viernes, 28 de diciembre de 2012

'Modelo para el gobierno de las TIC basado en las normas ISO', el libro guía de las buenas prácticas

Hoy traemos a este espacio a este libro de Fernández Sánchez y Piattini Velthuis titulado:
'Modelo para el gobierno de las TIC basado en las normas ISO', el libro guía de las buenas prácticas"  Qué opinais de las normativas de calidad implantadas en algunos centros de Educación ?...  Es un sistema objetivo o una trampa para el control? Son procesos reales que ayudan o estructuras que impiden la creación y la creatividad? ... su prólogo,  de José Luis Tejera Oliver Director de la Dirección de Desarrollo de AENOR comienza así:

Desde finales de los años 90, ante el emergente desarrollo de la normalización en el sector de las tecnologías de la información, AENOR comienza una nueva andadura y abre un amplio horizonte con la creación, dentro de la División de Desarrollo, del Área de Tecnologías de la Información y Comunicaciones (TIC), bajo el principio de I+D+i, poniendo especial énfasis en la innovación en el sector de las TIC y en la utilización de las normas ISO como referenciales internacionalmente reconocidos para la evaluación de la conformidad.
En el año 2004 y, siguiendo la línea de innovación continua en las TIC, pusimos en marcha el primer piloto de certificación de sistema de gestión de la seguridad de información con la norma española UNE 71502:2004 en una empresa del sector financiero, que culminó con su certificación en ese mismo año; sería la primera de las muchas que la seguirían.
Dos años más tarde, desde el área de TIC, Carlos Manuel Fernández Sánchez diseña y desarrolla un modelo de gobierno y gestión de las normas ISO, racionalizando y simplificando el entramado normativo y su aplicación. Desde su creación, en estos últimos seis años, se han llevado a cabo distintos pilotos de implantación y certificación en grandes corporaciones y pymes, tanto en España y Europa como en Latinoamérica, llegando a alcanzar casi un total de quinientas empresas y entidades certificadas en algún sistema del modelo, con el objetivo de alcanzar la calidad y seguridad de los servicios de tecnología de la información, y la madurez del ciclo de ingeniería del software.
Este modelo, diseñado y extendido desde AENOR, que tiene por objetivo la implantación en las empresas del ciclo de mejora continua o ciclo de Deming (PDCA), orientado a los objetivos de las distintas organizaciones, es el descrito en esta publicación que, además, recoge las experiencias de múltiples empresas que han alcanzado 


Índice
4 Modelo para el gobierno de las TIC basado en las normas ISO
3.4.4.2. Dirigir . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  49
3.4.4.3. Monitorizar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  50
3.4.5. Orientaciones y prácticas de ISO/IEC 38500:2008 . . . . . . . . . . . . . . . .  50
3.5. Implementación de un buen gobierno TIC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  52
3.5.1. Alineación estratégica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  52
3.5.2. Gestión de riesgos (preservación de valor) . . . . . . . . . . . . . . . . . . . . . . .  54
3.5.3. Gestión de recursos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  54
3.5.4. Medición del desempeño . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
3.5.5. Ciclo de vida del gobierno TIC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  56
3.5.6. Entorno de gobierno TIC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  57
3.5.7. Partes interesadas en el gobierno TIC . . . . . . . . . . . . . . . . . . . . . . . . . . .  59
3.5.8. Hoja de ruta de implementación del gobierno TIC . . . . . . . . . . . . . . . . .  61
3.6. Gobierno TIC y mejores prácticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  61
3.7. Gobierno corporativo. Resumen y tendencias . . . . . . . . . . . . . . . . . . . . . . . . . . . .  62
3.8. Caso práctico: experiencia de una empresa piloto que implanta la Norma
ISO 38500:2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  63
3.8.1. Presentación de la organización . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  64
3.8.2. Problemática, necesidades y estrategia . . . . . . . . . . . . . . . . . . . . . . . . . .  65
3.8.3. Soluciones adoptadas y hoja de ruta . . . . . . . . . . . . . . . . . . . . . . . . . . .  68
3.8.4. Gobierno TIC: timón de procesos, personas, tecnologías e infraestructuras 70
3.8.5. Lecciones aprendidas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  76
3.9. Bibliografía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  77
4.    Sistema de gestión de seguridad de la información (UNE-ISO/IEC 27001) . 81
4.1. Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  81
4.2. La familia de normas ISO 27000 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
4.2.1. ISO/IEC 27000:2009 Information technology – Security techniques –
Information security management systems – Overview and vocabulary . . .  84
4.2.2. UNE-ISO/IEC 27001:2007 Tecnología de la información. Técnicas de
seguridad. Sistemas de Gestión de la Seguridad de la Información (SGSI).
Requisitos (ISO/IEC 27001:2005) . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  85
4.2.3. UNE-ISO/IEC 27002:2009 Tecnología de la Información. Técnicas de
seguridad. Código de buenas prácticas para la gestión de la seguridad
de la información (ISO/IEC 27002:2005) . . . . . . . . . . . . . . . . . . . . . . . . . 85
4.2.4. ISO/IEC 27003:2010 Information technology – Security techniques –
Information security management system implementation guidance . . . . . .  86
4.2.5. ISO/IEC 27004:2009 Information technology – Security techniques –
Information security management – Measurement . . . . . . . . . . . . . . . . . .  86
4.2.6. ISO/IEC 27005:2008 Information technology – Security techniques –
Information security risk management . . . . . . . . . . . . . . . . . . . . . . . . . . .  86
4.2.7. ISO/IEC 27006:2011 Information technology – Security techniques –
Requirements for bodies providing audit and certification of information
security management systems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  87
Índice 5
4.2.8. ISO/IEC 27011:2008 Information technology – Security techniques –
Information security management guidelines for telecommunications
organizations based on ISO/IEC 27002 . . . . . . . . . . . . . . . . . . . . . . . . .  87
4.2.9. ISO 27799:2008 Health informatics – Information security management in
health using ISO/IEC 27002 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  87
4.3. Otras normas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  88
4.4. Implantación de la gestión en esta área . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  88
4.5. La información en la organización . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  89
4.5.1. El sistema de información . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  89
4.5.2. Niveles de información . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  91
4.5.3. La seguridad de la información . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  92
4.6. Sistema de gestión de la seguridad de la información . . . . . . . . . . . . . . . . . . . . . .  93
4.7. El sistema de gestión de la seguridad de la información de acuerdo a la Norma
UNE-ISO/IEC 27001:2007 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  94
4.8. La organización. Compromiso de la dirección . . . . . . . . . . . . . . . . . . . . . . . . . . .  96
4.9. Creación del SGSI (planificar) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  97
4.9.1. Alcance del sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  97
4.9.2. La política del SGSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  98
4.9.3. Requisitos de seguridad de la información. Objetivos del SGSI. Objetivos
de seguridad de la información . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  99
4.9.4. Gestión del riesgo: estimación, evaluación y tratamiento del riesgo . . . . . 100
4.9.5. Selección de los objetivos de control y controles. La declaración de
aplicabilidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
4.10. Implantación del SGSI (hacer) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
4.10.1. Plan de tratamiento del riesgo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
4.10.2. Modo de medir la eficacia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
4.10.3. Incidencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
4.11. Supervisión y revisión del sistema (verificar) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
4.11.1. Revisiones periódicas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
4.11.2. Auditoría interna . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
4.11.3. Revisión del sistema por la dirección . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
4.12. Mejora del sistema (actuar) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
4.12.1. Objetivos de mejora . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
4.12.2. Acciones preventivas y correctivas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
4.13. Conclusiones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
4.14. Caso práctico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
4.14.1. Presentación de la organización . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
4.14.2. Problemática . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
4.14.3. Soluciones adoptadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
4.14.4. Lecciones aprendidas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
4.15. Bibliografía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
6 Modelo para el gobierno de las TIC basado en las normas ISO
5.    Sistema de gestión de servicios (UNE-ISO/IEC 20000-1) . 119
5.1. Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
5.2. Principios básicos de UNE-ISO/IEC 20000-1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
5.3. La estructura de la familia de normas ISO/IEC 20000 . . . . . . . . . . . . . . . . . . . . . 124
5.4. UNE-ISO/IEC 20000-1:2011 Tecnología de la información. Gestión del servicio.
Parte 1: Requisitos del Sistema de Gestión del Servicio (SGS) . . . . . . . . . . . . . . . . . 126
5.4.1. Especificaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
5.4.2. Principales diferencias entre UNE-ISO/IEC 20000-1:2007 y
UNE-ISO/IEC 20000-1:2011 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
5.5. UNE-ISO/IEC 20000-2:2007 Tecnología de la información. Gestión del servicio.
Parte 2: Código de buenas prácticas (ISO/IEC 20000-2:2005) . . . . . . . . . . . . . . . 129
5.6. UNE-ISO/IEC TR 20000-3:2011 IN Tecnología de la información. Gestión del
servicio. Parte 3: Directrices para la definición del alcance y aplicabilidad de la
Norma ISO/IEC 20000-1:2005 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
5.7. ISO/IEC TR 20000-4 Information technology – Service management – Part 4:
Process reference model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130
5.8. ISO/IEC TR 20000-8 Tecnología de la información. Gestión del servicio. Parte 8:
Modelo de evaluación de procesos para la Norma ISO/IEC 20000-1 . . . . . . . . . . 131
5.9. ISO/IEC TR 20000-5 Information technology – Service management – Part 5:
Exemplar implementation plan for ISO/IEC 20000-1 . . . . . . . . . . . . . . . . . . . . . . . 132
5.10. Requisitos generales del sistema de gestión del servicio . . . . . . . . . . . . . . . . . . . . . 133
5.11. Diseño y transición de servicios nuevos o modificados . . . . . . . . . . . . . . . . . . . . . . 135
5.12. Procesos de provisión del servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138
5.12.1. Proceso de gestión del nivel de servicio . . . . . . . . . . . . . . . . . . . . . . . . . . 139
5.12.2. Proceso de generación de informes del servicio . . . . . . . . . . . . . . . . . . . . 140
5.12.3. Proceso de gestión de la continuidad y disponibilidad del servicio . . . . . . 141
5.12.4. Proceso de elaboración de presupuesto y contabilidad de los servicios . . . 142
5.12.5. Proceso de gestión de la capacidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
5.12.6. Proceso de gestión de la seguridad de la información . . . . . . . . . . . . . . . 144
5.13. Grupos de procesos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145
5.13.1. Procesos de control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145
5.13.2. Procesos de entrega . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145
5.13.3. Procesos de resolución . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145
5.13.4. Procesos de relación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145
5.14. Conclusión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146
5.15. Caso práctico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146
5.15.1. Presentación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146
5.15.2. Problemática . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147
5.15.3. Soluciones adoptadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149
5.15.4. Lecciones aprendidas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154
5.16. Bibliografía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156
Índice 7
6.    Sistema de gestión de activos de software (UNE-ISO/IEC 19770-1) . 161
6.1. Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161
6.2. Antecedentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163
6.3. Presentación de la norma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164
6.3.1. UNE-ISO/IEC 19770-1:2008 Tecnología de la información. Gestión de
activos de software (SAM). Parte 1: Procesos . . . . . . . . . . . . . . . . . . . . . . 164
6.3.2. ISO/IEC 19770-2:2009 Information technology – Software asset
management – Part 2: Software identification tag . . . . . . . . . . . . . . . . . . . 165
6.4. Implantación de la gestión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166
6.4.1. Definición de objetivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168
6.4.1.1. Gestión de riesgos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169
6.4.1.2. Control de costes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169
6.4.1.3. Ventaja competitiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170
6.4.2. Creación del business case (plan/caso de negocio) . . . . . . . . . . . . . . . . . 171
6.4.3. El proyecto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174
6.4.4. Procesos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175
6.4.4.1. Procesos de gestión organizativa . . . . . . . . . . . . . . . . . . . . . . 177
6.4.4.2. Procesos centrales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178
6.4.4.3. Interfaces de los procesos principales para SAM . . . . . . . . . . . 180
6.4.5. Política de software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181
6.4.6. Base de datos de la gestión de la configuración (CMDB) . . . . . . . . . . . . . 182
6.4.7. Herramientas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184
6.4.8. Formación y certificación profesional . . . . . . . . . . . . . . . . . . . . . . . . . . . 185
6.4.8.1. Formación y certificación con ISO 20000 . . . . . . . . . . . . . . . 185
6.4.8.2. Formación y certificación con UNE-ISO/IEC 19770-1:2008 . . 186
6.4.9. Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186
6.5. Caso práctico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187
6.5.1. Presentación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187
6.5.2. Problemática . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188
6.5.3. Soluciones adoptadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190
6.5.4. Lecciones aprendidas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193
6.6. Bibliografía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193
7.    Procesos del ciclo de vida del software (ISO/IEC 12207) 197
7.1. Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
7.1.1. Evolución histórica de la Norma ISO/IEC 12207:2008 . . . . . . . . . . . . . . 199
7.2. Presentación de la Norma ISO/IEC 12207:2008 . . . . . . . . . . . . . . . . . . . . . . . . . 200
7.2.1. Procesos del contexto del sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201
7.2.1.1. Procesos de acuerdo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201
7.2.1.2. Procesos organizacionales de proyecto . . . . . . . . . . . . . . . . . 202
7.2.1.3. Procesos de proyecto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203
8 Modelo para el gobierno de las TIC basado en las normas ISO
7.2.1.4. Procesos técnicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204
7.2.2. Procesos específicos del software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206
7.2.2.1. Procesos de implementación del software . . . . . . . . . . . . . . . 206
7.2.2.2. Procesos de soporte del software . . . . . . . . . . . . . . . . . . . . . . 207
7.2.2.3. Procesos de reutilización del software . . . . . . . . . . . . . . . . . . 208
7.3. Implantación de la Norma ISO/IEC 12207:2008 . . . . . . . . . . . . . . . . . . . . . . . . . 208
7.3.1. Objetivos y ventajas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208
7.3.2. Partes normativas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210
7.3.3. Factores críticos en la implantación de ISO/IEC 12207:2008 . . . . . . . . . 211
7.3.3.1. Cumplimiento de la norma . . . . . . . . . . . . . . . . . . . . . . . . . . 211
7.3.3.2. Responsabilidades de los interesados . . . . . . . . . . . . . . . . . . 212
7.3.3.3. Cultura organizativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212
7.3.3.4. Implementación de los procesos . . . . . . . . . . . . . . . . . . . . . . 213
7.3.3.5. Gestión de procesos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216
7.3.3.6. Relación de ISO/IEC 12207:2008 con la
serie ISO/IEC 15504 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220
7.3.4. Conclusiones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221
7.3.4.1. Objetivos principales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221
7.4. Caso práctico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222
7.4.1. Presentación de la organización . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222
7.4.2. Problemática . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223
7.4.3. Soluciones adoptadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224
7.4.3.1. Proceso de desarrollo de software . . . . . . . . . . . . . . . . . . . . . 226
7.4.3.2. Proceso de mantenimiento del software . . . . . . . . . . . . . . . . . 227
7.4.3.3. Proceso de planificación y gestión de proyectos . . . . . . . . . . . 227
7.4.3.4. Proceso de gestión de la configuración del software . . . . . . . . 227
7.5. Bibliografía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228
8.    Mejora de la calidad del desarrollo de software (ISO/IEC 15504) 233
8.1. Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233
8.2. La estructura de la serie de normas ISO/IEC 15504 . . . . . . . . . . . . . . . . . . . . . . . 235
8.3. Relación entre la serie de normas ISO/IEC 15504 e ISO/IEC 12207:2008 . . . . . . 237
8.3.1. Los resultados de proceso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238
8.3.2. Atributo de proceso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239
8.3.3. Componente de atributo de proceso . . . . . . . . . . . . . . . . . . . . . . . . . . . 240
8.4. Introducción a las evaluaciones del modelo ISO/IEC 15504 . . . . . . . . . . . . . . . . . 241
8.4.1. Evaluación por niveles de capacidad . . . . . . . . . . . . . . . . . . . . . . . . . . . 241
8.4.2. La evaluación por niveles de madurez . . . . . . . . . . . . . . . . . . . . . . . . . . 243
8.5. El modelo de evaluación y mejora de procesos de software ISO/IEC 15504 –
ISO/IEC 12207:2008 de AENOR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247
8.6. La serie de normas ISO/IEC 15504 y el modelo CMMI . . . . . . . . . . . . . . . . . . . . . 251
Índice 9
8.7. Integración con metodologías ágiles de desarrollo de software . . . . . . . . . . . . . . . 253
8.8. Resumen de las experiencias en la aplicación del modelo . . . . . . . . . . . . . . . . . . . 254
8.8.1. Objetivos de la mejora . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255
8.8.2. Distribución de las no conformidades . . . . . . . . . . . . . . . . . . . . . . . . . . . 256
8.8.3. Principales puntos fuertes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257
8.8.4. Otras certificaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258
8.8.5. Utilización de prácticas ágiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258
8.9. Conclusiones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259
8.10. Bibliografía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259
9.    El ciclo de vida del desarrollo del software pra pequeñas organizaciones
(ISO/IEC 29110) 265
9.1. Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265
9.1.1. Experiencia de México . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266
9.1.2. Experiencia de COMPETISOFT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268
9.2. Presentación de la serie de normas ISO/IEC 29110 Software engineering –
Lifecycle profiles for Very Small Entities (VSEs) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270
9.3. Cómo utilizar la guía del perfil básico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273
9.3.1. Contenido de la guía del perfil básico . . . . . . . . . . . . . . . . . . . . . . . . . . 273
9.3.2. Aplicación de la guía del perfil básico para solucionar
problemas típicos de un proyecto de desarrollo de software . . . . . . . . . . . 274
9.3.2.1. P1. Problemas con la administración del proyecto . . . . . . . . . 275
9.3.2.2. P2. Problemas con el cliente . . . . . . . . . . . . . . . . . . . . . . . . . 278
9.3.2.3. P3. Problemas con la selección de prácticas de desarrollo
de software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281
9.3.2.4. P4 Problemas por la mala calidad del producto de software . . 286
9.4. Caso práctico de aplicación del perfil básico en VSE . . . . . . . . . . . . . . . . . . . . . . . 287
9.5. Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290
9.6. Bibliografía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293
10.    Pruebas de software (ISO/IEC/IEEE 29119) . 297
10.1. Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 297
10.2. Presentación de la serie de normas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 299
10.2.1. Estructura de la serie de normas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 299
10.2.2. Algunos conceptos básicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 300
10.2.3. Organización de los procesos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301
10.2.3.1. Proceso organizativo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 302
10.2.3.2. Procesos de gestión de pruebas . . . . . . . . . . . . . . . . . . . . . . 302
10.2.3.3. Procesos de pruebas dinámicas . . . . . . . . . . . . . . . . . . . . . . . 303
10.3. Implantación de los procesos de gestión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305
10.3.1. Políticas y estrategias de pruebas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305
10.3.2. Planificación de las pruebas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 306
10 Modelo para el gobierno de las TIC basado en las normas ISO
10.3.3. Aplicación recursiva de los procesos de planificación de pruebas . . . . . . . 308
10.3.4. Monitorización, control y cumplimiento . . . . . . . . . . . . . . . . . . . . . . . . . . 309
10.4. Implantación de los procesos de pruebas dinámicas . . . . . . . . . . . . . . . . . . . . . . . 311
10.4.1. Diseño e implementación de pruebas . . . . . . . . . . . . . . . . . . . . . . . . . . . 311
10.4.2. Establecimiento del entorno, ejecución e informe de incidencias de
pruebas dinámicas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314
10.5. Conclusión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314
10.6. Bibliografía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315
11.    Calidad de productos software (familia de normas ISO/IEC 25000) . 319
11.1. Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319
11.2. La familia de normas ISO/IEC 25000 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 322
11.2.1. Estructura de la familia de normas ISO/IEC 25000 . . . . . . . . . . . . . . . . . 323
11.2.1.1. División para la gestión de la calidad (ISO/IEC 2500n) . . . . . 324
11.2.1.2. División para el modelo de la calidad (ISO/IEC 2501n) . . . . . 324
11.2.1.3. División para la medición de la calidad (ISO/IEC 2502n) . . . . 325
11.2.1.4. División para los requisitos de la calidad (ISO/IEC 2503n) . . . 326
11.2.1.5. División para la evaluación de la calidad (ISO/IEC 2504n) . . 326
11.3. Implantación de la gestión de la calidad del producto software . . . . . . . . . . . . . . . 327
11.3.1. Modelo de la calidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329
11.3.1.1. Adecuación funcional . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330
11.3.1.2. Eficiencia de desempeño . . . . . . . . . . . . . . . . . . . . . . . . . . . 331
11.3.1.3. Compatibilidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331
11.3.1.4. Capacidad de uso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 332
11.3.1.5. Fiabilidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 332
11.3.1.6. Seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 332
11.3.1.7. Mantenibilidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333
11.3.1.8. Portabilidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333
11.3.2. Proceso para la evaluación de la calidad . . . . . . . . . . . . . . . . . . . . . . . . 334
11.3.2.1. Actividad 1: establecer los requisitos de la evaluación . . . . . . 337
11.3.2.2. Actividad 2: especificar la evaluación . . . . . . . . . . . . . . . . . . 339
11.3.2.3. Actividad 3: diseñar la evaluación . . . . . . . . . . . . . . . . . . . . . 341
11.3.2.4. Actividad 4: ejecutar la evaluación . . . . . . . . . . . . . . . . . . . . 343
11.3.2.5. Actividad 5: concluir la evaluación . . . . . . . . . . . . . . . . . . . . 344
11.3.3. Herramientas para la evaluación de la calidad . . . . . . . . . . . . . . . . . . . . 346
11.3.3.1. Clasificación de las herramientas de medición . . . . . . . . . . . . 347
11.4. Caso práctico: laboratorio de evaluación de la calidad . . . . . . . . . . . . . . . . . . . . . 349
11.4.1. Presentación de la organización . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349
11.4.2. Problemática y soluciones adoptadas . . . . . . . . . . . . . . . . . . . . . . . . . . . 350
11.4.2.1. Modelo y métricas de la calidad del producto . . . . . . . . . . . . 350
11.4.2.2. Proceso de evaluación de la calidad del producto software . . . 355
Índice 11
11.4.2.3. Herramientas de medición de la calidad . . . . . . . . . . . . . . . . 356
11.4.3. Lecciones aprendidas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 358
11.5. Bibliografía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359
12.    Gestión de la continuidad del negocio (UNE 71599-2) 365
12.1. Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365
12.2. Plan de continuidad del negocio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 366
12.2.1. Necesidad de un plan de continuidad del negocio . . . . . . . . . . . . . . . . . 366
12.2.2. ¿En qué nos ayuda tener un plan de continuidad del negocio? . . . . . . . . 368
12.3. Cómo implementar un BCM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369
12.3.1. Planificación del BCM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369
12.3.2. Análisis de impacto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 370
12.3.2.1. Obtención de información . . . . . . . . . . . . . . . . . . . . . . . . . . 371
12.3.2.2. Determinar la criticidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . 372
12.3.2.3. Plazo máximo tolerable de interrupción . . . . . . . . . . . . . . . . . 373
12.3.2.4. Objetivo de tiempo de recuperación . . . . . . . . . . . . . . . . . . . 373
12.3.2.5. Objetivo de punto de recuperación . . . . . . . . . . . . . . . . . . . . 373
12.3.3. Análisis de riesgos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 374
12.3.4. Desarrollo de la estrategia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 375
12.3.5. Desarrollo del plan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 375
12.3.6. Concienciación y capacitación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 380
12.3.7. Pruebas y ejercicios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 381
12.3.8. Mantenimiento y actualización (mejora continua) . . . . . . . . . . . . . . . . . . 382
12.4. Caso práctico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383
12.4.1. Presentación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383
12.4.2. Problemática . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383
12.4.3. Soluciones adoptadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 387
12.4.4. Lecciones aprendidas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 389
12.5. Bibliografía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 390
13 .    Integración de las Normas UNE-ISO/IEC 27001 y UNE-ISO/IEC 20000-1) . 393
13.1. Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393
13.2. Integración de las normas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 395
13.2.1. Similitudes y diferencias entre UNE-ISO/IEC 27001:2007 y
UNE-ISO/IEC 20000-1:2007 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 395
13.2.2. Aproximaciones para una implementación integrada . . . . . . . . . . . . . . . . 396
13.2.2.1. General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 396
13.2.2.2. Consideraciones sobre el alcance . . . . . . . . . . . . . . . . . . . . . 397
13.2.3. Escenarios de implementación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 398
13.2.3.1. No hay implantados otros sistemas de gestión . . . . . . . . . . . . 398
13.2.3.2. Existe un sistema de gestión que satisface los requisitos de una
de las normas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 399
12 Modelo para el gobierno de las TIC basado en las normas ISO
13.2.3.3. Existen dos sistemas de gestión, y cada uno satisface los
requisitos de una de las normas . . . . . . . . . . . . . . . . . . . . . . 400
13.2.4. Consideraciones para la implementación integrada . . . . . . . . . . . . . . . . 401
13.2.4.1. General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 401
13.2.5. Posibles retos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 401
13.2.5.1. Usos y signficados de “activo” . . . . . . . . . . . . . . . . . . . . . . . . 401
13.2.5.2. Diseño y evolución de los servicios . . . . . . . . . . . . . . . . . . . . 402
13.2.5.3. Evaluación del riesgo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403
13.3. Conclusiones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403
13.4. Caso práctico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 404
13.4.1. Presentación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 404
13.4.2. Problemática . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 404
13.4.3. Soluciones adoptadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 404
13.4.3.1. Modo de integración elegido y pasos seguidos . . . . . . . . . . . 405
13.4.4. Lecciones aprendidas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407
13.5. Bibliografía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407
14.    La certificación de los sistemas de gestión TIC . 411
14.1. Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 411
14.1.1. Auditoría interna y auditoría de certificación . . . . . . . . . . . . . . . . . . . . . . 412
14.2. Presentación de la certificación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 413
14.3. El proceso de certificación en las TIC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 415
14.3.1. Metodología de las auditorias de certificación de las TIC . . . . . . . . . . . . . 415
14.3.1.1. Obtención de evidencias . . . . . . . . . . . . . . . . . . . . . . . . . . . 415
14.3.1.2. Muestreo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 416
14.3.2. Proceso de auditoría de certificación en las TIC . . . . . . . . . . . . . . . . . . . . 416
14.3.2.1. Solicitud de oferta de certificación . . . . . . . . . . . . . . . . . . . . . 417
14.3.2.2. Objetivos y realización de la etapa 1 . . . . . . . . . . . . . . . . . . . 418
14.3.2.3. Objetivos y realización de la etapa 2 . . . . . . . . . . . . . . . . . . . 420
14.3.2.4. Elaboración y envío del PAC . . . . . . . . . . . . . . . . . . . . . . . . . 420
14.3.2.5. Evaluación y decisión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 421
14.3.2.6. Emisión de certificado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 421
14.3.2.7. Auditoría extraordinaria . . . . . . . . . . . . . . . . . . . . . . . . . . . . 422
14.3.3. Auditorías de seguimiento anual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 422
14.3.4. Auditoría de renovación al tercer año . . . . . . . . . . . . . . . . . . . . . . . . . . . 422
14.4. Bibliografía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 423
Sobre los autores 425


Editorial: AENOR Formato PDF
ISBN: 978-84-8143-764-5

Documentos a descargar
   Más información: Ver Documento 535,83 Kb
   Ver parte del contenido: Ver Documento 1211,32 Kb


(leer más...) Fuente: [AENOR ]

buscador

Google