Certificación y normas técnicas: Un enfoque estratégico para las TIC

Observatorio IT para las Administraciones Públicas

19 de mayo de 2010 – Murcia

José Angel Valderrama AntónGerente de Nuevas TecnologíasAENOR

AENOR

Indice

• AENOR

• Estrategia TIC y Normalización internacional

• Normas técnicas: ISO 27001, ISO 20000, UNE 139803, ISO 15504 (SPICE)

• Certificación de cumplimiento

– Que es, objetivos y ventajas

– El proceso de certificación e IQNET

– El certificado

• La acreditación de ENAC

• Datos

SICARM100519_1 2

AENOR

AENOR

• Asociación privada, independiente y sin ánimo de lucro, reconocida en los ámbitos nacional, comunitario e internacional

• Actividades multisectoriales de N+C; formación; publicaciones; información;

• Desde 1986; Veintiún centros operativos en España, además de México, Chile, Italia, Portugal, Brasil, El Salvador, Perú, Bulgaria

• Certificaciones en 45 países; 500 auditores

• Servicios: www.aenor.es, infoAENOR (902.102.201, info@aenor.es), Biblioteca en sede central y en las delegaciones de AENOR.

SICARM100519_1 3

AENOR

AENOR, Misión

Contribuir mediante el desarrollo de las actividades de N+C a mejorar la calidad de las empresas, sus productos y servicios, proteger el medio ambiente y con ello lograr:

El bienestar de la sociedad

– Elaborar normas con la participación abierta de todas las partes interesadas impulsando la aportación española

– Certificar productos, servicios y empresas confiriéndoles un valor competitivo diferencial que contribuya a favorecer intercambios comerciales y la cooperación internacional.

– Orientar la gestión a la satisfacción de nuestros clientes, …

– Impulsar … que nos relacione con la calidad y … busca la excelencia.

4SICARM100519_1

AENOR

Estrategia TIC - Estándares

Un problema, una herramienta, una solución y un negocio.

• Amenazas – Vulnerabilidades (Riesgos)

• Concordancia entre estrategia de negocio y estrategia TIC

• Gestión eficiente y desarrollo sistemático de las TIC

• Entorno cambiante (tecnológico, legal, …) e interconectado

• Situación– El riesgo de los Ordenadores y las TIC para los negocios ocupa el primer

lugar en 3 países (Japón, Reino Unido y USA), y en el top three de los otros países (World Economic Forums Annual – DAVOS Dic2005)

– Sólo un 21% de las cías gestionan el Dpto. de SI con criterios de negocio. En futuro los CIOS más gestores, menos tecnólogos (Informe Penteo 2006).

5SICARM100519_1

AENOR

Normalización … estándares oficiales

Norma: Documento establecido por consenso y aprobado por un organismo reconocido, que proporciona, para un uso común y repetido, reglas, directrices o características para ciertas actividades o sus resultados, con el fin de conseguir un grado óptimo de orden en un contexto dado.

– Resultado de la experiencia

– Voluntarias (o requeridas por legislación)

– Públicas

AENOR,

CEN / CENELEC, ETSI, COPANT,

ISO / IEC

Gestión interna - Mercado global - Ayuda a AAPP

6SICARM100519_1

AENOR

Estándares internacionales en TIC

Normas y certificacion

es TICs

PNE 71599 - BS25999 (1 y 2) Gestión de

continuidad de negocioISO/IEC 38500

Gobierno de las TI

ISO 15504 SPiCE - PRM

SW (parte 2, 5, 7)

ISO 12207 ciclo de vida de desarrollo de SW

ISO 19770 SAM

ISO 20001-1 SG. STI

ISO 20000-2 Guía de buenas prácticas

ISO 27001 SG Seguridad de la Información

ISO 27002 Guía de controles

UNE 139803 Accesibilidad Web

Buenas prácticas en comercio electrónico

Software original,

Auditorías a Operadores de Telecomunicaciones …

ISO 9001 - EFQM; ISO 14001; OHSAS; …

ISO 24762 DRS ICT

SICARM100519_1 7

AENOR

La Información:

Activo principal de las organizaciones (confidencialidad, integridad, disponibilidad).

Amenazas - vulnerabilidades (errores, problemas informáticos, ataques, virus, empleados, legislación, cambios tecnológicos, naturaleza … ).

Tiene mucho valor y riesgo.

Requiere evaluar riesgos y establecer controles adecuados; aunque sin un Sistema de Gestión no se asegura la protección.

Seguridad informática ≠ Seguridad de la Información

El SG SI - ISO 27001

SICARM100519_1 8

AENOR

El SG SI – ISO 27001

Organiza, simplifica, y gestiona la seguridad de la información en concordancia con los planes estratégicos de la organización, sus políticas de seguridad y la situación.

Herramienta de la Dirección.

En el marco de los riesgos empresariales generales.

Enfoque común con otros SG. ISO (9001, 14001, 20000).

Para todo tipo de organizaciones.

Enfoque por procesos, y para la mejora continua.

Soportado en conocimientos adquiridos (ISO 27002).

Abarca aspectos legales.

9SICARM100519_1

AA PP

DDCCMejora Continua

AENOR

– Integrar la gestión de la SI con otros SG empresarial.

– Mejorar la imagen, confianza y competitividad empresarial. Certificación y reconocimiento por terceros.

– Comprobar su compromiso con el cumplimiento de la legislación: protección de datos de carácter personal, servicios sociedad de información, comercio electrónico, propiedad intelectual, etc.

– Dar satisfacción a accionistas y demostrar el valor añadido de las actividades de SI en la empresa.

– Mejora gestión de SI (evalúa riesgos, establece controles adecuados, sistematiza y gestiona recursos y actividades)

ES SOPORTE, APORTA CONFIANZA ES SOPORTE, APORTA CONFIANZA -- CREDIBILIDADCREDIBILIDAD

El SG SI: Ventajas del SGSI para el Negocio

SICARM100519_1 10

AENOR

Para que el proveedor de servicios de TI realice una gestión eficaz de los servicios y que responda a las necesidades de sus clientes (responder a requisitos del negocio + clientes).

Herramienta de la Dirección.

En el marco de los riesgos empresariales generales.

Enfoque común con otros SG. ISO (9001, 14001, 20000).

Para quienes prestan servicios de TI (interno /externo).

Enfoque por procesos, y para la mejora continua.

Soportado en conocimientos adquiridos (ISO 20000-2).

Basado en las librerías ITIL.

El SG STI - ISO 20000

SICARM100519_1

AA PPDDCC

Mejora Continua

11

AENOR

El SG STI: Beneficios

Maximizar la Calidad del servicio

Alinear los servicios de TI a las necesidades del negocio

Reducir Costes

Aumentar la satisfacción del Cliente

Visión clara de la capacidad del departamento de TI

Minimizar el tiempo de ciclo de cambios y mejorar resultados en base a métricas

Toma de decisiones en base a indicadores de negocio y de TI

12SICARM100519_1

AENOR

ISO 15504 - SPICE

• Para organizaciones / áreas de desarrollo de SW.

• Determinación del nivel de madurez de los procesos del ciclo de vida del SW, y de la organización.

• Independiente del tipo de organización, modelo de ciclo de vida, metodología de desarrollo y de la tecnología usada

• Modelo ISO, PMR ISO 12207:2008 : Ciclo de Vida de Desarrollo de Software. Fases en la creación de un software.

• Cada nivel de madurez tiene un conjunto de procesos asociados, definidos en la ISO 12207, y se valora en función de la capacidad de los procesos, medida según los resultados y las actividades, atributos del proceso.

• Mejora continua.

• Es la competencia a CMMI.

13SICARM100519_1

AENOR

ISO 15504: Beneficios

• Mejora la:

– Planificación (reduce retrabajos)

– Coordinación de los proyectos (define responsabilidades, actividades).

– Comunicación (establece canales internos, con el cliente)

– Consolidación de conocimiento y experiencias (genera una base de conocimientos sobre procesos y proyectos, reduce tiempos de integración de personas, cualificación).

– Calidad del producto (control proceso / proyecto, y detección temprana de errores).

Mejora de la capacidad

Mejora en la calidad y productividad

Aumenta satisfacción de clientes

Mejora en la competitividad

14SICARM100519_1

AENOR

La web accesible – UNE 139803

Soporte para administración electrónica y difusión de contenidos.

La web debe ser para todos, y para ello independiente de:– el dispositivo de acceso (PC, teléfono, TV, PDA, ... Versión; el ancho de

banda; el navegador, sin color, sin sonido, … sin pantalla).

– Capacidades de los usuarios (dificultades visuales, auditivas, motoras, cognitivas, … el cansancio, …).

– La cultura o el conocimiento (textos, representaciones, … formato de fechas, ).

Es requisito que sea accesible (UNE 139803):– Ley 11/2007 de acceso electrónico a los SP. Ley 34/2002, LSSICE. Ley

51/2003, LIONDAU. Ley 56/2007 MISI. Ley 32/2003 GT. Real Decreto 1494/2007.

– Ley 49/2007 Régimen de infracciones y sanciones LIONDAU.

15SICARM100519_1

AENOR

Accesibilidad web – Requisitos

• Para las AAPP, servicios públicos, webs financiadas y empresas que presten servicios al público de especial trascendencia económica (LMISI);

• Prioridad 2 de la Norma UNE 139803:2004 (nivel AA), a partir del 31-12-2008.

• Deber de informar sobre el grado de accesibilidad y la fecha de revisión; ofrecer un sistema de contacto, y evaluar periódicamente los resultados.

• Incumplimiento: Grave (30000 – 90000€)

• Certificación como evidencia de cumplimiento.

16SICARM100519_1

AENOR

Certificación ¿Qué es?

Acto por el que una tercera parte testifica que ha obtenido la adecuada confianza en la conformidad de un determinado producto, proceso o servicio, debidamente identificado, con una norma u otro documento normativo especificado.

Comprobación de que un SG cumplen con una serie de requisitos especificados … en ISO 27001 / ISO 20000

SICARM100519_1 17

AENOR

Certificación … AENOR en logos

SICARM100519_1 18

AENOR

Certificación … objetivos

• Demostrar a los clientes el cumplimiento de las normas, mediante las marcas.

• Facilitar la introducción de los productos en otros mercados.

• Facilitar la compra /contratación de productos.

• Demostrar el cumplimiento de la Reglamentación obligatoria (si existe) –ausencia de dolo-.

• Oportunidad de mejora interna (procesos / productos)

19SICARM100519_1

AENOR

Certificación … Ventajas para SGSI / SGSTI

• Apoya la actividad del Responsable TI.

• Apoya enfoque de negocio de la Dirección, y demuestra compromiso.

• Demuestra el cumplimiento de los requisitos (LOPD, LSSICE, ENS, …), la calidad.

• Auditores formados, cualificados, y expertos (El análisis del experto, novedades y oportunidades de mejora).

• Genera confianza / credibilidad interna y externa – Aceptación global (clientes, empleados, accionistas / propietarios, administraciones / jueces, …)

• Imagen de marca y diferenciación (AENOR, ENAC, IQNet).

• Diferenciación del mercado.

• Facilita la comercialización / venta, y la exportación

• Apoya la competitividad

20SICARM100519_1

AENOR

El proceso de certificación

21SICARM100519_1

AUDITORÍA DEL SISTEMA

FASE II

AUDITORÍAS DE SEGUIMIENTO

(Anuales)

AUDITORÍAS DERENOVACIÓN

(Cada tres años)

AUDITORÍA EXTRAORDINARIA

CONCESIÓN DELCERTIFICADO

PLAN DE ACCIONESCORRECTORAS

1 mes

VISITA PREVIAFASE I

ANÁLISIS DE LA DOCUMENTACIÓN

FASE I

INFORME/s

INFORME

CUESTIONARIO PREVIO Y SOLICITUD

PLANIFICACIÓN DE LA AUDITORÍA

AENOR

Accesibilidad web – Certificación

• Conformidad– Nivel AA y AAA;

– Desde cualquier contenido / sección / sitio web;

– Sólo verifica requisitos técnicos (UNE 139803);

– Sin seguimiento;

– Sin uso de marca o logo;

– Accesible a una fecha;

– Generalmente para desarrolladores;

• Marca AENOR N– Nivel AA y AAA;

– Para sitios web / microsites;

– Verifica requisitos técnicos (UNE) y el SG (BackOffice);

– Seguimiento técnico semestral, y del SG anual;

– Uso de marca o logo;

– Se mantiene accesible;

– Generalmente para propietarios;

22SICARM100519_1

AENOR

IQNET: 38 socios de referencia

AENOR España

AFAQ Francia

ANCE Méjico

APCER Portugal

AVI Bélgica

CISQ Italia

CQC China

CQM China

CQS República Checa

Cro Cert Croacia

DQS Alemania

DS Dinamarca

ELOT Grecia

FCAV Brasil

FONDONORMA Venezuela

IHKQAA China (Hong Kong)

CONTEC Colombia

IMNC Méjico

IRAM Argentina

23

JQA Japón

KEMA Holanda

KFQ Corea

MSZT Hungría

NEMKO Noruega

NSAI Irlanda

ÖQS Austria

PCBC Polonia

PSB Singapur

QMI Canadá

RR Rusia

SAI GL Australia

SFS Finlandia

SII Israel

SIQ Eslovenia

SQS Suiza

SRAC Rumania

TEST-St. P. Rusia

YUQS Serbia Montenegro

www.iqnet-certification.com

SICARM100519_1

AENOR

La acreditación de ENAC en AENOR

SICARM100519_1 24

• Acreditada por ENAC para certificar SGSI

• Miembro español de IQNet.

• Experiencia, cualificación, prestigio

AENOR

El certificado … norma, alcance, validez, número

25SICARM100519_1

www.aenor.es

AENORnet

AENOR

Datos: The ISO Survey 2009 (Dec 2008).

SGSI_1 26

AENOR

Datos: los Certificados de AENOR

– SGSI –UNE ISO 27001:• 240 empresas certificadas, en todos los sectores.• España en el top ten.

– SGSTI- UNE-ISO 20000:• 40 empresas certificadas (el 50% PYMES-TIC)• España en el top ten, según ItSMF.

– SPICE – ISO 15504 / ISO 12207: Modelo de madurez del desarrollo de software. Factorías de SW.

• Es la competencia a CMMI.

• 22 empresas certificadas.

– Accesibilidad de sitios WEB - UNE 139803• 28 sitios web certificados

SICARM100519_1 27

AENOR

Muchas gracias, estamos a su disposición

José Angel Valderrama AntónGerente Nuevas Tecnologías

nuevastecnologias@aenor.es

AENOR Murcia

Pza. Fuensanta Nº 2, 2º-C , 30008 Murcia - Tel. 968 27 27 70

drm@aenor.es

InfoAENOR - 902 102 201

www.aenor.es

SICARM100519_1 28