos pueden ser usados en el proceso de especificacin de requisitos de calidad para un producto software que va a ser desarrollado
como entrada para un proceso de evaluacin. El proceso de definicin de requisitos se gua por el establecido en la norma ISO/IEC 15288 (ISO,
2003).
ISO/IEC 2504n. Divisin de evaluacin de la calidad. Estos estndares proporcionan requisitos, recomendaciones y guas para la evaluacin de un
producto software, tanto si
ISO/IEC 2505025099. Estndares de extensin SQuaRE. Incluyen requisitos para la calidad de productos de software Off-The-Self y para el
formato comn de la industria (CIF) para informes de usabilidad.
Se han reservado los valores desde ISO/IEC 25050 hasta ISO/IEC 25099 para extensiones y "Technical Reports".
Contenido de SQuaRE
Trminos y definiciones
Modelos de referencia
Gua general
Estndares internacionales para especificacin de requerimientos, planificacin y gestin, medicin y evaluacin de la calidad del producto.
ISO/IEC 12207
ISO/IEC 12207 Information Technology / Software Life Cycle Processes, es el estndar para los procesos de ciclo de vida del software de la organizacin
ISO.
ndice
1 Estructura
2 Procesos
3 Versiones
4 Enlaces
5 Vase tambin
Estructura
La estructura del estndar ha sido concebida de manera que pueda ser adaptada a las necesidades de cualquiera que lo use. Para conseguirlo, el estndar se
basa en dos principios fundamentales: Modularidad y responsabilidad. Con la modularidad se pretende conseguir procesos con un mnimo acoplamiento y
una mxima cohesin. En cuanto a la responsabilidad, se busca establecer un responsable para cada proceso, facilitando la aplicacin del estndar en
proyectos en los que pueden existir distintas personas u organizaciones involucradas, no importando el uso que se le d a este.
Procesos
Los procesos se clasifican en tres tipos: Procesos principales, procesos de soporte y procesos de la organizacin. Los procesos de soporte y de organizacin
deben existir independientemente de la organizacin y del proyecto ejecutado. Los procesos principales se instancian de acuerdo con la situacin particular.
Procesos principales.
o
Adquisicin.
Suministro.
Desarrollo.
Operacin.
Mantenimiento.
Procesos de soporte.
o
Documentacin
Gestin de la configuracin.
Aseguramiento de calidad.
Verificacin.
Validacin.
Revisin conjunta.
Auditora.
Resolucin de problemas.
Procesos de la organizacin.
o
Gestin.
Infraestructura.
Mejora.
Recursos Humanos.
Publicacin inicial como Informe Tcnico Technical Report (borrador de estndar) para que despus de su uso real pasase a
2.
Revisin y publicacin como estndar internacional IS ISO/IEC 15504 Tecnologas de la Informacin Evaluacin de Procesos (ISO/IEC 15504
Information Technology Process Assessment).
Las siglas SPICE significan: Software Process Improvement and Capability Determination, es decir, Determinacin de la capacidad y mejora de los procesos
de software.
El proyecto SPICE tena tres objetivos principales:
Promover la transferencia de tecnologa de la evaluacin de procesos de software a la industria del software a nivel mundial.
El primer objetivo del proyecto se logr en junio de 1995, con la entrega del borrador de trabajo de la norma para la evaluacin de procesos de software al
WG10 para su votacin entre la comunidad de estandarizacin internacional. El Borrador de Trabajo se denominaba comnmente como el conjunto de
documentos SPICE (o SPICE Versin 1).
Este primer borrador se bas en modelos existentes en aqul momento.
Los ensayos de estos primeros documentos SPICE han sido el foco del proyecto SPICE durante el perodo 1994 a 1998. Fue entonces, en 1998 cuando se
public la primera familia de estndares ISO TR 15504. En aquel momento se comenz a trabajar en la versin "Internacional Standard" de la norma, y
desde 2006 est completamente publicado, exceptuadas las partes nuevas que se estn produciendo.
En marzo de 2003, el proyecto SPICE se cerr oficialmente. La Red SPICE se estableci posteriormente con el encargo de seguir coordinando las
actividades de la comunidad SPICE. La Red de SPICE est formalmente organizada por el The Spice User Grupo (www.spiceusergroup.org).
En este momento se efectan actividades promocionales que se realizan a travs de la Conferencia Internacional Anual SPICE y la publicacin de artculos y
libros.
Con el fin de apoyar la excelencia y la coherencia de la formacin de los evaluadores, el proyecto SPICE tambin desarroll y lanz un Plan de Estudios de
formacin de los evaluadores SPICE que es utilizado actualmente por el Esquema de Registro Internacional de Evaluadores (IntRSA) www.intrsa.org. En
el captulo de Roles se desarrollan los detalles de cualificacin y responsabilidades de diferentes roles que se necesitan en los procesos de evaluacin y/o
mejora.
ndice
1 Caractersticas
2 Dimensiones
6 Automotive SPICE
7 Vase tambin
8 Enlaces externos
Caractersticas
Establece un marco y los requisitos para cualquier fase de evaluacin de procesos y proporciona requisitos para los modelos de evaluacin de estos.
Proporciona tambin requisitos para cualquier modelo de evaluacin de organizaciones. Proporciona guas para la definicin de las competencias de un
evaluador de procesos. Actualmente tiene 10 partes: de la 1 a la 7 completas y de la 8 a la 10 en fase de desarrollo. Comprende: evaluacin de procesos,
mejora de procesos, determinacin de capacidad. Proporciona, en su parte 5, un Modelo de evaluacin de procesos para las fases de ciclo de vida del
software definidos en el estndar ISO/IEC 12207 que define los procesos del ciclo de vida del desarrollo, mantenimiento y operacin de los sistemas de
software. Proporciona, en su parte 6, un Modelo de evaluacin de procesos para las etapas de ciclo de vida del sistema, definidos en el estndar ISO/IEC
15288 que define los procesos del ciclo de vida del desarrollo, mantenimiento y operacin de sistemas. Proporcionar, en su parte 8, un Modelo de
evaluacin de procesos para los procesos de servicios TIC que sern definidos en el estndar ISO/IEC 20000-4 que definir los procesos contenidos en la
norma ISO/IEC 20000-1. Equivalencia y compatibilidad con CMMI. ISO forma parte del panel elaborador del modelo CMMI y SEI mantiene la
compatibilidad y equivalencia de sta ltima con 15504. Sin embargo CMMI-DEV an no es un modelo conforme con esta norma (segn lo requiere la
norma ISO 15504 para todo modelo de evaluacin de procesos).
Dimensiones
Tiene una arquitectura basada en dos dimensiones: de proceso y de capacidad de proceso. Define que todo modelo de evaluacin de procesos debe definir: la dimensin de procesos: el modelo de procesos de referencia (dimensin de las abscisas) - la dimensin de la capacidad: niveles de capacidad y atributos
de los procesos. Los niveles de capacidad para todo modelo de evaluacin de procesos pueden tener desde el 0 y al menos hasta el nivel 1 de los siguientes
niveles de capacidad estndar:
Nivel 0: Incompleto
Nivel 1: Realizado
Nivel 2: Gestionado
Nivel 3: Establecido
Nivel 4: Predecible
Nivel 5: En optimizacin
Para cada nivel existen unos atributos de procesos estndar que ayudan a evaluar los niveles de capacidad.
ISO/IEC 15504 - 5 modelo de evaluacin de procesos de ciclo de vida de software
Por ejemplo, el modelo de evaluacin de procesos de software, contenido en la Parte 5 de la Norma ISO/IEC 15504 define el Modelo de procesos de
referencia como los procesos contenidos en la norma ISO/IEC 12207 Amd1/Amd2, que contienen tres categoras de procesos y cada una con diferentes
grupos de procesos:
Dimensin procesos
Procesos Primarios:
ENG: Ingeniera
Procesos de soporte
SUP: Soporte
Procesos de organizacin
Dimensin de la capacidad
La dimensin de capacidad del modelo de evaluacin de procesos de software de la Parte 5 define un conjunto completo de indicadores para todos los
atributos de procesos correspondientes a la escala de los 6 niveles de capacidad de la Parte 2 de la norma.
ISO/IEC 15504-6 modelo de evaluacin de procesos de ciclo de vida de sistema
El modelo de evaluacin de procesos de la parte 6 contiene otro Modelo de procesos de referencia (para sistemas), incluyendo indicadores para evaluar los
atributos de estos procesos correspondientes a la escala de los 6 niveles de capacidad de la Parte 2 de la norma.
Otros modelo de evaluacin de procesos
El modelo de evaluacin de procesos de AutomotiveSPICE no es norma ISO, pero es un modelo conforme con los requisitos de parte de de la ISO/IEC
15504 - para todo modelo de evaluacin de procesos)..
Automotive SPICE
El 21 de agosto del 2005 el Special Interest Group (SIG), un grupo de trabajo de la industria del automvil (con representacin de AUDI, BMW, Daimler,
Fiat, Ford, Jaguar, Land Rover, Porsche, Volkswagen y Volvo Car) cre una versin especifca de SPICE para la particularidades de la industria del
automvil denominado Automotive SPICE. El contenido
as como los mtodos de evaluacin no se diferencian de forma sustancial del ISO/IEC 15504. Se aadieron algunos procesos (que en ISO/IEC 15504)
estaban agrupados y se adapt la terminologa a la industria automovilstica.
Este estndar es el que actualmente utilizan los miembros del SIG para evaluar y comparar sus proveedores de software, por ello su transcendencia entre los
proveedores del sector del automvil. El nivel que normalmente demandan las empresas automovilsticas de sus proveedores electrnicos es el Nivel 3.
Vase tambin
CMMI
Enlaces externos
Modelo de evaluacin (y mejora) de procesos software ISO 15504 SPICE es una adaptacin para la evaluacin de procesos en PYMEs y pequeos grupos
de desarrollo software por niveles de madurez segn la norma ISO/IEC 15504. El modelo est alineado con las metodologas giles (SCRUM, XP, etc.), las
guas ISO/IEC 29110 (Lifecycle Profiles for Very Small Enterprises) que se estn elaborando actualmente, y con otras normas muy extendidas en el sector
como la ISO/IEC 27001 (seguridad de la informacin) y la ISO/IEC 20000 (gestin del servicio TI).
Este modelo establece conjuntos predefinidos de procesos con objeto de definir un camino de mejora para una organizacin. En concreto, establece 6 niveles
de madurez para clasificar a las organizaciones. Al ser un modelo para el desarrollo software, toma como base el modelo de procesos ISO/IEC 12207:2008
(Systems and software engineering -- Software life cycle processes).
ndice
5 Enlaces externos
En este modelo, se han establecido 6 niveles, y en cada nivel se ha definido una serie de procesos que indican la madurez de la organizacin. Como se
observa en la siguiente tabla, el nivel inferior (nivel 0) se corresponde con una organizacin inmadura, los siguientes niveles van haciendo crecer a la
organizacin en su madurez, hasta el mximo nivel, el nivel 5.
Nivel
Nivel 0 - Organizacin inmadura
Nivel 1 - Organizacin bsica
Nivel 2 - Organizacin gestionada
Nivel 3 - Organizacin establecida
Nivel 4 - Organizacin predecible
Nivel 5 - Organizacin optimizando
Estado
La organizacin no tiene una implementacin efectiva de los procesos
La organizacin implementa y alcanza los objetivos de los procesos
La organizacin gestiona los procesos y los productos de trabajo se establecen, controlan y mantienen
La organizacin utiliza procesos adaptados basados en estndares
La organizacin gestiona cuantitativamente los procesos
La organizacin mejora continuamente los procesos para cumplir los objetivos de negocio
La consecucin de los niveles de madurez es de forma escalonada, esto significa que para alcanzar un determinado nivel de madurez deben haberse
alcanzado tambin los niveles inferiores.
Procesos de los niveles de madurez 1 y 2
En Espaa, el modelo cuenta con el respaldo del Ministerio de Industria de Espaa ya que existen ayudas para la certificacin de las PYMES.
Agilidad, existen guas pensadas para Pymes y pequeos equipos de desarrollo, con las que numerosas empresas se han certificado usando
metodologas giles como SCRUM.
Utiliza un modelo de buenas prcticas actualizado y especfico de desarrollo software (ISO 12207:2008).
Evala por niveles de madurez, la evaluacin ms extendida entre los modelos de mejora.
Normalmente, tiene un menor coste de certificacin que otros modelos similares (Ver Informe de INTECO).
Enlaces externos
ISO/IEC 27002
ISO/IEC 27002 (anteriormente denominada ISO 17799) es un estndar para la seguridad de la informacin publicado por la Organizacin Internacional de
Normalizacin y la Comisin Electrotcnica Internacional. La versin ms reciente es la ISO/IEC 27002:2013.
ndice
4 Certificacin
5 Referencias
6 Vase tambin
7 Enlaces externos
En Per la ISO/IEC 17799:2000 es de uso obligatorio en todas las instituciones pblicas desde agosto del 2004, estandarizando de esta forma los diversos
proyectos y metodologas en este campo, respondiendo a la necesidad de seguridad por el uso intensivo de Internet y redes de datos institucionales, la
supervisin de su cumplimiento est a cargo de la Oficina Nacional de Gobierno Electrnico e Informtica - ONGEI (www.ongei.gob.pe).
En Chile, se emple la ISO/IEC 17799:2005 para disear la norma que establece las caractersticas mnimas obligatorias de seguridad y confidencialidad que
deben cumplir los documento electrnicos de los rganos de la Administracin del Estado de la Repblica de Chile, y cuya aplicacin se recomienda para los
mismos fines, denominado Decreto Supremo No. 83, "NORMA TCNICA SOBRE SEGURIDAD Y CONFIDENCIALIDAD DEL DOCUMENTO
ELECTRNICO". En 2013, el Instituto de Normalizacin Nacional (INN), homolog la norma vigente en el documento Nch ISO27002 Of. 2013.
En Bolivia, se aprob la primera traduccin bajo la sigla NB ISO/IEC 17799:2003 por el Instituto de Normalizacin y calidad IBNORCA el 14 de
noviembre de 2003. Durante el ao 2007 se aprob una actualizacin a la norma bajo la sigla NB ISO/IEC 17799:2005. Actualmente el IBNORCA ha
emitido la norma NB ISO/IEC 27001 y NB ISO/IEC 27002.
El estndar ISO/IEC 17799 tiene equivalentes directos en muchos otros pases. La traduccin y publicacin local suele demorar varios meses hasta que el
principal estndar ISO/IEC es revisado y liberado, pero el estndar nacional logra as asegurar que el contenido haya sido precisamente traducido y refleje
completa y fehacientemente el estndar ISO/IEC 17799. A continuacin se muestra una tabla con los estndares equivalentes de diversos pases: Directrices
del estndar
ISO/IEC 27002 proporciona recomendaciones de las mejores prcticas en la gestin de la seguridad de la informacin a todos los interesados y responsables
en iniciar, implantar o mantener sistemas de gestin de la seguridad de la informacin. La seguridad de la informacin se define en el estndar como "la
preservacin de la confidencialidad (asegurando que slo quienes estn autorizados pueden acceder a la informacin), integridad (asegurando que la
informacin y sus mtodos de proceso son exactos y completos) y disponibilidad (asegurando que los usuarios autorizados tienen acceso a la informacin y
a sus activos asociados cuando lo requieran)".
La versin de 2013 del estndar describe los siguientes catorce dominios principales:
1. Polticas de Seguridad. Sobre las directrices y conjunto de polticas para la seguridad de la informacin. Revisin de las polticas para la seguridad de la
informacin.
2. Organizacin de la Seguridad de la Informacin. Trata sobre la organizacin interna: asignacin de responsabilidades relacionadas a la seguridad de la
informacin, segregacin de funciones, contacto con las autoridades, contacto con grupos de inters especial y seguridad de la informacin en la gestin de
proyectos.
3. Seguridad de los Recursos Humanos. Comprende aspectos a tomar en cuenta antes, durante y para el cese o cambio de trabajo. Para antes de la
contratacin se sugiere investigar los antecedentes de los postulantes y la revisin de los trminos y condiciones de los contratos. Durante la contratacin se
propone se traten los temas de responsabilidad de gestin, concienciacin, educacin y capacitacin en seguridad de la informacin. Para el caso de despido
o cambio de puesto de trabajo tambin deben tomarse medidas de seguridad, como lo es des habilitacin o actualizacin de privilegios o accesos.
4. Gestin de los Activos. En esta parte se toca la responsabilidad sobre los activos (inventario, uso aceptable, propiedad y devolucin de activos), la
clasificacin de la informacin (directrices, etiquetado y manipulacin, manipulacin) y manejo de los soportes de almacenamiento (gestin de soporte
extrables, eliminacin y soportes fsicos en trnsito).
5. Control de Accesos. Se refiere a los requisitos de la organizacin para el control de accesos, la gestin de acceso de los usuarios, responsabilidad de los
usuarios y el control de acceso a sistemas y aplicaciones.
6. Cifrado. Versa sobre los controles como polticas de uso de controles de cifrado y la gestin de claves.
7. Seguridad Fsica y Ambiental. Habla sobre el establecimiento de reas seguras (permetro de seguridad fsica, controles fsicos de entrada, seguridad de
oficinas, despacho y recursos, proteccin contra amenazas externas y ambientales, trabajo en reas seguras y reas de acceso pblico) y la seguridad de los
equipos (emplazamiento y proteccin de equipos, instalaciones de suministro, seguridad del cableado, mantenimiento de equipos, salida de activos fuera de
las instalaciones, seguridad de equipos y activos fuera de las instalaciones, reutilizacin o retiro de equipo de almacenamiento, equipo de usuario
desatendido y poltica de puesto de trabajo y bloqueo de pantalla).
8. Seguridad de las Operaciones: procedimientos y responsabilidades; proteccin contra malware; resguardo; registro de actividad y monitorizacin; control
del software operativo; gestin de las vulnerabilidades tcnicas; coordinacin de la auditora de sistemas de informacin.
9. Seguridad de las Comunicaciones: gestin de la seguridad de la red; gestin de las transferencias de informacin.
10. Adquisicin de sistemas, desarrollo y mantenimiento: requisitos de seguridad de los sistemas de informacin; seguridad en los procesos de desarrollo y
soporte; datos para pruebas.
11. Relaciones con los Proveedores: seguridad de la informacin en las relaciones con los proveedores; gestin de la entrega de servicios por proveedores.
12. Gestin de Incidencias que afectan a la Seguridad de la Informacin: gestin de las incidencias que afectan a la seguridad de la informacin; mejoras.
13. Aspectos de Seguridad de la Informacin para la Gestin de la Continuidad del Negocio: continuidad de la seguridad de la informacin; redundancias.
14. Conformidad: conformidad con requisitos legales y contractuales; revisiones de la seguridad de la informacin.
Dentro de cada seccin, se especifican los objetivos de los distintos controles para la seguridad de la informacin. Para cada uno de los controles se indica
asimismo una gua para su implantacin. El nmero total de controles suma 114 entre todas las secciones aunque cada organizacin debe considerar
previamente cuntos sern realmente los aplicables segn sus propias necesidades.
Certificacin
La norma ISO/IEC 17799 es una gua de buenas prcticas y no especifica los requisitos necesarios que puedan permitir el establecimiento de un sistema de
certificacin adecuado para este documento.
La norma ISO/IEC 27001 (Information technology - Security techniques - Information security management systems - Requirements) s es certificable y
especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestin de la Seguridad de la Informacin segn el famoso
Crculo de Deming: PDCA - acrnimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prcticas descritas en
ISO/IEC 17799 y tiene su origen en la norma britnica British Standard BS 7799-2 publicada por primera vez en 1998 y elaborada con el propsito de poder
certificar los Sistemas de Gestin de la Seguridad de la Informacin implantados en las organizaciones y por medio de un proceso formal de auditora
realizado por un tercero.
Referencias
ISO/IEC 17799:2005 Information technology - Security techniques - Code of practice for information security management.
ISO/IEC 27001:2005 Information technology - Security techniques - Information security management systems - Requirements.
Vase tambin
Las normas ISO/IEC 27001, ISO/IEC 27002 estn enfocadas a todo tipo de organizaciones (por ej. empresas comerciales, agencias,
gubernamentales, organizaciones sin nimo de lucro), tamaos (pequea, mediana o gran empresa), tipo o naturaleza.
Este portal colaborativo, promovido por los autores de ISO27000.es, est organizado en base a los 14 dominios, 35 objetivos de control y 114
controles de ISO/IEC 27002:2013.
Te animamos a dejar tus comentarios sobre las secciones de controles, sugerencias, consejos, enlaces a herramientas de acceso libre o cualquier
aportacin para la implementacin de controles de seguridad de la informacin.
Este portal trata de aportar de modo organizado referencias bsicas, soluciones de apoyo y enlaces a portales legales, organismos oficales y
asociaciones profesionales relacionadas con los contenidos de la norma ISO/IEC 27002:2013.
Por tanto, no est en el objetivo de esta iniciativa ofrecer enlaces a descargas de normas o contenidos que vulneren leyes de proteccin intelectual
as como reproducciones literales de la norma y que pueden ser fcilmente adquiridos mediante la compra directa y legal desde los puntos oficiales
de venta, entre otros: ISO.org, INN (Chile), UNIT (Uruguay).
La norma ISO 9000-3 son los estndares utilizados para el desarrollo, suministro y mantenimiento del software.
mbito de aplicacin:
Desarrollo de Sistemas de Informacin
Procesos del Ciclo de vida
Calidad de Software
Con la norma se busca dar orientaciones en situaciones en las que se exija la demostracin de la capacidad de un proveedor para desarrollar, suministrar y
mantener productos de software. La norma sugiere clases de control y mtodos para la produccin de software que satisfaga los requisitos establecidos.
Ideal de la auditora ISO 9000
Incrementoenlaeficienciayproductividad
Mayorpercepcindecalidad
Seamplalasatisfaccindelcliente
Sereducenlasauditorasdecalidad
Agilizaeltiempodedesarrollodeunsistema
Ladireccindelaempresadebedefinirydocumentarsupolticaysusobjetivosconrespectoalacalidad.
Lasresponsabilidades,autoridadesyrelacionesentretodopersonal,cuyotrabajoafectelacalidaddelproducto,debenserdefinidas.
Secciones de la ISO 9000-3
SistemasdeCalidad
Laempresadebeestablecerymantenerunsistemadecalidaddocumentadoquedebeincluir:
Instructivos para la preparacin de procedimientos del sistema de calidad.
Instrucciones para la aplicacin efectiva de los procedimientos.
Auditoriasinternasdecalidad
Laempresadebellevarunsistemadeauditoriasinternasdecalidadysusresultadosdebenserdocumentados.
Secciones de la ISO 9000-3
RevisindeContratos
Laempresadebeestablecerymantenerprocedimientosparalarevisindeloscontratosyparalacoordinacindeestasactividades.
Deestaformaasegurarquelaempresatienelacapacidaddecumplircontodoslosrequerimientoscontractuales.
Secciones de la ISO 9000-3
ControldeDocumentosyDatos
Laempresadebeestablecerymantenerprocedimientosparacontrolartodoslosdocumentosydatos.
Tododocumentodebeestardisponible,ylosdocumentosobsoletosdebenserremovidos.
Planificacindeldiseoyeldesarrollo
Estaclausulaexigeladefinicindeunprocesodisciplinadoometodologa.
Secciones de la ISO 9000-3
Inspeccinypruebas
Laempresadebeasegurarquelosproductosnoseutilicenoprocesenhastaqueseaninspeccionadosyverificados.
Sedebenestablecerymantenerregistrosquecontenganelcriteriodeaceptacindelproducto.
Control,CalibracinyMantenimientodelosequiposdeinspeccin,medicinypruebasutilizadosporlaempresa
Losproductosquenocumplanlosrequerimientos,especificadosnodebenserinstalados,usadosopuestosenproduccin.
Accionescorrectivasypreventivas
Controldelosregistrosdecalidad
Laempresadebeestablecerymantenerprocedimientosparaidentificarlasnecesidadesdecapacitacinyproveerentrenamientoatodoelpersonal,queademsdebesercal
ificadoconbaseasueducacin,entrenamientooexperiencia.
Estadsticas
Laempresadebemantenerunregistrodeestadsticasadecuadasparaverificarelestadodelproceso.