El documento presenta una introducción a los modelos de gestión para pequeñas y medianas empresas de software, incluyendo normas técnicas como ISO 27001 sobre seguridad de la información, ISO 20000 sobre gestión de servicios de TI, e ISO 15504 sobre madurez de procesos de desarrollo de software. También describe los beneficios de la certificación de cumplimiento de estas normas a través de organismos como AENOR.
¿Buscas salud integral? Usa tu cerebro por Inmaculada Cubero
I foro de gestión pymes software - Aenor
1. Modelos de gestión para las factorías PYME de
software
I Foro Gestión de pequeñas y medianas factorías de software
20 de mayo de 2010 – Madrid
José Angel Valderrama Antón
Gerente de Nuevas Tecnologías
AENOR
2. Indice
• AENOR
• Estrategia TIC y Normalización internacional
• Normas técnicas: ISO 27001, ISO 20000, UNE 139803, ISO
15504 (SPICE)
• Certificación de cumplimiento
– Que es, objetivos y ventajas
– El proceso de certificación e IQNET
– El certificado
• La acreditación de ENAC
• Datos
EOI1005_1 2 AENOR
3. AENOR
• Asociación privada, independiente y sin ánimo de lucro,
reconocida en los ámbitos nacional, comunitario e internacional
• Actividades multisectoriales de N+C; formación; publicaciones;
información;
• Desde 1986; Veintiún centros operativos en España, además de
México, Chile, Italia, Portugal, Brasil, El Salvador, Perú, Bulgaria
• Certificaciones en 45 países; 500 auditores
• Servicios: www.aenor.es, infoAENOR (902.102.201, info@aenor.es),
Biblioteca en sede central y en las delegaciones de AENOR.
EOI1005_1 3 AENOR
4. AENOR, Misión
Contribuir mediante el desarrollo de las actividades
de N+C a mejorar la calidad de las empresas, sus
productos y servicios, proteger el medio ambiente y
con ello lograr:
El bienestar de la sociedad
– Elaborar normas con la participación abierta de todas las partes
interesadas impulsando la aportación española
– Certificar productos, servicios y empresas confiriéndoles un valor
competitivo diferencial que contribuya a favorecer intercambios
comerciales y la cooperación internacional.
– Orientar la gestión a la satisfacción de nuestros clientes, …
– Impulsar … que nos relacione con la calidad y … busca la excelencia.
EOI1005_1 4 AENOR
5. Situación TIC - Estrategia TIC estándares
Problema, herramienta, solución y negocio.
• Hay Amenazas – Vulnerabilidades (Riesgos)
• Concordancia entre estrategia de negocio y estrategia TIC
• Gestión eficiente y desarrollo sistemático de las TIC
• Mejorar calidad producto, capacidad proceso (defectos, plazos… )
• Entorno cambiante (tecnológico, legal, …), e interconectado
– El riesgo de los Ordenadores y las TIC para los negocios ocupa el primer
lugar en 3 países (Japón, Reino Unido y USA), y en el top three de los
otros países (World Economic Forums Annual – DAVOS Dic2005)
– Sólo un 21% de las cías gestionan el Dpto. de SI con criterios de negocio.
En futuro los CIOS más gestores, menos tecnólogos (Informe Penteo 2006).
– Sólo el 34% de los proyectos de SW tienen éxito (CHAOS report 2003).
– Hasta el 40% de los recursos se dedica a mantenimiento de aplicaciones
EOI1005_1 5 AENOR
6. Normalización … estándares oficiales
Norma: Documento establecido por consenso y aprobado por un
organismo reconocido, que proporciona, para un uso común y
repetido, reglas, directrices o características para ciertas
actividades o sus resultados, con el fin de conseguir un grado
óptimo de orden en un contexto dado.
– Resultado de la experiencia
– Voluntarias (o requeridas por legislación)
– Públicas
AENOR,
CEN / CENELEC, ETSI, (COPANT )
ISO / IEC
Gestión interna - Mercado global - Ayuda a AAPP
EOI1005_1 6 AENOR
7. Estándares internacionales en TIC
ISO 9001 - EFQM; ISO 14001;
PNE 71599 - BS25999 (1 OHSAS; …
y 2) Gestión de ISO/IEC 38500
continuidad de negocio Gobierno de las TI
ISO 15504 SPiCE - PRM
SW (parte 2, 5, 7)
ISO 12207 ciclo de vida de
desarrollo de SW
ISO 20001-1 SG. STI
ISO 20000-2 Guía Normas y UNE 139803 Accesibilidad Web
de buenas prácticas certificacion
es TICs
Buenas prácticas en comercio
electrónico
ISO 27001 SG Seguridad Software original,
de la Información
Auditorías a Operadores de
ISO 27002 Guía de ISO 24762 Telecomunicaciones …
controles ISO 19770
DRS ICT SAM
EOI1005_1 7 AENOR
8. El SG SI - ISO 27001
La Información:
Activo principal de las organizaciones (confidencialidad,
integridad, disponibilidad).
Amenazas - vulnerabilidades (errores, problemas
informáticos, ataques, virus, empleados, legislación,
cambios tecnológicos, naturaleza … ).
Tiene mucho valor y riesgo.
Requiere evaluar riesgos y establecer controles adecuados;
aunque sin un Sistema de Gestión no se asegura la
protección.
Seguridad informática ≠ Seguridad de la Información
EOI1005_1 8 AENOR
9. El SG SI – ISO 27001
Organiza, simplifica, y gestiona la seguridad de la información en
concordancia con los planes estratégicos de la organización, sus
políticas de seguridad y la situación.
A P
C D
Herramienta de la Dirección. Mejora Continua
En el marco de los riesgos empresariales generales.
Enfoque común con otros SG. ISO (9001, 14001, 20000).
Para todo tipo de organizaciones.
Enfoque por procesos, y para la mejora continua.
Soportado en conocimientos adquiridos (ISO 27002).
Abarca aspectos legales.
EOI1005_1 9 AENOR
10. El SG SI: Ventajas del SGSI para el Negocio
– Integrar la gestión de la SI con otros SG empresarial.
– Mejorar la imagen, confianza y competitividad empresarial.
Certificación y reconocimiento por terceros.
– Comprobar su compromiso con el cumplimiento de la
legislación: protección de datos de carácter personal, servicios
sociedad de información, comercio electrónico, propiedad
intelectual, etc.
– Dar satisfacción a accionistas y demostrar el valor añadido de
las actividades de SI en la empresa.
– Mejora gestión de SI (evalúa riesgos, establece controles
adecuados, sistematiza y gestiona recursos y actividades)
ES SOPORTE, APORTA CONFIANZA - CREDIBILIDAD
EOI1005_1 10 AENOR
11. El SG STI - ISO 20000
Para que el proveedor de servicios de TI realice una gestión eficaz
de los servicios y que responda a las necesidades de sus clientes
(responder a requisitos del negocio + clientes).
A P
Herramienta de la Dirección. C D
Mejora Continua
En el marco de los riesgos empresariales generales.
Enfoque común con otros SG. ISO (9001, 14001, 20000).
Para quienes prestan servicios de TI (interno /externo).
Enfoque por procesos, y para la mejora continua.
Soportado en conocimientos adquiridos (ISO 20000-2).
Basado en las librerías ITIL.
EOI1005_1 11 AENOR
12. El SG STI: Beneficios
Maximizar la Calidad del servicio
Alinear los servicios de TI a las necesidades del
negocio
Reducir Costes
Aumentar la satisfacción del Cliente
Visión clara de la capacidad del departamento de TI
Minimizar el tiempo de ciclo de cambios y mejorar
resultados en base a métricas
Toma de decisiones en base a indicadores de
negocio y de TI
EOI1005_1 12 AENOR
13. ISO 15504 - SPICE
• Para organizaciones / áreas de desarrollo de SW.
• Determinación del nivel de madurez de los procesos del
ciclo de vida del SW, y de la organización.
• Independiente del tipo de organización, modelo de ciclo de
vida, metodología de desarrollo y de la tecnología usada
• Modelo ISO, PMR ISO 12207:2008 : Ciclo de Vida de
Desarrollo de Software. Fases en la creación de un software.
• Cada nivel de madurez tiene un conjunto de procesos
asociados, definidos en la ISO 12207, y se valora en función
de la capacidad de los procesos, medida según los
resultados y las actividades, atributos del proceso.
• Mejora continua.
• Es la competencia a CMMI.
EOI1005_1 13 AENOR
14. ISO 15504: Beneficios
• Mejora la:
– Planificación (reduce retrabajos)
– Coordinación de los proyectos (define responsabilidades, actividades).
– Comunicación (establece canales internos, con el cliente)
– Consolidación de conocimiento y experiencias (genera una base de
conocimientos sobre procesos y proyectos, reduce tiempos de
integración de personas, cualificación).
– Calidad del producto (control proceso / proyecto, y detección temprana
de errores).
Mejora de la capacidad
Mejora en la calidad y productividad
Aumenta satisfacción de clientes
Mejora en la competitividad
EOI1005_1 14 AENOR
15. Certificación ¿Qué es?
Acto por el que una tercera parte testifica que ha obtenido la
adecuada confianza en la conformidad de un determinado
producto, proceso o servicio, debidamente identificado, con una
norma u otro documento normativo especificado.
Comprobación de que un SG cumplen con una serie de requisitos
especificados … en ISO 27001 / ISO 20000
EOI1005_1 15 AENOR
17. Certificación … objetivos
• Demostrar a los clientes el cumplimiento de las
normas, mediante las marcas.
• Facilitar la introducción de los productos en otros
mercados.
• Facilitar la compra /contratación de productos.
• Demostrar el cumplimiento de la Reglamentación
obligatoria (si existe) –ausencia de dolo-.
• Oportunidad de mejora interna (procesos / productos)
EOI1005_1 17 AENOR
18. Certificación … Ventajas para SGSI / SGSTI
• Apoya la actividad del Responsable TI.
• Apoya enfoque de negocio de la Dirección, y demuestra compromiso.
• Demuestra el cumplimiento de los requisitos (LOPD, LSSICE, ENS, …), la calidad.
• Auditores formados, cualificados, y expertos (El análisis del experto, novedades y
oportunidades de mejora).
• Genera confianza / credibilidad interna y externa – Aceptación global
(clientes, empleados, accionistas / propietarios, administraciones / jueces, …)
• Imagen de marca y diferenciación (AENOR, ENAC, IQNet).
• Diferenciación del mercado.
• Facilita la comercialización / venta, y la exportación
• Apoya la competitividad
EOI1005_1 18 AENOR
19. El proceso de certificación
CUESTIONARIO PREVIO Y
SOLICITUD
ANÁLISIS DE LA
PLANIFICACIÓN DE LA DOCUMENTACIÓN VISITA PREVIA
AUDITORÍA FASE I FASE I
INFORME/s
AUDITORÍAS DE AUDITORÍA DEL
RENOVACIÓN SISTEMA
(Cada tres años) FASE II
INFORME
AUDITORÍAS DE PLAN DE ACCIONES
SEGUIMIENTO CORRECTORAS
(Anuales) 1 mes
CONCESIÓN DEL
CERTIFICADO
AUDITORÍA
EXTRAORDINARIA
EOI1005_1 19 AENOR
20. IQNET: 38 socios de referencia
AENOR España JQA Japón
AFAQ Francia KEMA Holanda
ANCE Méjico KFQ Corea
APCER Portugal MSZT Hungría
AVI Bélgica NEMKO Noruega
CISQ Italia NSAI Irlanda
CQC China ÖQS Austria
CQM China PCBC Polonia
CQS República Checa PSB Singapur
Cro Cert Croacia QMI Canadá
DQS Alemania RR Rusia
DS Dinamarca SAI GL Australia
ELOT Grecia SFS Finlandia
FCAV Brasil SII Israel
FONDONORMA Venezuela SIQ Eslovenia
IHKQAA China (Hong Kong) SQS Suiza
CONTEC Colombia SRAC Rumania
IMNC Méjico TEST-St. P. Rusia
IRAM Argentina YUQS Serbia
Montenegro
www.iqnet-certification.com
EOI1005_1 20 AENOR
21. La acreditación de ENAC en AENOR
• Acreditada por ENAC para certificar
SGSI
• Miembro español de IQNet.
• Experiencia, cualificación, prestigio
EOI1005_1 21 AENOR
22. El certificado … norma, alcance, validez, número
www.aenor.es
AENORnet
EOI1005_1 22 AENOR
24. Datos: los Certificados de AENOR
– SGSI –UNE ISO 27001:
• 240 empresas certificadas, en todos los sectores.
• España en el top ten.
– SGSTI- UNE-ISO 20000:
• 40 empresas certificadas (el 50% PYMES-TIC)
• España en el top ten, según ItSMF.
– SPICE – ISO 15504 / ISO 12207: Modelo de madurez del
desarrollo de software. Factorías de SW.
• Es la competencia a CMMI.
• 22 empresas certificadas.
– Accesibilidad de sitios WEB - UNE 139803
• 28 sitios web certificados
EOI1005_1 24 AENOR
25. Muchas gracias, estamos a su disposición
José Angel Valderrama Antón
Gerente Nuevas Tecnologías
nuevastecnologias@aenor.es
AENOR
C/ Génova, 6. 28004 Madrid - Tel. 914 32 60 00
InfoAENOR - 902 102 201
www.aenor.es
EOI1005_1 25 AENOR