Embed Size (px)
Citation preview
UNIVERSIDAD TECNOLÓGICA DEL ESTADO DE ZACATECAS
UNIDAD ACADÉMICA DE PINOS
INGENIERÍA EN TECNOLOGÍAS DE LA INFORMACIÓN Y
COMUNICACIÓN
Nombre: Arturo Morales Ruiz, Carlos Eduardo Sánchez Martínez y
David Alejandro Navarro Acosta
Grado y Grupo: 7º “B”
Profesora: IDS. Lucía González Hernández
Materia: Sistemas de Calidad
Unidad: Calidad en Proyectos de TI
Tema: Estándares
Pinos, Zacatecas a 10 de Diciembre del 2014
ISO 9011
Indica como auditar los procesos que constituyen al sistema de gestión de la
calidad. Las directrices también abarcan a un sistema de gestión ambiental o
según ISO 14001 / 96. Existen guías de apoyo, especialmente para la
documentación e implantación de un sistema de gestión de la calidad acorde a
ISO 9001 / 2000.
Una de las novedades más relevantes de la norma es que, por primera vez, se
dispone de una norma conjunta para auditorías de Calidad y medioambientales, y
es de especial importancia que considere la metodología para que un auditor se
cualifique en las dos disciplinas.
Esta norma se enfoca hacia cuatro aspectos relativos a la realización de auditorías:
1- Principios de auditoría
2- Gestión de un programa de auditoría
3- Actividades de auditoría
4- Competencia y evaluación de los auditores
Es por lo tanto, una norma de muy amplio espectro que proporciona directrices desde un punto de vista teórico considerando aspectos éticos y metodológicos, pero también desde un punto de vista práctico no olvidando la necesidad de disponer de los recursos financieros y materiales necesarios.
Asimismo, la norma se dirige al más amplio rango de potenciales usuarios,
considerando que puede utilizarse en auditorías de:
Primera parte o auditorías internas.
Segunda parte. Por ejemplo, auditorías que realice una organización para la
evaluación de sus proveedores.
Tercera parte. Por ejemplo, auditorías de las entidades de certificación
También, esta norma se ha tomado como referencia para la formación de
auditores y auditores jefe en los distintos cursos y en los esquemas de
certificación de personal.
1. Principios de auditoría. Muy importante es la inclusión de este bloque en la
norma en el cual se mencionan los principios éticos y de profesionalidad que
deben regir la conducta de auditores. Estos principios son la base de la
fiabilidad de cualquier proceso de auditorías, y son los que nos permiten confiar
en la veracidad de los resultados de una auditoría.
Se diferencian dos bloques en este apartado:
- Principios relativos a los auditores. Se hace referencia a la conducta ética básica.
Se mencionan los principios de “integridad”, “confidencialidad” y “discreción” con
elementos de referencia de la conducta ética del auditor.
- Principios relativos a la auditoría. La “independencia” se considera el pilar
fundamental para la realización de una auditoría de un modo imparcial y objetivo.
Por este motivo, los auditores deben ser independientes de la actividad auditada y
estar libres de conflictos de interés.
2. Gestión de un programa de auditoría. La gestión del programa de auditoría
se plantea como un proceso de mejora continua con un flujo de operaciones
alineado con un planteamiento PDCA (Plan - Do - Check - Act). En este sentido,
esta norma ya se alinea con las últimas versiones de las normas de sistemas de
gestión (ISO 9001, ISO 14001, etc.) como una norma para la mejora continua.
Es importante destacar que en este apartado se realiza un planteamiento
totalmente abierto hacia la planificación de las auditorías, mencionando
explícitamente la realización de auditorías combinadas de sistemas de gestión
de la Calidad y ambiental.
Varios son los elementos que deben considerarse a la hora de plantear la gestión
de un programa de auditorías:
Objetivos: Indudablemente, el primer paso es la definición de los objetivos del
programa de auditorías y variará sustancialmente en función de las necesidades
de la organización.
Amplitud: La amplitud del programa de auditoría, entendida como la dedicación
(etapas, duración, frecuencia, tamaño del equipo auditor, etc.) necesaria para las
auditorías debe ser definida de forma consistente con los objetivos del programa.
Responsabilidades: Deben definirse inequívocamente las responsabilidades de
todas las personas involucradas en el programa de auditorías, especialmente, las
de los miembros del equipo auditor.
Recursos: Un aspecto crítico para la buena gestión de un programa de auditoría
es la identificación y disponibilidad de los recursos humanos y materiales
adecuados.
Procedimientos: Los procedimientos de auditoría deben considerar varias
cuestiones críticas: Planificación y calendario de auditoría, Formación de equipos
auditores, competentes, Metodologías de auditorías (reuniones, alcance de los
muestreos, etc.), Actividades de seguimiento de los resultados de las auditorías,
Seguimiento del desempeño del programa global de auditorías, etc.
Implementación: Toda vez que se hayan definido los elementos anteriormente
indicados, sólo nos queda hacer funcionar el modelo de gestión de auditorías.
Esto requiere tareas específicas de formación, comunicación y coordinación con
todas las partes interesadas tanto por parte de la organización promotora, como
de las organizaciones a auditar y de los equipos auditores.
Seguimiento y revisión: Finalmente, y tal como se ha comentado anteriormente,
ISO 9011 se enfoca hacia la mejora continua del programa de auditorías, lo cual
requiere su seguimiento y revisión para identificar sus debilidades y fortalezas y
plantear iniciativas para su mejora.
3. Actividades de auditoría. ISO 19011 proporciona directrices muy concretas
para cada una las tareas específicas a desarrollar durante la planificación y
realización de una auditoría. Inicialmente se consideran las tareas de
preparación de las auditorías, de definición de los objetivos y recursos (equipo
auditor,...) y de comunicación con la organización a auditar. Un aspecto crítico
de este proceso de preparación será la revisión de la documentación de la
organización a auditar que se considere necesaria para una buena
preparación de la auditoria.
4. Competencia y evaluación de los auditores: El último bloque se la norma
se dedica a las directrices para el diseño e implementación de un modelo de
gestión para la competencia y evaluación de los auditores. Indudablemente, la
dedicación de un bloque entero de la norma nos da a entender que la
disponibilidad de equipos de auditoría competentes se considera uno de los
pilares fundamentales para el correcto funcionamiento de un programa de
auditorías.
ISO 9126
Es estándar internacional para evaluación de calidad del software. El estándar se
divide en cuatro porciones, que tratan, respectivamente, los temas siguientes:
modelo de la calidad; métrica externa; métrica interna; y métrica funcionando de la
calidad.
El modelo de la calidad establecido en la primera parte del estándar, ISO 9126-1,
clasifica calidad del software en un sistema estructurado de características y de
secundario-características como sigue:
Funcionalidad: Un sistema de las cualidades que refieren la existencia de un
sistema de funciones y de sus características especificadas. Las funciones son las
que satisfacen necesidades indicadas o implicadas.
- Conveniencia
- Exactitud
- Interoperabilidad
- Conformidad
- Seguridad
Confiabilidad: Un sistema de las cualidades que refieren la capacidad del
software para mantener su nivel del funcionamiento bajo condiciones indicadas
por un período de tiempo indicado.
- Madurez
- Recuperabilidad
- Tolerancia de avería
Utilidad: Un sistema de las cualidades que refieren el esfuerzo necesitó para el
uso, y en el gravamen individual de tal uso, por un sistema indicado o implicado de
usuarios.
- Learnability
- Understandability
- Operability
Eficacia: Un sistema de las cualidades que refieren la relación entre el nivel del
funcionamiento del software y la cantidad de recursos usados, bajo condiciones
indicadas.
- Comportamiento de tiempo.
- Comportamiento del recurso.
Capacidad de mantenimiento: Un sistema de las cualidades que refieren el
esfuerzo necesitó hacer modificaciones especificadas.
- Estabilidad
- Analyzability
- Changeability
- Testability
Portabilidad: Un sistema de las cualidades que refieren la capacidad del software
de ser transferido a partir de un ambiente a otro.
- Installability
- Reemplazabilidad
- Adaptabilidad
La conformidad secundario-característica no se enumera arriba y no se aplica a
todas las características. Los ejemplos son conformidad a la legislación referente a
utilidad o confiabilidad.
Cada calidad secundario-característica (como adaptabilidad) se divide más a
fondo en cualidades. Una cualidad es una entidad que se puede verificar o medir
en el producto de software. Las cualidades no se definen en el estándar, pues
varían entre diversos productos de software.
El producto de software se define en un ancho: abarca los ejecutables, código de
fuente, descripciones de la arquitectura, y así sucesivamente. Consecuentemente,
la noción del usuario extiende a los operadores así como a los programadores,
que son usuarios de componentes como bibliotecas del software.
El estándar proporciona un marco para las organizaciones para definir un modelo
de la calidad para un producto de software. En hacer así pues, sin embargo, deja
hasta cada organización la tarea de especificar exacto su propio modelo. Esto se
puede hacer, por ejemplo, especificando los valores de blanco para la métrica de
la calidad que evalúa el grado de presencia de las cualidades de la calidad.
Las métricas internas son las que no confían en la ejecución del software
(medidas estáticas).
Las métricas externas son aplicables al software corriente. Las métricas
funcionando de la calidad están solamente disponibles cuando el producto final se
utiliza en condiciones verdaderas. Idealmente, la calidad interna determina la
calidad externa y la calidad externa determina la calidad funcionando.
Este estándar proviene modelo establecido en 1977 de McCall y de sus colegas,
que propusieron un modelo para especificar calidad del software. El modelo de la
calidad de McCall se organiza alrededor de tres tipos de características de la
calidad:
Factores (especificar): Describen la vista externa del software, según lo visto por
los usuarios.
Criterios (construir): Describen la vista interna del software, según lo visto por el
revelador.
Métrica (al control): Se definen y se utilizan para proporcionar una escala y un
método para la medida.
La ISO 9126 distingue entre un defecto y una inconformidad, a defecto siendo El
incumplimiento de los requisitos previstos del uso, mientras que a inconformidad
es El incumplimiento de requisitos especificados. Una distinción similar se hace
entre la validación y la verificación, sabidas como V&V en el comercio de prueba.
ISO 10006
Es una norma de calidad que lleva como título: “Gestión de la Calidad – Directrices
para la calidad en la gestión de proyectos”, y tiene como objetivo servir de guía en
aspectos relativos a elementos, conceptos y prácticas de sistemas de calidad que
pueden implementarse en la gestión de proyectos o que pueden mejorar la calidad
de la gestión de proyectos.
La norma ISO 10006, actúa o funciona de una manera muy estrecha con las
normas ISO 90001:2000 como se puede apreciar en el diagrama anterior.
La calidad es un concepto que admite múltiples interpretaciones. Se asocia con
aquellas características que otorgan cierto grado de excelencia a un producto o a
un servicio. Hoy se interpreta la calidad como el conjunto de características de un
producto o de un servicio capaz de satisfacer las necesidades y expectativas
presentes y futuras del cliente, siempre que se garantice la rentabilidad a largo
plazo del proveedor de dichos productos o servicios.
La ISO 10006:2003 da la dirección en el uso de la gerencia de la calidad en
proyectos.
Es aplicable a los proyectos de la complejidad que varía, pequeño o grande, de la
duración corta o larga, en diversos ambientes, y con independencia de la clase de
producto o de proceso implicado. Esto puede hacer necesario una cierta
adaptación de la dirección para satisfacer un proyecto particular.
La ISO 10006:2003 no es una guía a la “gerencia de proyecto”. La dirección en
calidad en procesos de la gerencia de proyecto se discute en este estándar
internacional. La dirección en calidad en los procesos relacionados con el producto
de un proyecto, y en el “acercamiento de proceso”, se cubre adentro ISO 9004.
Puesto que la ISO 10006:2003 es un documento de la dirección, no se piensa
para ser utilizado para los propósitos de la certificación/del registro.
Esta Norma hace recomendaciones sobre la Gestión de la información generada
por la realización del proyecto. Una lectura sistemática de la misma indica cuales
son los pasos a seguir en la organización, que son:
Identificar la Información crítica
Organizar el sistema de recogida de esa información, que debe considerar dos
aspectos: información contenida dentro del proyecto y la información procedente
del entorno y del cliente.
Validar y almacenar esa información.
Organizar un sistema que asegure su uso.
Aplicaciones
La norma ISO 10006 puede aplicarse en varios campos, como lo es el desarrollo
de software, diseño de productos, etc., en la tabla siguiente se muestran los pasos
necesarios aplicados de acuerdo con la norma ISO 10006 para la administración
de un proyecto.
También puede ser aplicable en el desarrollo de los recursos humanos dentro de
una organización como se muestra en la tabla siguiente
Ventajas
Reduce la variedad y tipos de productos. Esto sirve para eliminar los productos
que no son necesarios, o no cumplen con la calidad deseada para el usuario final.
Reduce inventarios y costos de producción Al realizar el paso anterior nos
permitirá cierto ahorro económico, ya que se utilizaran menos recursos para
realizar los inventarios y a la vez la producción disminuirá.
Mejora la gestión y el diseño de productos. Esto permite tener una mejor calidad
en la cuestión del proceso permitiendo crear productos mejor diseñados.
Agiliza los procesos de pedidos. Permite expandir nuestros productos de una
manera más rápida, ya que reduce de manera considerable el proceso del pedido.
Desventajas
La norma ISO 10006, tiene ciertas deficiencias que permiten omitir muchos
aspectos importantes que pueden ser negativos en la obtención de un producto de
calidad. Algunas deficiencias son:
No incluye los procesos de gestión de la calidad y, por lo tanto, da a entender que
estos procesos no forman parte de la gestión del proyecto.
No presenta un procedimiento de ejecución del proyecto, aunque sí que habla
exhaustivamente de planificación y control, lo cual puede inducir a pensar que la
gestión del proyecto únicamente consiste en planificar y controlar.
No entra en las fases del proyecto ni describe los procesos necesarios para su
ejecución.
Conclusión
ISO 10006 es un estándar que busca la calidad mucho antes de finalizar el
producto, ya que los procesos para producir el producto con la calidad
necesaria están estandarizados de tal manera que se asegure la calidad del
mismo. También se denotan las ventajas que el estándar ISO 10006
proporciona, ya que los procesos están reglamentados, pero el problema es que
esta norma no detalla de una manera eficaz cada proceso efectuado, lo cual nos
podría traer consecuencias negativas. Pero podemos decir que la norma ISO
10006, si funciona, pero su éxito radica, en la manera en que se aplica y la
experiencia que se tenga con otras normas ISO o estándares de calidad.
Sistemas de gerencia de la calidad - pautas para la gerencia de la calidad en
proyectos, es estándar internacional convertido por International Standard
Organization.
La ISO 10006 da la dirección en el uso de la gerencia de la calidad en proyectos.
Es aplicable a los proyectos de la complejidad que varía, pequeño o grande, de la
duración corta o larga, en diversos ambientes, y con independencia de la clase de
producto o de proceso implicado. Esto puede hacer necesario una cierta
adaptación de la dirección para satisfacer un proyecto particular. La ISO 10006 no
es una guía a la “gerencia de proyecto” sí mismo.
Características
Directrices para la calidad en la gestión de proyectos.
Aplicable a proyectos pequeños o grandes, de larga o pequeña duración
No es una guía de administración de proyectos en sí
Es un documento guía, y no utilizado para una certificación o registro
Hace recomendaciones sobre la gestión de la información generada por la
realización del proyecto
Se deben seguir los siguientes pasos por la organización:
Identificar la información crítica
Organizar el sistema de colección de la información (Información dentro del
proyecto e información del entorno y el cliente)
Validar y almacenar la información
Organizar un sistema que asegure su uso
Ventajas
Reduce la variedad y tipos de productos
Reduce inventarios y costos de producción
Mejora la gestión y el diseño de productos
Mejora la comercialización de los productos
Agiliza los procesos pedidos
Desventajas
No entra en las fases del proyecto ni describe los procesos necesarios para su ejecución.
No incluye los procesos de gestión de la calidad y, por lo tanto, da a entender que estos procesos no forman parte de la gestión del proyecto.
La dirección en calidad en procesos de la gerencia de proyecto se discute en este estándar internacional. La dirección en calidad en los procesos relacionados con el producto de un proyecto, y en el “acercamiento de proceso”, se cubre adentro ISO 9004.
Puesto que la ISO 10006 es un documento de la dirección, no se piensa para ser utilizado para los propósitos de la certificación/del registro. Es una norma de calidad que lleva como título: “Gestión de la Calidad – Directrices para la calidad en la gestión de proyectos”, la cual tiene como objetivo servir de guía en aspectos relativos a elementos, conceptos y prácticas de sistemas de calidad que pueden implementarse en la gestión de proyectos o que pueden mejorar la calidad de la gestión de proyectos. A través de esta definición nosotros pudimos interpretar a la norma ISO 100006 como: Un conjunto de pasos con calidad que nos auxiliarán en la forma de desarrollar nuestros productos de tal manera que sean de calidad.
Esto en nuestro caso es aplicado en la forma en que se trabajará en desarrollar un software para que éste tenga la calidad suficiente, a través de procesos de calidad. La norma ISO 10006, actúa o funciona de una manera muy estrecha con las normas ISO 90001:2000.
La gestión de la calidad ha evolucionado desde planteamientos basados en el control hasta su consideración como una herramienta estratégica de competitividad. Cada etapa ha superado a la anterior sin suplantarla. El proceso proyecto-construcción participa de la evolución que ha seguido la gestión de la calidad. Desde el inicio de la era industrial, la calidad de los productos se intentaba asegurar mediante su inspección antes de ser enviados al mercado. Los proyectos o las obras realizadas se sometían a una verificación.
Este proceso suponía una barrera que trataba de impedir la llegada de productos o servicios defectuosos al cliente. Sin embargo, no mejoraban la calidad de lo producido, salvo que se aprendiera de los errores y se rectificara. Además, tampoco era viable una inspección 100%, entre otras cosas porque algunos ensayos eran destructivos.
En el contexto actual, el control de calidad se ha superado por el aseguramiento de la calidad. La evolución de la organización conduce a eliminar progresivamente los procesos de verificación siempre que se garantice la calidad resultante. La implantación de un sistema de aseguramiento de la calidad trata de responder a las necesidades de los clientes. Se pretende crear un sistema que avale la calidad de los productos o servicios. Se trata de asegurar que los procesos se realizan siempre de la misma forma. Sin embargo, esto no garantiza que tengamos un producto o servicio y que se venda, sino que su calidad sea homogénea. Resulta imprescindible incorporar aquellas especificaciones que satisfagan las expectativas de los clientes a su justo precio. Esta etapa no sustituye al control de calidad, sino que la integra y complementa.
Conclusión
Es importante destacar que las normas ISO son un modelo, un patrón, ejemplo o
criterio a seguir, se considera relevante el beneficio económico a la hora de tomar
la decisión de implantar un Sistema de Gestión Calidad ya que la finalidad que se
persigue es la de orientar, coordinar, simplificar y unificar los usos para conseguir
menores costes y efectividad. Por tanto, se tienen en cuenta factores como la
conservación de su entorno, la importancia de ofrecer una imagen de empresa
respetuosa con el medio a que este enfocado, aumentando así la confianza de sus
clientes y usuarios.
ISO 27000
Proviene de la norma BS 7799 de BRITISH STANDARDS INSTITUTION
(organización británica equivalente a AENOR en España) creada en 1995 con el
fin de facilitar a cualquier empresa un conjunto de buenas prácticas para la gestión
de la seguridad de la información.
La norma ISO 27001 fue aprobada y publicada como estándar internacional en
octubre de 2005 por INTERNATIONAL ORGANIZATION FOR
STANDARDIZATION y por la comisión International ELECTROTECHNICAL
COMMISSION.
Objetivos
Esta familia de normas que tiene como objetivo definir REQUISITOS
PARA un sistema de gestión de la seguridad de la información (SGSI), con el fin
de garantizar la selección de controles de seguridad adecuados y proporcionales,
protegiendo así la información, es recomendable para cualquier empresa grande o
pequeña de cualquier parte DEL MUNDO y más especialmente para aquellos
sectores que tengan información crítica o gestionen la información de otras
empresas.
Familia 27000
ISO/IEC 27000: 1 de Mayo de 2009. Esta norma proporciona una VISIÓN general
de las normas que componen la serie 27000, una introducción a los Sistemas de
Gestión de Seguridad de la Información, una breve descripción del proceso Plan-
Do-Check-Act y términos y definiciones que se emplean en toda la serie 27000.
Sin traducción.
ISO/IEC 27001: 15 de Octubre de 2005. Es la norma PRINCIPAL de la serie y
contiene los requisitos del sistema de gestión de seguridad de la información.
Sin TRADUCIR. Actualmente, este estándar se encuentra en periodo de revisión
en el subcomité ISO SC27, con fecha prevista de publicación en 2012.
ISO/IEC 27002: Del año 2005. Es una guía de buenas prácticas que describe los
objetivos de control y controles recomendables en cuanto a seguridad de la
información. No es certificable. Contiene 39 objetivos de control y 133 controles,
agrupados en 11 dominios.
ISO/IEC 27003: 01 de Febrero de 2010. No certificable. Es una guía que se centra
en los aspectos críticos necesarios para el diseño e implementación con ÉXITO de
un SGSI de acuerdo ISO/IEC 27001:2005.
ISO/IEC 27004: 7 de Diciembre de 2009. No certificable. Es una guía para el
desarrollo y utilización de métricas y técnicas de medida aplicables para
determinar la eficacia de un SGSI y de los controles o grupos de controles
implementados según ISO/IEC 27001. Sin TRADUCIR.
ISO/IEC 27005: 4 de Junio de 2008. No certificable. Proporciona directrices para
la gestión del riesgo en la seguridad de la información. Apoya los conceptos
generales especificados en la norma ISO/IEC 27001. Sin traducir todavía.
ISO/IEC 27006: 1 de Marzo de 2007. Especifica los REQUISITOS PARA la
acreditación de entidades de auditoría y certificación de sistemas de gestión de
seguridad de la información. Sin traducir todavía en España, pero traducida en
México (NMX-I-041/06-NYCE).
ISO/IEC 27007: Publicación prevista en 2011. Consistirá en una guía de auditoría
de un SGSI, como complemento a lo especificado en ISO 19011.
ISO/IEC 27008: Publicación prevista en 2011. Consistirá en una guía de auditoría
de los controles seleccionados en el marco de implantación de un SGSI.
ISO/IEC 27010: Publicación prevista en 2012. Es una norma en 2 partes, que
consistirá en una guía para la gestión de la seguridad de la información en
comunicaciones inter-sectoriales.
ISO/IEC 27011: 15 de Diciembre de 2008. Es una guía de interpretación de la
implementación y gestión de la seguridad de la información
en ORGANIZACIONES del sector de telecomunicaciones basada en ISO/IEC
27002. Sin traducción.
ISO/IEC 27012: Publicación prevista en 2011. Consistirá en un conjunto de
requisitos y directrices de gestión de seguridad de la información
en ORGANIZACIONES que proporcionen servicios de e-Administración.
ISO/IEC 27013: Publicación prevista en 2012. Consistirá en una guía de
implementación integrada de ISO/IEC 27001 y de ISO/IEC 20000-1.
ISO/IEC 27014: Publicación prevista en 2012. Consistirá en una guía de gobierno
corporativo de la seguridad de la información.
ISO/IEC 27015: Publicación prevista en 2012. Consistirá en una guía de SGSI
para ORGANIZACIONES del sector financiero y de seguros.
ISO/IEC 27016: Publicación prevista en 2012. Consistirá en una guía de
SGSI RELACIONADA CON aspectos económicos en las organizaciones.
ISO/IEC 27031: 01 de Marzo de 2011. DESCRIBE los conceptos y principios de la
tecnología de información y comunicación (TIC)
ISO/IEC 27032: Publicación prevista en 2011. Guía relativa a la ciberseguridad.
ISO/IEC 27033: Seguridad en redes. Tiene 7 partes: 27033-1, conceptos
generales (10 de Diciembre de 2009); 27033-2, directrices de diseño e
implementación de seguridad en redes (prevista 2011); 27033-3, escenarios de
redes de referencia (3 de Diciembre de 2010); 27033-4, aseguramiento de las
comunicaciones entre redes mediante Gateway de seguridad (prevista 2012);
27033-5, aseguramiento de comunicaciones mediante VPNs (prevista 2012);
27033-6, convergencia IP (prevista 2012); 27033-7, redes inalámbricas (prevista
2012).
ISO/IEC 27034: Publicación prevista desde 2011-12. Varias guías de seguridad
para aplicaciones informáticas.
ISO/IEC 27035: Publicación prevista en 2011. Guía de gestión
de INCIDENTES de seguridad de la información.
ISO/IEC 27036: Publicación prevista en 2012. Guía de seguridad de outsourcing
(externalización de servicios).
ISO/IEC 27037: Publicación prevista en 2012. Guía de identificación, recopilación
y preservación de evidencias digitales.
ISO/IEC 27038: Publicación prevista en 2013. Guía de especificación para la
redacción digital.
ISO/IEC 27039: Publicación prevista en 2013. Guía para la selección, despliegue y
operativa de sistemas de detección de intrusos.
ISO/IEC 27040: Publicación prevista en 2013. Guía para la seguridad en medios
de almacenamiento.
ISO 27799: 12 de Junio de 2008. Es una norma que proporciona directrices para
apoyar la interpretación y aplicación en el sector sanitario de ISO/IEC 27002.
Beneficios
- Garantía de los controles internos y cumplimiento de requisitos de gestión
corporativa y de CONTINUIDAD de la actividad comercial.
- Pone de manifiesto el respeto a las leyes y normativas que sean de aplicación.
- Fiabilidad de CARA al cliente demostrar que la información está segura.
- Identificación, evaluación y gestión de riesgos.
- Evaluaciones periódicas que ayudan a supervisar el rendimiento y las posibles
mejoras.
- Se integra con otros sistemas de gestión
- Reducción de costes y mejora de procesos
- Aumento de la motivación y satisfacción del PERSONAL al contar con unas
directrices claras.
Implantación
La norma ISO 27001 (la principal de la familia) es certificable por una entidad de
certificación externa y su implantación puede tardar de 6 a 12 meses dependiendo
del nivel de seguridad de la información y del alcance de la empresa en la que se
implante y es preferible realizar el proceso con ayuda de alguna consultoría
externa a la ORGANIZACIÓN.
ISO 20000
La ISO 20000-1 fue creada por la International Standard Organization (ISO) y es la
norma utilizada para la certificación. Ha reemplazado a la norma BS 15000 y
proporciona una norma internacionalmente reconocida de sistema de gestión de
servicios de TI. Comprende gran parte del contenido de la BS 15000, pero el
material se ha reorganizado para alinearlo y armonizarlo con otras normas
internacionales.
Historia
La ISO 20000 fue publicada en diciembre de 2005 y es la primera norma en el
mundo específicamente dirigida a la gestión de los servicios de TI. La ISO 20000
fue desarrollada en respuesta a la necesidad de establecer procesos y
procedimientos para minimizar los riesgos en los negocios provenientes de un
colapso técnico del sistema de TI de las organizaciones.
Ventajas
La norma ISO/IEC 20000 está formada por tres partes bajo el mismo título “Tecnología de la información”. Gestión del servicio:
ISO 20000-1: Especificaciones
Esta parte de la norma ISO 20000 establece los requisitos que necesitan las empresas para diseñar, implementar y mantener la gestión de servicios TI. Esta norma ISO 20000 plantea un mapa de procesos que permite ofrecer servicios de TI con una calidad aceptable para los clientes.
ISO 20000-2: Código de buenas prácticas
Describe las mejoras prácticas adoptadas por la industria en relación con los procesos de gestión del servicio TI, que permite cubrir las necesidades de negocio del cliente, con los recursos acordados, así como asumir un riesgo entendido y aceptable.
ISO 20000-3: Guía sobre la definición del alcance y aplicabilidad de la norma ISO/IEC 20000-1
Proporciona orientación sobre la definición del alcance, aplicabilidad y la demostración de la conformidad con los proveedores de servicios orientados a satisfacer los requisitos de la norma ISO 20000-1, así como los proveedores de servicios que están planeando mejoras en el servicio con la intención de utilizar la norma como un objetivo de negocio.
Niveles de madurez
MOPROSOFT (MODELO DE PROCESOS DE SOFTWARE)
Es un modelo para la mejora y evaluación de los procesos de desarrollo y
mantenimiento de sistemas o productos de software. Desarrollado por la
Asociación Mexicana para la calidad en Ingeniería de Software de la UNAM a
solicitud de la Secretaría de Economía.
Procesos que maneja
Categoría de Alta Dirección (DIR)
La alta dirección tiene un papel importante a través de la planificación estratégica.
Debe actuar como promotor del buen funcionamiento de la organización a través
de su implicación en la revisión y mejora continua del modelo.
Gestión de Negocio (GER)
El modelo considera a la gestión como proveedora de recursos, procesos y
proyectos; así como responsable de la vigilancia del cumplimiento de los objetivos
estratégicos de la organización.
Gestión de procesos.
Gestión de proyectos.
Gestión de recursos.
Recursos humanos y ambiente de trabajo.
Bienes, servicios e infraestructura.
Conocimiento de la organización.
Categoría Operación (OPE)
El modelo considera a la operación como ejecutora de los proyectos de desarrollo
y mantenimiento de software.
Administración de proyectos específicos.
Desarrollo y mantenimiento de software.
El Programa para el Desarrollo de la Industria de Software (PROSOFT) fue
implementado en octubre del 2002.
Recursos financieros.
En cada categoría se establecen roles y actividades a desarrollar, así como un
responsable, una empresa o persona se puede certificar en MOPROSOFT para
poder aplicar el modelo a sus desarrollos de software.
Niveles
Capacidades de una empresa de Nivel 1
Tiene implantado el orden y disciplina de un estándar.
Termina los trabajos a que se compromete.
Las actividades de la empresa y los documentos que se producen se
documentan conforme dictan las mejores prácticas del sector.
Con estas fortalezas puede vencer a las empresas que no tienen un estándar
implantado y que por lo tanto no tienen la capacidad de terminar lo que inician.
Capacidades de una empresa de Nivel 2
Además de las capacidades de nivel 1:
Es capaz de cumplir sus compromisos en el tiempo y costo planeados.
Planifica, supervisa y corrige desviaciones contra lo planeado en sus
actividades.
El conocimiento generado por el trabajo cotidiano lo almacena de manera
estructurada y consistente en una base de conocimiento (BC).
Cuenta con información histórica confiable en su BC que le permite generar
estadísticas y oportunidades de mejora confiables.
Cuanta con información del Presente de sus proyectos y procesos en su BC
que le permite dar respuestas precisas y oportunas.
Su ventaja para ganar a sus competidores es el poder que le brinda su
información estructurada, confiable y disponible.
Con estas fortalezas, puede vencer en competencia por contratos a las
empresas que tienen nivel 1.
Capacidades de una empresa de Nivel 3
Además de las capacidades de nivel 1 y 2:
Todos comparten una forma uniforme de trabajo (políticas y procedimientos
estandarizados).
Una falla o mejora en alguna parte de la Empresa, se afina en un solo lugar
(las políticas y/o; procedimientos estandarizados), corrigiendo problemas de
manera masiva.
La Empresa no depende de las personas, porque todo está documentado de
manera estándar y se tiene una forma uniforme de trabajo en toda la
organización.
Es capaz de generar estadísticas uniformes, consistentes, confiables y
oportunas a lo largo de todos sus procesos.
Con estas fortalezas, puede vencer en competencia por contratos a las
empresas de niveles 1 y 2.
Capacidades de una empresa de Nivel 4
Además de las capacidades de nivel 1, 2 y 3:
La forma de medir el desempeño de sus proyectos está estandarizado en toda
la Organización.
Los métodos de entendimiento de las variaciones de los proyectos están
estandarizados en toda la Organización.
Es capaz de entender las causas que hacen variar los proyectos y aplicar
correcciones en procedimientos estandarizados que corrigen problemas
potenciales de manera masiva.
Es capaz de predecir el comportamiento de sus proyectos, y por tanto, de
ofrecer a los clientes mejores condiciones de tiempo y costo que sus
competidores con la seguridad de que puede cumplir, al tener un riesgo
controlado.
Esta es su fortaleza para vencer en competencia por contratos a empresas
con capacidades de niveles 1, 2 y 3.
Capacidades de una empresa de Nivel 5
Además de las capacidades de nivel 1, 2, 3 y 4:
Tiene implantado un proceso de mejora continua de sus procesos y proyectos.
Ha integrado desarrollos de última tecnología probados en la industria y
aceptados por diferentes organizaciones.
Es capaz de adelantarse a las expectativas de sus clientes.
Es capaz de adelantarse a las estrategias de sus competidores.
Se tiene la capacidad de competir por grandes proyectos cubriendo totalmente
las necesidades de sus clientes e incrementando su prestigio dentro de la
industria de T.I.
Estas fortalezas le permiten vencer en competencia por contratos a empresas
de nivel 1, 2, 3 y 4.
IEEE-830
IEEE 830 (practica recomendada para especificaciones de requerimientos de
software)
El propósito principal de esta norma es ayudar a elaborar un documento muy útil el
SRS, es esencialmente una guía de redacción.
Historia
Creado en 1988 en los E.U.M no es de uso obligatorio.
Personas que lo pueden utilizar
Un cliente / usuario que vaya a definir requerimiento.
Un desarrollador (interno/externo) que haga software.
Un desarrollador que haga software “ de paquete que se venda masivamente”
Características
Correctos: El SRS es correcto cuando cumple el software.
No ambiguo: Si cada requerimiento establecido tiene una sola interpretación.
Beneficiable: Hay algunos métodos para saber si el software cumple con los
requisitos.
Modificable: Lo es si el estilo y estructura lo permiten.
Rastreable: Cada requerimiento debe identificarse con un número o letra.
Conclusión
Este estándar nos sirve para la calidad en los productos de software y a la vez
también nos facilitan la realización de documentación, y nos ayudan a realizar
nuestros productos con una misma secuencia para que sean de mejor calidad.
ISO/IEC 26514:2008
La nueva Norma Internacional ISO/IEC 26514:2008 documentación ayudará a los diseñadores y desarrolladores y apoya el interés de los usuarios de software. La norma define el proceso de documentación de la documentación del desarrollador de vista. Abarca las etapas implicadas en el diseño, especificando, y la elaboración de la documentación de usuario. Se aplica tanto a la documentación impresa y en pantalla la documentación.
Se divide en dos partes:
La primera parte abarca el proceso de documentación de usuario para los diseñadores y desarrolladores de la documentación. En él se describe cómo establecer lo que necesitan los usuarios de la información, la forma de determinar la forma en que esa información debe ser presentada a los usuarios, y la forma de preparar la información y ponerla a disposición. No se limita a la fase de diseño y desarrollo del ciclo de vida, sino que incluye actividades en toda la gestión de la información y documentación de procesos.
La segunda parte establece los requisitos mínimos para la estructura, el contenido de la información, y el formato de la documentación de usuario, incluidos los impresos y en la pantalla los documentos utilizados en el entorno de trabajo por parte de los usuarios de los sistemas que contienen software. Se aplica a los impresos de manuales de usuario, ayuda en línea, tutoriales, y documentación de referencia del usuario.
ITIL (INFORMATION TECHNOLOGY INFRASTRUCTURE LIBRARY)
Biblioteca de Infraestructura de Tecnologías de la Información. Es un marco de
trabajo de las mejores prácticas destinadas a facilitar la entrada de servicios de TI
de alta calidad. Es también un conjunto de conceptos y prácticas para la gestión
de servicios de tecnologías de la información, el desarrollo de tecnologías de la
información y las operaciones relacionadas con la misma en general. ITIL da
descripciones detalladas de un extenso conjunto de procedimientos de gestión
ideados para ayudar a las organizaciones a lograr calidad y eficiencia en las
operaciones de TI. Estos procedimientos son independientes del proveedor y han
sido desarrollados para servir como guía que abarque toda infraestructura,
desarrollo y operaciones de TI.
Historia
Aunque se desarrolló durante los años 1980, ITIL no fue ampliamente adoptada
hasta mediados de los años 1990. Esta mayor adopción y conocimiento ha llevado
a varios estándares, incluyendo ISO/IEC 20000, que es una norma internacional
cubriendo los elementos de gestión de servicios de TI de ITIL. Desarrollada bajo el
auspicio de la CCTA, se tituló Government Information Technology Infrastructure
Method (‘Método de Infraestructura de la Tecnología de Información del Gobierno’,
GITM) y durante varios años terminó expandiéndose hasta unos 31 libros dentro
de un proyecto inicialmente dirigido por Peter Skinner y John Stewart. Las
publicaciones fueron retituladas principalmente como resultado del deseo (por Roy
Dibble de la CCTA) de que fueran vistas como una guía y no como un método
formal, y como resultado del creciente interés que había fuera del gobierno
británico.
Estructura
ITIL Está dividido en 10 procesos, mismos que están divididos en cinco procesos
operacionales (libro azul) y cinco tácticos (libro rojo), además de incluirse dentro
de los procesos operacionales una función que es la de service desk.
El libro rojo contiene:
- Gestión de nivel de servicio.
- Gestión financiera para servicio de TI.
- Gestión de disponibilidad.
- Gestión de capacidad.
- Gestión de continuidad de servicio de TI.
- Gestión de seguridad.
El libro azul contiene:
- Gestión de incidentes.
- Gestión de problema.
- Gestión de configuración.
- Gestión de cambio.
- Gestión de lanzamiento.
- Función de service desk.
Ventajas
- La entrega de servicios TI se orienta más al cliente y los acuerdos sobre la
calidad del servicio mejoran la relación.
- Se describen mejor los servicios, en un lenguaje más cómodo para el cliente, y
con mayores detalles.
- Se manejan mejor la calidad y el costo del servicio
- Mejora la comunicación con la organización TI al acordar los puntos de
contacto.
- La organización TI desarrolla una estructura más clara, se vuelve más eficaz,
y se centra más en los objetivos corporativos.
- La administración tiene más control y los cambios resultan más fáciles de
manejar.
- Una estructura de proceso eficaz brinda un marco para concretar de manera
más eficaz el outsourcing de los elementos de los servicios TI.
- Seguir las mejores prácticas de ITIL alienta el cambio cultural hacia la
provisión de servicio, y sustenta la introducción de un sistema de
administración de calidad basado en las series ISO 9000.
Desventajas
- Su introducción puede llevar tiempo y bastante esfuerzo, y supone un cambio
de cultura en la organización. Una introducción demasiado ambiciosa puede
llevar a la frustración porque nunca se alcanzan los objetivos.
- Si la estructura de procesos se convierte en un objetivo en sí misma, la calidad
del servicio se puede ver afectada de forma adversa. En ese caso, los
procedimientos se transforman en obstáculos burocráticos que tratan de
evitarse en lo posible.
- No hay progreso por la falta de comprensión sobre lo que deben dar los
procesos, cuáles son los indicadores de desempeño, y cómo se controlan los
procesos.
- No se ven las reducciones de costo y la mejora en la entrega de los servicios.
- Una implementación exitosa implica el compromiso del personal de todos los
niveles de la organización.
- Dejar el desarrollo de las estructuras de proceso a un departamento de
especialistas puede aislar al departamento de la organización y puede fijar una
dirección no aceptada por los otros departamentos
- Si hay poca inversión en las herramientas de soporte, los procesos no harán
justicia y el servicio no mejorará. Se pueden necesitar más recursos y más
personal si la organización se encuentra sobrecargada con las actividades de
rutina de la Administración de Servicio TI.
PMBOK (PROJECT MANAGEMENT BODY OF KNOWLEDGE)
Conjunto de conocimientos en la dirección, gestión y administración de proyectos,
y que se constituye como estándar de Administración de proyectos. La Guía del
PMBOK comprende dos grandes secciones, la primera sobre los procesos y
contextos de un proyecto, la segunda sobre las áreas de conocimientos
específicos para la gestión de un proyecto.
El compendio de información proveída en el PMBOK provee a todo profesional
que desee especializarse en ésta área de los fundamentos de la administración de
proyectos para poder aplicarlo en campos tan disímiles como la electrónica, el
desarrollo de software, construcción, proyectos web, proyectos en industrias
alimentarias, etc.
Historia
El PMBOK fue desarrollado por el PMI (Project Management Institute por sus
siglas en inglés o el Instituto de Gestión de Proyectos en español) a fines de los
años ochenta con el objetivo de documentar, unificar y estandarizar los
conocimientos y prácticas dentro del campo de la administración de proyectos.
Actualmente existen 05 versiones del PMBOK, siendo la quinta recientemente
publicada por el PMI a mediados del 2012. Esta última edición comprende la
documentación y explicación de 47 procesos de gestión y se caracteriza por
presentar la noción de que cada área debe presentar su propio “Plan Maestro” con
el fin de maximizar la eficiencia de cada una de éstas y liberar al proceso de
cuellos de botella.
Cabe destacar que el PMBOK ha sido redactado en un lenguaje común, utilizando
conceptos que han sido universalizados en el campo de la gestión de proyectos, lo
cual significa que cualquier profesional que recién se encuentre introduciendo en
ésta área de especialización podrá comprender fácilmente un concepto
presentado y relacionar su aplicabilidad en distintos tipos de proyectos por más
disímiles que parezcan.
Organización
El conocimiento acerca de la administración de proyectos puede ser organizado
de muchas maneras, sin embargo a continuación se detalla una estructura básica
para entender la administración de proyectos, con base a las áreas de
conocimiento definidas por el Project Management Institute (PMI):
Administración de la Integración de Proyectos: Se refiere los procesos
requeridos para asegurar que los elementos varios de un proyecto están
coordinados apropiadamente. Consiste del desarrollo de un plan de proyecto,
ejecución del plan de proyecto, y el control de cambios en general.
Administración del Alcance del Proyecto: Se refiere el proceso requerido para
asegurar que el proyecto incluye todo trabajo requerido, y sólo el trabajo
requerido, para completar el proyecto de manera exitosa. Consiste de la iniciación,
planeación del alcance, definición del alcance, verificación del alcance, y control
de cambio al alcance.
Administración del Tiempo del Proyecto: Se refiere los procesos requeridos
para asegurar la terminación a tiempo del proyecto. Consiste en la definición de
las actividades, secuencia de las actividades, estimación de duración de las
actividades, desarrollo del cronograma y control de la programación.
Administración de los Costos del Proyecto: Se refiere los procesos requeridos
para asegurar que el proyecto es completado dentro del presupuesto aprobado.
Consiste en la planificación de recursos, estimación de costos, presupuesto de
costos, y control de costos.
Administración de la Calidad del Proyecto: Se refiere los procesos requeridos
para asegurar que el proyecto va a satisfacer las necesidades para lo cual fue
desarrollado. Consiste en la planeación de la calidad, aseguramiento de la calidad,
y control de calidad.
Administración de los Recursos Humanos del Proyecto: Se refiere los
procesos requeridos para hacer el uso más eficiente de las personas involucradas
en el proyecto. Consiste en la planeación organizacional, adquisición de staff, y
desarrollo del equipo.
Administración de las Comunicaciones del Proyecto: Se refiere los procesos
requeridos para asegurar la generación apropiada y a tiempo, colección,
diseminación, almacenamiento, y la disposición final de la información del
proyecto. Consiste en la planeación de la comunicación, distribución de la
información, reportes de desempeño, y el cierre administrativo.
Administración de Riesgo del Proyecto: Se refiere los procesos concernientes
con la identificación, análisis, y respuesta al riesgo del proyecto. Consiste en la
identificación del riesgo, cuantificación del riesgo, desarrollo de la respuesta al
riesgo, y en el control de la respuesta al riesgo.
Administración de la Procuración del Proyecto: Se refiere los procesos
requeridos para adquirir bienes y servicios de fuera de la organización ejecutora.
Consiste en la planeación de la gestión de la procuración, planear la solicitación, la
solicitación, selección de proveedores, administración de contratos, y cierre de
contratos.
Se divide en cinco grupos básicos de procesos que son:
1. Iniciación: Define y autoriza el proyecto o una fase del mismo. Está formado
por dos procesos los cuales se verán a continuación.
2. Planificación: Define, refina los objetivos y planifica el curso de acción
requerido para lograr los objetivos y el alcance pretendido del proyecto. Está
formado por veinticuatro procesos.
3. Ejecución: Compuesto por aquellos procesos realizados para completar el
trabajo definido en el plan a fin de cumplir con las especificaciones del mismo.
Implica coordinar personas y recursos, así como integrar y realizar actividades del
proyecto en conformidad con el plan para la dirección del proyecto. Está formado
por ocho procesos.
4. Seguimiento y Control: Mide, supervisa y regula el progreso y desempeño del
proyecto, para identificar áreas en las que el plan requiera cambios. Está formado
por once procesos.
5. Cierre: Formaliza la aceptación del producto, servicio o resultado, y termina
ordenadamente el proyecto o una fase del mismo. Está formado por dos procesos.
CMMI (CAPABILITY MATURITY MODEL INTEGRATION)
Integración de modelos de madurez de capacidades. Es un modelo para la mejora
y evaluación de procesos para el desarrollo, mantenimiento y operación de
sistemas de software. Para las compañías un producto o servicio es de calidad
cuando satisface las necesidades y expectativas del cliente otorgando a éste
seguridad sobre su uso, fiabilidad de sus funciones esperadas y confianza en un
producto o servicio sin fallos y duradero según tiempos establecidos y acordados.
Debido a la amplitud de temas que engloba el concepto de calidad se ha definido
el concepto de Calidad Total, el cual se define como un sistema de gestión
organizacional enfocado en la mejora continua del producto o servicio en todo su
ciclo de vida, involucrando marketing, compras, diseño, fabricación y entrega.
Historia
CMMI fue desarrollado por el proyecto CMMI, cuyo objetivo es mejorar la
usabilidad de modelos de madurez integrando muchos modelos diferentes en un
solo marco. El proyecto consistió en miembros de la industria, el gobierno y la
Carnegie Mellon Software Engineering Institute. Los principales patrocinadores
incluyen a la Oficina del Secretario de Defensa y la Asociación Nacional de
Defensa Industrial.
CMMI es el sucesor del modelo de madurez de capacidad o software CMM. El
CMM fue desarrollado a partir de 1987 hasta 1997 - En 2002, CMMI versión 1.1
fue lanzado, versión 1.2 siguió en agosto de 2006 y CMMI versión 1.3 en
noviembre de 2010 - Algunos de los principales cambios en CMMI V1.3 son el
soporte de Desarrollo de Software Ágil, las mejoras en las prácticas de alta
madurez y la alineación de la representación.
Niveles
NIVEL 1 (INICIAL). Este es el nivel en donde están todas las empresas que no
tienen procesos. Los presupuestos se disparan, no es posible entregar el proyecto
en fechas, te tienes que quedar durante noches y fines de semana para terminar
un proyecto. No hay control sobre el estado del proyecto, el desarrollo del proyecto
es completamente opaco, no sabes lo que pasa en él.
NIVEL 2 (REPETIBLE). Quiere decir que el éxito de los resultados obtenidos se
puede repetir. La principal diferencia entre este nivel y el anterior es que el
proyecto es gestionado y controlado durante el desarrollo del mismo. El desarrollo
no es opaco y se puede saber el estado del proyecto en todo momento.
NIVEL 3 (DEFINIDO). Resumiéndolo mucho, este alcanzar este nivel significa que
la forma de desarrollar proyectos (gestión e ingeniería) está definida, por definida
quiere decir que está establecida, documentada y que existen métricas (obtención
de datos objetivos) para la consecución de objetivos concretos.
NIVEL 4 (CUANTITATIVAMENTE GESTIONADO). Los proyectos usan objetivos
medibles para alcanzar las necesidades de los clientes y la organización. Se usan
métricas para gestionar la organización.
NIVEL 5 (OPTIMIZADO). Los procesos de los proyectos y de la organización
están orientados a la mejora de las actividades. Mejoras incrementales e
innovadoras de los procesos que mediante métricas son identificadas, evaluadas y
puestas en práctica.
Ventajas
- La mayor ventaja del CMMI es que ha demostrado ser una metodología de
gran eficacia.
- Aumento de la productividad.
- Mejora la visibilidad de los proyectos.
- Mejora la comunicación, para que cada participante cumpla con sus
responsabilidades.
- Mejora la planificación, para que se establezcan planes más realistas.
- Mejora la calidad del producto.
- Se establece más conocimiento sobre la organización.
- Los clientes viven más informados.
Desventajas
- El proceso de evaluación es muy costoso en tiempo y esfuerzo.
- La complejidad de la evaluación continua puede atentar contra la definición de
objetivos concretos de madurez.
