1

2

NORMAS ISO LAYME VELASQUEZ, Rubén Darío

PEÑA MANRIQUE, José Luis QUIÑONES REYNA, Miguel

3

INTRODUCCIÓN

Debido a la necesidad de documentar procedimientos eficaces de procesos tecnológicos surgen las normas de estandarización internacional (ISO), luego estas, se fueron comercializadas para utilizarlas en procedimientos administrativos; su desarrolló se generó a través del campo de la ingeniería.

4

NORMAS ISO

Entidad internacional encargada de favorecer la normalización en el mundo. Con sede en Ginebra, es una federación de organismos nacionales, éstos, a su vez, son oficinas de normalización que actuan de delegadas en cada país, como por ejemplo: AENOR en España, AFNOR en Francia, DIN en Alemania, etc. con comités técnicos que llevan a término las normas. Se creó para dar más eficacia a las normas nacionales.

5

NORMAS ISO

¿QUÉ ES UNA NORMA?Son un modelo, un patrón, ejemplo o criterio a

seguir. Una norma es una fórmula que tiene valor de regla y tiene por finalidad definir las carecterísticas que debe poseer un objeto y los productos que han de tener una compatibilidad para ser usados a nivel internacional.

6

NORMAS ISO

TIPOLOGÍA DE NORMAS Las normas pueden ser cuantitativas (normas de

dimensión, por ej. las DIN-A, etc)

O tambien, pueden ser cualitativas (las 9000 de cualidad, etc.)

7

NORMAS ISONormas ISO Nombre

ISO 9000 Sistemas de Gestión de la Calidad – Fundamentos y vocabulario

ISO 9001 Sistemas de Gestión de la Calidad – Requisitos

ISO 9004 Sistemas de Gestión de la Calidad – Directrices para la mejora del desempeño

ISO 9036 Árabe de 7 bits de caracteres codificados para el intercambio de información

ISO/IEC 9126 Calidad del Producto de SoftwareISO/IEC 9126-1 Parte 1: Modelo de CalidadISO/IEC 9126-2 Parte 2: Métricas ExternasISO/IEC 9126-3 Parte 3: Métricas InternasISO/IEC 9126-4 Parte 4: Métricas de Calidad en Uso

ISO 9362 Código de Identificación Bancaria (BIC) - SWIFT

ISO 9660 Sistema de archivos de CD-ROM

ISO 9899 Lenguaje de programación C

8

NORMAS ISONormas ISO NombreISO/IEC 12207 Ciclo de vida del softwareISO 13450 Formato de carrete de 110ISO 13485 Productos sanitarios. Sistemas de Gestión de la Calidad. Requisitos para fines

reglamentariosISO 13616 Código Internacional de Cuenta Bancaria - IBAMISO/IEC 13818 MPEG-2ISO 14000 Estándares de Gestión Medioambiental en entornos de producción

ISO/IEC 14443 Estándar para tarjetas inteligentes de proximidadISO/IEC 14496 MPEG-4ISO/IEC 14598 Evaluación del producto de software

ISO/IEC 14598-1 Parte 1: Visión general

ISO/IEC 14651 Internacional y la comparación de cadenas de pedidos - Método de comparación de cadenas de caracteres y la descripción de la plantilla de pedido tolerable

ISO 14971 ISO 14971ISO/IEC TR 15285 Un modelo operativo para los caracteres y glifosISO/IEC 15444 JPEG 2000ISO/IEC 15489 Información y documentación - Gestión de DocumentosISO/IEC 15504 Mejora y evaluación de procesos de desarrollo de software

9

NORMAS ISONormas ISO Nombre

ISO/IEC 20000 Tecnología de la información - Gestión del servicioISO/IEC 20000-1:2007 Gestión del servicio. Parte 1: Especificaciones (ISO/IEC 20000-1:2005)ISO/IEC 20000-2:2007 Gestión del servicio. Parte 2: Código de buenas prácticas (ISO 20000-2:2005)

ISO 22000 Sistemas de Gestión de Seguridad Alimentaria

ISO 26000 Responsabilidad social (de las organizaciones)

ISO/IEC 26300 OpenDocument Format (.odf)

ISO/IEC 27000 Sistemas de Gestión de la Seguridad de la Información

ISO/IEC 29382 Reglas de gobierno de las TIC (IT Governance)

10

CASO I: IMPLANTACIÓN Y CERTIFICACIÓN EN ISO 20000 EN ESPIRAL MICROSISTEMAS

11

ISO 20000 EN ESPIRAL MICROSISTEMAS

¿Cuáles son las diferencias entre implantar procesos ITIL® y buscar una certificación en ISO 20000? ITIL® es una colección de buenas prácticas no

certificable. Las recomendaciones de ITIL® pueden abordarse con la

profundidad y exigencia que la organización considere oportuno.

ISO 20000 es una norma certificable que considera 13 procesos.

No se puede optar a la certificación en ISO 20000 sin haber implantado, aunque sea mínimamente, los 13 procesos.

12

ISO 20000 EN ESPIRAL MICROSISTEMAS

Identificar objetivos y beneficios esperados

Evaluar el nivel de madurez de la organización

Definir el alcance considerando

objetivos, beneficios e impacto (política)

Asignar recursos y responsabilidades al Sistema de Gestión y

los procesos

Diseñar procesosPilotar Sistema de Gestión

Auditoría de certificación

En todo momento… Gestionar los riesgos. Formar y concienciar a los involucrados.

13

ISO 20000 EN ESPIRAL MICROSISTEMAS

Se elaboró un plan de comunicación a toda la organización y, especialmente, a todos los involucrados para facilitar el desarrollo del proyecto.

Se elaboró un plan de formación para garantizar que todos los involucrados conocen los aspectos necesarios de la norma para realizar con éxito las tareas que se les asignen en la definición y puesta en marcha de los procesos.

La implantación de las mejores prácticas de ITIL® o la certificación en ISO 20000 es exigente en cuanto a recursos humanos pero también en cuanto a recursos económicos. No es viable una implantación que no considere presupuesto para formación o para la adquisición de herramientas software de apoyo.

14

ISO 20000 EN ESPIRAL MICROSISTEMAS

Resultó fácil… Definir los procesos

operativos Integrar los requisitos de ISO

20000 en el sistema de gestión ya existente

Apreciar los beneficios aportados tras la implantación

Implantar los procesos operativos con ayuda de ProactivaNET®

Resultó difícil… Definir los procesos no

operativos Disciplinar a los afectados

por los procesos operativos para seguir los nuevos procedimientos

Identificar quién actuaba de cliente en un alcance interno

Considerar los aspectos no tecnológicos de la norma

15

CASO II: DESARROLLO DE SOFTWARE

16

DESARROLLO CON NORMAS ISO

Una empresa de desarrollo de software para ordenador, que daba servicio a un nicho de mercado, reconoció que a medida que su base de usuarios fuese expandiéndose ellos deberían hacer frente a temas relativos a la gestión del producto y control de la configuración y a su vez mejorar la calidad de su producto. Los cambios en los productos base, en el hardware del usuario y en los requisitos reglamentarios estaban aumentando los problemas del servicio al cliente. La Normas ISO le proporcionó la guía que necesitaban para establecer procedimientos documentados para controlar los cambios y mejora del proceso. Más tarde, adquirieron otra empresa de desarrollo de software y pudieron utilizar su sistema de gestión de la calidad para integrar muy rápidamente la adquisición de la empresa a su propia estructura, con un mínimo cambio para sus clientes.

17

15504 MANEJO /SELCCIÓN DE PROVEEDORES

14143 MEDICIÓN DEL TAMAÑO FUNCIONAL

14102 EVALUACION Y SELECCIÓN DE

HERRAMIENTAS

15026 NIVELES DE INTEGRACION DE SISTEMAS

DE SOFTWARE

14764 MANTENIMIENTO DE SOFTWARE

15910 PROCESO DE DOCUMENTACION DE

SOFTWARE

16326 MANEJO DE PRYECTOS

15846/10007 GESTTIÓN DE CONFIGURACIÓN

14598 EVALUACIÓN DE PRODUSCTOS DE

SOFTWARE

9126 CALIDAD DEL PRODUCTO

15504 PROCESO DE MEJORA

12207 Procesos del Ciclo de vida

del Sw

15939 Medición del Sw

15504 Evaluación de Proceso

ISO 9001ISO /IEC 9003 Software

18

BENEFICIOS

Mejor documentación del sistema. Cambio cultural positivo. Incremento en la eficiencia y productividad. Mayor percepción de calidad. Se amplio la satisfacción del cliente. Se redujeron las auditorías de calidad de los

clientes. Se agilizo los tiempos de desarrollo.

19

CASO III: Seguridad de la Información ISO/IEC 27001

Protección de la información, el activo más valioso

20

Norma ISO/IEC 27001

única norma internacional auditable que define los requisitos para un sistema de gestión de la seguridad de la información (SGSI).

Ayuda a proteger los activos de información y otorga confianza a cualquiera de las partes interesadas, sobre todo a los clientes

Adopta un enfoque por procesos para establecer, implantar, operar, supervisar, revisar, mantener y mejorar un SGSI.

21

¿Para quién es significativo?Cualquier organización, grande o pequeña, de

cualquier sector o parte del mundo.

También es muy eficaz para organizaciones que gestionan la información por encargo de otros, por ejemplo, empresas de subcontratación de TI.

La norma es particularmente interesante si la protección de la información es crítica,

como en finanzas, sanidad sector público y tecnología de la información (TI).

22

Beneficios

Demuestra la garantía independiente de los controles internos y cumple los requisitos de gestión corporativa y de continuidad de la actividad comercial.

Demuestra independientemente que se respetan las leyes y normativas que sean de aplicación.

Proporciona una ventaja competitiva al cumplir los requisitos contractuales y demostrar a los clientes que la seguridad de su información es primordial.

23

Beneficios

Verifica independientemente que los riesgos de la organización estén correctamente identificados, evaluados y gestionados al tiempo que formaliza unos procesos, procedimientos y documentación de protección de la información.

Demuestra el compromiso de la cúpula directiva de su organización con la seguridad de la información.

El proceso de evaluaciones periódicas ayuda a supervisar continuamente el rendimiento y la mejora.Nota: las organizaciones que simplemente cumplen la norma ISO/IEC 27001 o las recomendaciones de la norma del código profesional, ISO/IEC 17799 no logran estas ventajas.

24

La seguridad de la información requiere invertir tanto en capital

humano, como en tecnología.

1. Política de seguridad2. Aspectos organizativos para la seguridad.3. Clasificación de activos.4. Control.5. Seguridad ligada al personal.6. Seguridad física y del entorno.7. Gestión de Comunicaciones y Operaciones.8. Control de Accesos.9. Desarrollo y mantenimiento de sistemas.10. Gestión de Continuidad del Negocio.11. Conformidad con la legislación y reglamentación existente.

De estos ONCE DOMINIOS se derivan 39 objetivos de control (resultados que se esperan alcanzar mediante la implementación de controles) y 133 controles (practicas, procedimientos o mecanismos que reducen el nivel de riesgo).

25

ISO 27001:2005 Una norma de certificación de sistemas

26

Grafico del proceso de Auditoria

27

CONCLUSIONES

El aseguramiento de la calidad se logra aplicando las Normas establecidas ya que cada una de ellas se complementan teniendo en cuenta en nivel de calidad al que se quiere llegar.

Los costos de implantación de la norma son de necesario conocimiento para tomar decisiones futuras sobre nuevas inversiones en este campo tan abierto como es la calidad asegurada.

A pesar de ser un proceso altamente costoso, las ganancias a largo plazo se miden con mayor transparencia si se aplica las normas a cabalidad, así como de llevar un control estricto de los costos en que se incurren durante el mismo.

28

RECOMENDACIONES

Proyectar nuevos cursos de capacitación de modo sistemático en las diferentes entidades en que se encuentra implantada dicha norma.

Adoptar medidas que den solución a las No conformidades que se dejen plasmadas en Auditorías realizadas para el proceso de implantación y dar paso a la certificación de las normas.

Llevar un estricto control de los costos en que se ha incurrido, por diferentes conceptos, en la implantación de la norma para toma de decisiones más precisas.

29

GRACIAS.