Professional Documents
Culture Documents
AUDITORIA INFORMATICA
UNIVERSIDAD DE CALDAS
FACULTAD DE INGENIERAS
PROGRAMA DE INGENIERA DE SISTEMAS Y COMPUTACIN
MANIZALES, OCTUBRE DE 2010
Tabla de contenido
Introduccin General .......................................................................................................................... 4
Marco Terico ..................................................................................................................................... 5
ISO/IEC 20000.................................................................................................................................. 8
Historia y Evolucin ..................................................................................................................... 8
Descripcin General .................................................................................................................... 9
Desarrollo de la Temtica.......................................................................................................... 10
Comparacin con COBIT ............................................................................................................ 15
NORMAS IEEE SOBRE SOFTWARE E INGENIERA DE SOFTWARE .................................................. 16
Historia y Evolucin ................................................................................................................... 16
Descripcin General .................................................................................................................. 18
Desarrollo de la Temtica.......................................................................................................... 20
Comparacin con COBIT............................................................................................................ 24
ISO/IEC 15404:SPICE...................................................................................................................... 25
Historia y evolucin ................................................................................................................... 25
Desarrollo de la Temtica.......................................................................................................... 27
Comparativa con COBIT............................................................................................................. 28
ISO/IEC 15408:2005 ...................................................................................................................... 30
Historia y Evolucin ................................................................................................................... 30
Descripcin general ................................................................................................................... 31
Desarrollo de la temtica .......................................................................................................... 32
ISO/IEC 19770:2006 ...................................................................................................................... 38
Historia y Evolucin ................................................................................................................... 38
Descripcin general ................................................................................................................... 39
Desarrollo de la temtica .......................................................................................................... 40
Comparacin con COBIT ............................................................................................................ 47
ISO/IEC 12207................................................................................................................................ 48
Historia y Evolucin ................................................................................................................... 48
Descripcin general ................................................................................................................... 49
Desarrollo de la temtica .......................................................................................................... 50
Comparacin con COBIT ............................................................................................................ 53
Resumen........................................................................................................................................ 54
Conclusiones y Observaciones ...................................................................................................... 58
Bibliografa .................................................................................................................................... 59
Introduccin General
Anteriormente los procesos de las empresas no tenan ningn soporte en TI, pero
actualmente cada vez ms empresas necesitan apoyarse en mejorases practicas
tecnolgicas para poder expandir su negocio y utilizar las mejores tecnologas existentes
para sus clientes finales.
Actualmente las TI trascienden las fronteras de la compaa y es un punto clave para el
mejoramiento de la imagen de las empresas y mantener las buenas relaciones con las
dems empresas del entorno. Lo anterior es especialmente cierto para compaas
industriales, financiera, de tratamiento de aguas, entre otras ya que no solo basta con
tener buenos servicios de TI sino demostrar una buena infraestructura tecnolgica y
sostenible para ofrecer a sus clientes.
Marco Terico
La Organizacin Internacional para la Estandarizacin o ISO, nacida tras la Segunda
Guerra Mundial (23 de febrero de 1947), es el organismo encargado de promover el
desarrollo de normas internacionales de fabricacin, comercio y comunicacin para todas
las ramas industriales a excepcin de la elctrica y la electrnica. Su funcin principal es la
de buscar la estandarizacin de normas de productos y seguridad para las empresas u
organizaciones a nivel internacional.
La Comisin Electrotcnica Internacional (CEI o IEC) es una organizacin
de normalizacin en los campos elctrico, electrnico y tecnologas relacionadas.
Numerosas normas se desarrollan conjuntamente con la ISO (normas ISO/IEC).
La CEI, fundada en 1904 durante el Congreso Elctrico Internacional de San Luis (EEUU), y
cuyo primer presidente fue Lord Kelvin, tena su sede en Londres hasta que en 1948 se
traslad a Ginebra. Integrada por los organismos nacionales de normalizacin, en las reas
indicadas, de los pases miembros, en 2003 pertenecan a la CEI ms de 60 pases.
ISO/IEC 20000 es una norma internacional que proporciona un marco de referencia para
todas las empresas que presten servicios de TI, dando un estndar y una terminologa
comn para todos los implicados proveedores, suministradores y clientes.
Esta norma solo se otorga a organizaciones que gestionen los servicios de TI y la norma
certifica solamente el buen funcionamiento de las operaciones de la empresa y no entra
en una competencia de certificacin de productos o de servicios de consultora y va
dirigida a organizaciones que busquen mejorar sus servicios de TI, negocios que necesiten
un enfoque consistente en la cadena de suministros, organizaciones de TI que precisen
demostrar su capacidad y proveedores de servicios que requieran medir sus servicios de
TI.
El organismo IEEE posee varios nmeros de estndar para el desarrollo de software, cada
uno con un mbito diferente. Aunque cabe aclarar que para acceder al contenido de cada
uno de estos documentos se debe poseer una membreca de la IEEE de tipo Standars y por
esta restriccin no se hablara con mucha profundidad sobre estos estndares a excepcin
de algunos que si se encuentran de forma libre.
Estas normas son aplicadas en todo mbito ingenieril pero en el desarrollo del documento
se enfocara en las normativas y estndares impuestos para el desarrollo de sistemas de
informacin en ingeniera de software y para los ingenieros de software en especial.
El estndar Cobit (Control Objectives for Information and related Technology) ofrece un
conjunto de mejores prcticas para la gestin de los Sistemas de Informacin de las
organizaciones.
El objetivo principal de Cobit consiste en proporcionar una gua a alto nivel sobre puntos
en los que establecer controles internos con tal de:
Asegurar el buen gobierno, protegiendo los intereses de los stakeholders (clientes,
accionistas, empleados, etc.)
Garantizar el cumplimiento normativo del sector al que pertenezca la organizacin
Mejorar la eficacia de los procesos y actividades de la organizacin
Garantizar la confidencialidad, integridad y disponibilidad de la informacin
El estndar define el trmino control como: Polticas, procedimientos, prcticas y
estructuras organizacionales diseadas para proveer aseguramiento razonable de que se
lograrn los objetivos del negocio y se prevendrn, detectarn y corregirn los eventos no
deseables
ISO/IEC 20000
Historia y Evolucin
Descripcin General
La gestin de una entrega efectiva de los servicios de TI es crucial para las empresas. Hay
una percepcin de que estos servicios no estn alineados con las necesidades y requisitos
del negocio. Esto es especialmente importante tanto si se proporciona servicios
internamente a clientes como si se est subcontratado proveedores. Una manera de
demostrar que los servicios de TI estn cumpliendo con las necesidades del negocio es
implantar un Sistema de Gestin de Servicios de TI (SGSTI) basado en los requisitos de la
norma ISO/IEC 20000. La certificacin en esta norma internacional permite demostrar de
manera independiente que los servicios ofrecidos cumplen con las mejores prcticas.
ISO/IEC 20000 est basada y reemplaza a la BS 15000, la norma reconocida
internacionalmente como una British Standard (BS), y que est disponible en dos partes:
una especificacin auditable y un cdigo de buenas prcticas.
La ISO/IEC 20000 es totalmente compatible con la ITIL (IT Infrastructure Library), o gua de
mejores prcticas para el proceso de GSTI. La diferencia es que el ITIL no es medible y
puede ser implantado de muchas maneras, mientras que en la ISO/IEC 20000, las
organizaciones deben ser auditadas y medidas frente a un conjunto establecido de
requisitos.
La ISO/IEC 20000 es aplicable a cualquier organizacin, pequea o grande, en cualquier
sector o parte del mundo donde confan en los servicios de TI. La norma es
particularmente aplicable para proveedores de servicios internos de TI, tales como
departamentos de Informacin Tecnolgica, proveedores externos de TI o incluso
organizaciones subcontratadas. La norma est impactando positivamente en algunos de
los sectores que necesitan TI tales como subcontratacin de negocios,
Telecomunicaciones, Finanzas y el Sector Pblico.
Desarrollo de la Temtica
ISO/IEC 20000 es una norma internacional que proporciona un marco de referencia para
todas las empresas que presten servicios de TI, dando un estndar y una terminologa
comn para todos los implicados proveedores, suministradores y clientes.
entrega operativa del servicio o su eliminacin, este proceso es inexistente en ITIL tanto
en su versin 2 como en la 3.
D. Proceso de Provisin de Servicio
En esta seccin se tratan los requisitos necesarios para cubrir la provisin de los servicios
que el cliente necesita, y todo aquello que es necesario en TI para poder prestar estos
servicios, para ello ISO/IEC 20000 los divide en una serie de procesos con objetivos
especficos:
Gestin de nivel de servicio
Generacin de informes del servicio
Gestin de la continuidad y disponibilidad del servicio
Elaboracin de presupuesto y contabilidad de los servicios de TI
Gestin de la capacidad
Gestin de seguridad de la informacin
E. Procesos de Relaciones
Se centran en dos relaciones fundamentalmente, la primera con el negocio y sus clientes y
la otra con los suministradores o proveedores con los cuales sera imposible la evolucin y
mejoramiento del servicio. Tambin es importante decir que esta parte de la norma
ISO/IEC 20000 influencio a ITIL v3 en la parte de suministros pero con la diferencia que
esta norma creo su proceso especfico para su correcta gestin.
F. Procesos de Resolucin
Los procesos de resolucin son gestin del incidente y gestin del problema, estos
procesos tienen un alto grado de relacin aunque tienen objetivos diferenciados. Gestin
del incidente se encarga de la recuperacin de los servicios a los usuarios tan pronto como
sea posible, y gestin del problema tiene la misin de identificar y eliminar las causas de
los incidentes para que no vuelvan a producirse.
G. Procesos de Control
Este proceso permite la gestin y control del cambio as mismo como su configuracin y
obtencin de informacin precisa para el manejo de todos los procesos, esta etapa cuenta
con dos subprocesos gestin de la configuracin y gestin del cambio.
H. Procesos de Entrega
El objetivo de este proceso es entregar, distribuir y realizar el seguimiento de uno o ms
cambios en la entrega en el entorno de produccin real, para garantizar este objetivo el
proceso tiene una visin global de todos los servicios y as asegurar la entrega al cliente.
Organizacin
El estndar se organiza en cinco partes, de las cuales cuatro estn ya publicadas y una en
proceso de publicacin:
La primera parte (Especificacin) define los requerimientos (217) necesarios para realizar
una entrega de servicios de TI alineados con las necesidades del negocio, con calidad y
valor aadido para los clientes, asegurando una optimizacin de los costes y garantizando
la seguridad de la entrega en todo momento. El cumplimiento de esta parte, garantiza
adems, que se est realizando un ciclo de mejora continuo en la gestin de servicios de
TI. La especificacin supone un completo sistema de gestin (organizado segn ISO 9001)
basado en procesos de gestin de servicio, polticas, objetivos y controles. El marco de
procesos diseado se organiza con base en los siguientes bloques:
Rasgos y beneficios
La ISO/IEC 2000 est dividida en las siguientes secciones que definen los requisitos que
debe cumplir una organizacin, la cual proporciona servicios a sus clientes con un nivel
aceptable de calidad:
- Requisitos para la gestin de un sistema. - Implantacin y planificacin de Gestin de
Servicios. - Planificacin e implantacin de servicios nuevos o modificados. - Procesos del
servicio de entrega. - Procesos relacionales. - Procesos de control. - Procesos de emisin.
Demuestra que se tienen procedimientos y controles adecuados in situ para proporcionar
un servicio de calidad de TI coherente y a un coste efectivo.
Los suministradores de servicios de TI se han vuelto cada vez ms sensibles y responsables
con los servicios que prestan ms que de la tecnologa que puedan proporcionar.
Los proveedores externos de servicios pueden usar la certificacin como un elemento
diferenciador y acceder a nuevos clientes, ya que esto cada vez ms se convierte en una
exigencia contractual.
Permite seleccionar, gestionar y proporcionar un servicio externo ms efectivo.
Ofrece oportunidades para mejorar la eficiencia, fiabilidad y consistencia de sus servicios
de TI que impactan positivamente tanto en los costes como en el servicio.
Certificacin
Estas normas pueden adquirirse a travs del portal web de AENOR. Cualquier entidad
puede solicitar la certificacin respecto a esas normas.
En Mxico, la adquisicin de las Normas Mexicanas (NMX) correspondientes a la serie
ISO/IEC 20000, as como la certificacin bajo dicha norma, puede obtenerse a travs del
Organismo de Certificacin acreditado: NYCE, A.C. (Normalizacin y Certificacin
Electrnica, A.C.)
Referencias
El control de los procesos tecnolgicos se est convirtiendo en una parte esencial de las
relaciones de negocio prcticamente en toda la industria y son esenciales para
implementar las mejores prcticas ITIL y, de esta forma, obtener la certificacin ISO/IEC
20000.
ISO/IEC 20000 como se ha dicho antes su objetivo principal es la mejora continua de los
servicios de TI adems las organizaciones pueden utilizar COBIT para materializar las
medidas de los avances en el logro de nuevos niveles de mejora a medida que la gestin
de los servicios gana en madurez.
COBIT es ms un mecanismo de medicin y control, mientras ISO/IEC 20000 busca la
gestin de los servicios y su integracin con una mejora continua, apoyndose
mutuamente en las prcticas de ITIL y otros sistemas de mejora de la calidad de TI.
Historia y Evolucin
El ltimo cuarto del siglo diecinueve fue marcado por un tremendo crecimiento en la
tecnologa elctrica. La Pearl Street Station de Thomas Edison estaba brindando el poder
para abastecer la iluminacin incandescente, haba numerosas empresas fabricando
equipo elctrico. Este gran crecimiento en la actividad elctrica incit al Franklin Institute
para patrocinar una Exhibicin Elctrica Internacional en Filadelfia en 1884. Esta
exhibicin fue el catalizador que produjo la formacin del Instituto Americano de
Ingenieros Elctricos (American Institute of Electrical Engineers, AIEE), el antepasado del
actual Instituto de Ingenieros Electrnicos y Electricistas (IEEE).
Una de las actividades importantes del AIEE era el desarrollo de normas para la profesin
de la ingeniera y la industria elctrica. Los esfuerzos ms tempranos del Instituto se
dirigieron hacia regularizar las unidades, definiciones, y nomenclatura que relacionan a la
ciencia elctrica bsica. Como fue explicado por Arturo E. Kennelly, presidente de AIEE de
1898 a 1900, el propsito de este comit era el "definir y declarar en un lenguaje simple,
la naturaleza, caractersticas, conducta, valuacin, y mtodos para probar maquinarias y
aparatos elctricos, particularmente con una vista en preparar las normas de prueba de
aceptacin para la industria elctrica."
A inicios del siglo 20, el AIEE haba tomado su lugar junto a las sociedades de la ingeniera
ms viejas. Como el alcance de ingeniera elctrica se haba extendido, los ingenieros se
volvieron ms especializados y se comprometieron a buscar e intercambiar la informacin
con otros de las mismas especialidades. As, en 1903, el primer Comit Tcnico, el Comit
de Transmisin de Alto Voltaje, se form. Un grupo de ingenieros elctricos
especializados, sin embargo, no se senta totalmente en casa en los establecimientos y
temas en los que el AIEE estaba fuertemente orientado.
Como con el AIEE, uno de las preocupaciones principales de la IRE era la estandarizacin.
El crecimiento de la IRE reflej el crecimiento de la industria de la radio en general. Como
pas en el AIEE, los miembros de la IRE que comparti una especialidad tcnica comn
buscaron maneras de actuar recprocamente ms directamente. Durante los primeros
treinta aos de su existencia, la IRE era una de las ms pequeas sociedades de ingeniera.
Pero los miembros de IRE eran practicantes de la tecnologa del futuro. Los aos despus
de que el Segunda Guerra Mundial trajo los cambios drsticos al campo de ingeniera
elctrica y un crecimiento continuo en los miembros de esta sociedad.
La fusin era cada vez ms lgica. Ninguna sociedad represent la amplitud total de la
ingeniera elctrica de manera adecuada. Hubo duplicacin de personal, publicaciones, y
actividades. Las dificultades se superaron primero en los campus de las universidades; en
1950, las directivas de ambas sociedades autorizaron la creacin de Ramas Estudiantiles
Unidas. Representantes de las dos sociedades se encontraron y se pusieron en orden para
la cita que iba a tratar acerca de la unin de un Comit ad hoc que tratara
especficamente de la fusin. El 87 por ciento de los miembros de la votacin de cada
sociedad aprobaron la fusin. Donald Fink, un compaero del AIEE y la IRE, fue escogido
como el Gerente General del nuevo Instituto de Ingenieros Elctricos y Electrnicos. El 1
de enero de 1963, el IEEE naci.
En 1973, el IEEE tom un paso fuera de las tradiciones de sus predecesores. Con la
adopcin de una nueva constitucin, el IEEE dej su papel de "sociedad sabia", que slo
tena relacin con el avance y diseminacin de conocimiento, y tom el papel de una
"sociedad profesional" interesado tanto en lo tcnico como en lo no tcnico de sus
miembros. El directorio de Actividades en los Estados Unidos, apoyados por una
valoracin anual pagada por los residentes americanos, fue creado para vigilar los
funcionamientos no tcnicos del IEEE dentro de los Estados Unidos.
Hoy, con ms de un cuarto de milln de miembros, el IEEE es la sociedad profesional ms
grande del mundo, y sus actividades se extienden ms all de las visiones iniciales que sus
antepasados pudieron prever. Permanece, sin embargo, como hace un siglo, siendo el
primer portavoz para el campo tecnolgico ms significante y excitante de su tiempo.
Descripcin General
En la actualidad las normas IEEE para la ingeniera del software son amplias y se
encuentran en un grado de madures que les permiten servir como eje de calidad para los
proyectos que se realicen en este campo, a continuacin solo se nombraran algunas y ms
adelante se describirn las ms relevantes y su importancias para la ingeniera actual,
dichas normas son:
24748 - ISO/IEC Draft IEEE Guide Systems and software engineering-Guide for life
cycle processes
24765 - Draft International Standard -- Systems and Software Engineering -Vocabulary
26512 - IEEE Draft Standard Systems and software engineering - Requirements for
acquirers and suppliers of user documentation
26513 - IEEE Draft Standard Adoption of ISO/IEC 26513:2009 -- Systems and
Software Engineering -- Requirements for Testers and Reviewers of User
Documentation
26514 - IEEE Draft Standard Adoption of ISO/IEC 26514:2008 - Systems and
Software Engineering - Requirements for Designers and Developers of User
Documentation
Desarrollo de la Temtica
610 - IEEE Standard Glossary of Software Engineering Terminology
Taxonoma De Las Normas Estndar De Ingeniera Del Software, las aplicaciones no estn
restringidas a la ingeniera del software, el tamao, la complejidad, la criticidad, o entorno
de hardware. Esta taxonoma se aplica a las normas (de las disciplinas relacionadas con la
gestin de la ingeniera, ingeniera de sistemas, ingeniera de hardware, informtica y
ciencias de la informacin) con el que un ingeniero de software estara familiarizado. Esta
taxonoma es una aplicacin independiente. La norma explica los diferentes tipos de
pautas de ingeniera de software, sus relaciones funcionales y externa, y el papel de las
distintas funciones que participan en el ciclo de vida del software.
1058.1: IEEE Plan para la Gestin de Proyectos de Software
Estndar IEEE para la Adopcin de la Norma ISO/IES 15939:2007 del Sistema de Ingeniera
del Software para la Medicin de Procesos, el proceso se describe a travs de un modelo
que define las actividades del proceso de medicin que se requieren para especificar la
informacin adecuada, como las medidas y los resultados de los anlisis deben aplicarse, y
cmo determinar si los resultados del anlisis son vlidos. El proceso de medicin es
flexible, modificable, y adaptable a las necesidades de diferentes usuarios. Esta Norma
Internacional identifica un proceso que apoya la definicin de un conjunto adecuado de
medidas que aborden las necesidades especficas de informacin. Iguala las actividades y
tareas que son necesarias para identificar, definir, seleccionar, aplicar y mejorar la
medicin dentro de un proyecto global o la estructura de medicin de la organizacin.
Tambin proporciona definiciones de los trminos de medicin de uso comn.
16326 - Systems and software engineering - Life cycle processes - Project management
ISO/IEC 15404:SPICE
Historia y evolucin
Desarrollo de la Temtica
En cuanto a la norma ISO/IEC 15404, COBIT la utiliza para ofrecer mecanismos para la
medicin de las capacidades de los procesos con objeto de conseguir una mejora
continua. Para ello, proporciona indicaciones para valorar la madurez en funcin de la
misma clasificacin utilizada por dicha norma.
ISO/IEC 15408:2005
Historia y Evolucin
Common Criteria (o ISO-IEC 15408) es una estndar internacional de certificacin de productos TI,
resultado de una intensa y larga negociacin entre 14 pases entre los que figura Espaa como
firmante del acuerdo a travs del Ministerio de Administraciones Pblicas.
Este estndar proporciona unos criterios de evaluacin unificados para la seguridad de los
productos TI y recoge todos los esfuerzos realizados desde los aos 80 en este campo (TCSEC en
Estados Unidos, ITSEC en la Comunidad Europea, CTCPEC en Canad, Federal Criteria como un
primer intento de acercamiento entre Estados Unidos y Europa, etc.).
Por los aos 90 surgi la necesidad de conocer qu requisitos de seguridad satisfaca un
determinado software, hardware o firmware. Mediante la combinacin de los criterios aplicados
en Inglaterra, Estados Unidos y Canad, se constituy y adopt por la International Organization
for Standardization los Criterios Comunes de Evaluacin de Seguridad para Tecnologas de la
Informacin.
Gracias a Common Criteria, los usuarios pueden determinar si un producto proporciona el nivel de
seguridad que necesita siguiendo unos criterios estndar y no simples percepciones personales.
Common Criteria exige a los fabricantes de los productos certificados publicar una documentacin
exhaustiva sobre la seguridad de sus productos y que los usuarios puedan tener plena confianza
en las evaluaciones de Common Criteria ya que son realizadas por laboratorios independientes. De
hecho, la evaluacin de Common Criteria es cada vez ms utilizada como condicin necesaria para
participar en concursos pblicos.
En definitiva, la existencia de un estndar de este tipo proporciona un lenguaje comn entre los
fabricantes, los usuarios y las administraciones que todos pueden entender de la misma manera.
Los fabricantes utilizarn este lenguaje para definir las caractersticas de sus productos, los
usuarios tendrn una manera nica de especificar sus requerimientos, etc.
Descripcin general
La norma ISO/IEC 15408 define un criterio estndar a usar como base para la evaluacin
de las propiedades y caractersticas de seguridad de determinado producto o sistema IT.
Ello permite la equiparacin entre los resultados de diferentes e independientes
evaluaciones, al proporcionar un marco comn con el que determinar los niveles de
seguridad y confianza que implementa un determinado producto en base al conjunto de
requisitos de seguridad y garanta que satisface respecto a esta norma obteniendo de esa
forma una certificacin oficial de nivel de seguridad que satisface.
Por tanto, la norma ISO/IEC 15408 proporciona una gua muy til a diferentes perfiles
relacionados con las tecnologas de la seguridad
Por otro lado, consumidores que pueden conocer el nivel de confianza y seguridad
que los productos de tecnologas de la informacin y sistemas le ofrecen.
Desarrollo de la temtica
Los Criterios Comunes (por no llamarla ISO 15408) establecen unos criterios de evaluacin
basados en un anlisis riguroso del servicio o sistema de TI a evaluar y los requisitos que
este satisface. Para ello, establece una clasificacin jerrquica de los requisitos de
seguridad. Se determinan diferentes tipos de agrupaciones de los requisitos siendo sus
principales tipos los que vemos a continuacin:
La norma ISO/IEC 15408 se presenta como un conjunto de tres partes diferentes pero
relacionadas. A continuacin, describimos cada una de ellas:
Parte 1. Introduccin y modelo general.
FAU- Auditoria
FCO- Comunicaciones
FCS- Soporte criptogrfico
FDP- Proteccin de datos de usuario
FIA- Identificacin y autenticacin de usuario
FMT- Gestin de la seguridad
FPR- Privacidad
FPT- Proteccin de las funciones de seguridad del objetivo a evaluar
FRU- Utilizacin de recursos
FTA- Acceso al objetivo de evaluacin
FTP- Canales seguros
Este tipo de requisitos establecen los niveles de confianza que ofrecen funciones de
seguridad del producto o sistema. Trata de evaluar qu garantas proporciona el producto
o sistema en base a los requisitos que se satisfacen a lo largo del ciclo de vida del
producto o sistema. Contiene las siguientes clases:
En este sentido, los Common Criteria o ISO/IEC 15408, proporcionan tambin unos niveles
de garanta (EAL) como resultado final de la evaluacin. Estos consisten en agrupaciones
de requisitos vistos anteriormente en un paquete, de forma que obtener cierto nivel de
garanta equivale a satisfacer por parte del objeto de evaluacin ciertos paquetes de
requisitos. Todo proceso de evaluacin comienza con la definicin del objeto a evaluar,
que definimos a continuacin:
Target of Security (TOE): Documento que realiza una descripcin del producto o
sistema que se va a evaluar, determinando los recursos y dispositivos que utiliza, la
documentacin que proporciona y el entorno en el que trabaja.
El principal objetivo de la norma ISO/IEC 15408, como hemos visto, es establecer de forma
estndar un criterio de evaluacin de la seguridad de los productos y sistemas IT. Ya
hemos visto como la medicin se realiza en base a un conjunto de requisitos y la
demostracin de que stos son satisfechos. Esta norma nos proporciona dos tipos
diferentes de evaluacin.
Respecto a los niveles de seguridad que se pueden lograr, voy a tratar resumidamente de
describir cada uno de ellos a continuacin.
EAL 1. Functionally tested
Proporciona un nivel bsico de seguridad realizado a travs del anlisis de las funciones de
seguridad usando especificaciones informales de aspectos funcionales, de interfaz y las
guas y documentacin del producto o sistema IT para entender el comportamiento de
seguridad.
Es aplicable cuando se requiere confianza en la correcta operacin pero las amenazas de
seguridad no se contemplan como un peligro serio. Este tipo de evaluacin proporciona
evidencias de que las funciones de seguridad del TOE se encuentran implementadas de
forma consistente con su documentacin y proporcionan una proteccin adecuada contra
las amenazas identificadas.
ISO/IEC 19770:2006
Historia y Evolucin
Esta normatividad sali luego del efecto Y2K, en la cual se descubri que el software no
era capaz de manejar las fechas, otra motivacin fue que los constantes cambio en el
licenciamiento del software y el aumento de TI lo que se traduce en un inters comn por
un estndar para este entorno. La norma ISO/IEC 19700-1 fue el resultado del esfuerzo de
ISO-IEC, ITIL, Microsoft Snow Software y FAST, Tanto ITIL como FAST fueron un marco de
referencia para realizar este estndar.
La ISO/IEC 19770 es una norma internacional sobre SAM (Gestin de activos de software),
la cual es una herramienta de evaluacin (SAE) el 18 de junio de 2007, la cual sali al
mercado con el nombre de ISO/IEC19770-1 SAM.
Descripcin general
Esta norma consta de dos partes. La primera explica los procesos de Gestin de Activos de
Software y la segunda, la metodologa y procedimiento de identificacin de productos,
orientada a facilitar la labor de inventario. La ISO 19770 es un caso especial de norma,
puesto que combina la descripcin de procesos y las versiones de software. Una
implementacin correcta de esta norma en una organizacin no obliga a hacerlo de ambas
partes, ya que son independientes.
ISO 19770 establece los procesos de gestin de los activos de software en una
organizacin y su finalidad es facilitar la auditora de sus procesos de Gestin de Activos
de Software, homogeneizndolos de manera que satisfagan los criterios de gobierno
corporativo y garanticen su extensin a toda la organizacin de TI
Como tal, la norma ISO 19770-1 para la gestin de activos de software tiene que ver con el
ciclo de vida de las aplicaciones en uso en su red, desde la compra hasta su eliminacin. La
norma establece seis reas clave de las mejores prcticas destinadas a ayudar a todos los
tipos de las organizaciones a ahorrar dinero, reducir los riesgos de cumplimiento e
incrementar la eficiencia operativa de gestin de software.
Desarrollo de la temtica
ISO / IEC 19770 es un estndar internacional, iniciado en 2006, que fue desarrollado para
ayudar a las organizaciones a poner en prctica procesos y procedimientos para la efectiva
gestin de activos de software (SAM).
La norma est diseada para ayudar a gestionar el riesgo, conocer los requisitos de
gobernanza de TI dentro de las empresas y mejorar en general la relacin coste-eficacia y
la disponibilidad de software de negocios en toda la empresa.
Hay dos partes a la norma:
Siguiendo el estndar definido en la norma ISO 19770 los principios de Gestin de Activos
de Software se pueden aplicar a prcticamente cualquier aspecto del entorno de IT en una
organizacin, pero sobre todo a aquellos que tienen que ver con la gestin de licencias de
software e inventario de activos. Entre sus ventajas destacan su capacidad para gestionar
de manera coherente:
Hay en total 27 procesos dentro del marco de trabajo descrito en la ISO 19770-1 para la
gestin de activos de software. De ellos, algunos pueden automatizarse y otros son de
naturaleza manual. La siguiente tabla es un resumen de las actividades y procesos que
cubre y su equivalencia con el marco de trabajo definido dentro de los procesos de
Gestin de Activos de Software:
comentarios
Implementacin
Plan de implementacin
Desarrollo en 4 etapas:
inventario, comprobacin de
licencias, polticas y
mantenimiento
Monitorizacin
Plan de mantenimiento.
Seguimiento de cambios y
Procedimientos de gestin
verificacin de conformidad
del ciclo de vida del SW
Mejora continua
Mantenimiento y evolucin
de los procedimientos
Planificacin
Identificacin de activos de
software
Gestin de inventario de
Activos de Software
Inventario de SW
inventario de SW
gestin de cambios en el
inventario
Polticas
Revisiones planificadas y
ocasionales para comprobar
Mantenimiento posterior
la coincidencia entre el
inventario y la realidad
comprueba si toda la
propiedad intelectual de
software tiene su
correspondiente licencia en
orden
Inventario de Licencias y
Anlisis de inventario
Conformidad con la
seguridad de los activos de
software
Proteccin de accesos y
control de utilizacin de los
activos de SW
Recomendaciones de
proteccin de los activos
(soportes, documentos, etc)
para SAM
Proceso de gestin de
cambios
Proceso de adquisicin
Compras de SW
Polticas de adquisicin de
SW
Proceso de desarrollo de
software
Desarrollo de SW propio
Instalacin y uso de SW y
gestin de licencias
Polticas de instalacin de SW
Proceso de gestin de
incidencias
Proceso de gestin de
problemas
Procedimientos de mejora
continua del plan SAM
Proceso de retirada
Retirada del SW
Polticas de retirada de SW
Como sucede con todos los estndares, la ISO 19770 supone un punto de partida para la
creacin e implementacin de buenas prcticas y procedimientos, identificando el marco
de trabajo, etapas de desarrollo, los resultados a obtener y medios para su verificacin y
seguimiento por entidades independientes.
El siguiente nivel de detalle -el "cmo se hace"- no forma parte del articulado de la norma,
ya que depende de las caractersticas concretas de cada organizacin. En las
implementaciones prcticas de la norma ISO 19770 se deben considerar aspectos como la
cultura interna de la organizacin, el entorno tecnolgico que se quiere gestionar, los
procesos que ya existen y las posibilidades de automatizacin.
Entorno de control
Gobierno corporativo
Funciones y responsabilidades
Polticas, procesos y procedimientos
Competencia para la SAM
Planificacin e implementacin
Planificacin e implementacin
Monitoreo y revisin
Mejora continua y SAM
Inventario
Identificacin de activos de software
Gestin de inventario de activos de software
Control de activos de software
Verificacin y cumplimiento
Verificacin de registro de activos de software
Cumplimiento de las licencias de software
Cumplimientos de seguridad de los activos de software
Verificacin de conformidad de SAM
Administracin de operaciones
Relacin y gestin de contactos
Gestin financiera
La normatividad ISO / IEC 19770 planea un marco muy especfico de TI para las
organizaciones, es por esto que podra implementarse en compaa del COBIT, pero solo
para servir de gua en el rea de la planeacin y organizacin del COBIT. Es un buen marco
de referencia que puede utilizar el COBIT para llegar a las metas planteadas en el modelo
de madurez.
Este estndar es muy adecuado para implementar en los siguientes procesos:
En cada uno de los literales descritos el ISO/IEC 19770 se enmarca en alguno de los
aspectos que manejan en dicho proceso
ISO/IEC 12207
Historia y Evolucin
ISO / IEC 12207 fue publicada el 1 de agosto de 1995 y fue la primera norma internacional
para proporcionar un conjunto completo de procesos de ciclo de vida, actividades y tareas
para el software que es parte de un sistema mayor, solo productos de software y
servicios. Esta norma internacional fue seguida en noviembre de 2002 por la ISO / IEC
15288 que abarco los procesos del sistema de ciclo de vida. La ubicuidad del software
significa que el software y sus procesos de diseo no deben considerarse por separado de
esos sistemas, pero pueden considerarlo como parte integrante del sistema y los procesos
de diseo del sistema.
La norma ISO / IEC 12207 en sus enmiendas de 2002 y 2004 agreg a la norma
internacional los propsitos de procesos y los resultados y tambin estableci un Modelo
de Referencia de Procesos de acuerdo con los requisitos de la norma ISO / IEC 15504-2.
La revisin y de la modificacin de la norma ISO / IEC 12207, es un primer paso en la
estrategia de armonizacin SC7 para lograr un conjunto totalmente integrado de sistemas
y procesos de software de ciclo de vida y la orientacin para su aplicacin.
Esta revisin integra a la norma ISO / IEC 12207:1995 con sus dos enmiendas y se aplica a
las directrices del SC7 para la definicin de los procesos de apoyo, a la coherencia y a la
mejora de la usabilidad. La ejecucin del proyecto fue coordinado cuidadosamente con la
revisin paralela de la norma ISO / IEC 15288:2002 para alinear la estructura, trminos, y
los correspondientes procesos de organizacin y proyecto.
Descripcin general
Esta Norma Internacional establece un marco comn para los procesos de ciclo de vida del
software, con una terminologa bien definida, que puede hacer referencia a la industria
del software. Contiene procesos, actividades y tareas que se deben aplicar durante la
adquisicin de un software o servicio y durante el suministro, desarrollo, operacin,
mantenimiento y eliminacin de productos de software.
Se aplica a la adquisicin de sistemas, software y servicios, con el suministro, desarrollo,
operacin, mantenimiento y eliminacin de productos de software y la parte de software
de un sistema, bien sea de manera interna o externa a una organizacin. Esos aspectos de
la definicin del sistema son necesarios para proporcionar el contexto para los productos
de software y servicios que estn incluidos.
Desarrollo de la temtica
Estructura
La estructura del estndar ha sido concebida de manera flexible y modular de manera que
pueda ser adaptada a las necesidades de cualquiera que lo use. Para conseguirlo, el
estndar se basa en dos principios fundamentales: Modularidad y responsabilidad. Con la
modularidad se pretende conseguir procesos con un mnimo acoplamiento y una mxima
cohesin. En cuanto a la responsabilidad, se busca establecer un responsable para cada
proceso, facilitando la aplicacin del estndar en proyectos en los que pueden existir
distintas personas u organizaciones involucradas.
Procesos
Procesos Principales:
Adquisicin: Este proceso comienza definiendo la necesidad de adquirir un sistema o un
producto de software y contina con la preparacin y publicacin de la solicitud de
propuestas, la seleccin de un proveedor y la gestin de los procesos de adquisicin hasta
la aceptacin del producto.
Suministro: Este proceso puede iniciarse bien por una decisin de preparar una
propuesta para responder a una peticin de un cliente, bien por la firma de un contrato
con el cliente para proporcionar el software. El proceso contina con la identificacin de
los procedimientos y recursos necesarios para gestionar y asegurar el proyecto,
incluyendo el desarrollo de los planes del proyecto y la ejecucin de los planes hasta la
entrega del software.
Desarrollo: Este proceso contiene las actividades para el anlisis de requisitos, diseo,
codificacin, integracin, pruebas, instalacin y aceptacin relativos al software. El
desarrollador selecciona y realiza, o presta apoyo, a las siguientes actividades de acuerdo
con el contrato.
Las principales actividades que lo conforman son:
Procesos de soporte:
Estos procesos dan soporte a los procesos principales o a otros procesos de soporte. Se
emplean en varios puntos del ciclo de vida y pueden ser realizados por la organizacin que
los emplea, por una organizacin independiente (como un servicio), o por un cliente como
elemento planificado o acordado del proyecto.
Documentacin: Registrar la informacin producida por un proceso o actividad del ciclo
de vida: Disear, editar, distribuir y mantener los documentos producidos durante el
desarrollo del software.
Gestin de la configuracin: Actividades que controlan las modificaciones y versiones de
los elementos. Registrar las peticiones de cambios e informar de los estados de stos.
Aseguramiento de la calidad: Actividades para asegurar que los productos cumplen los
requisitos especificados y se ajustan a los planes establecidos.
Verificacin: Actividades para determinar el buen funcionamiento del software.
Validacin: Actividades para determinar si el producto cumple los requisitos previstos.
Procesos de la organizacin:
Los emplea una organizacin para llevar a cabo funciones tales como gestin, formacin
del personal o mejora del proceso. Estos procesos ayudan a establecer, implementar y
mejorar, consiguiendo una organizacin ms eficiente. Se llevan a cabo normalmente a
nivel organizacional fuera del mbito de proyectos y contratos especficos.
Gestin: Actividades de planificacin, seguimiento, control, revisin y evaluacin.
Infraestructura: Actividades para determinar la infraestructura necesaria para un
proceso. Incluye HW, SW, instalaciones
Mejora: Valorar, medir, controlar, evaluar y mejorar todos los procesos del ciclo de vida.
Formacin: Plan de formacin para los empleados.
Es posible identificar relaciones entre los procesos de COBIT con los presentados por el
estndar ISO/IEC 12207:
COBIT
ISO 12207
5.1 Adquisicin
5.5
de
recursos
7.2 Infraestructuras
5.2 Suministro, 5.5 Mantenimiento, 7.3 Mejoras
Resumen
ISO/IEC 20000
La llegada de ISO/IEC 20000, que deriva de la norma britnica BD 15000, es un hito
definitivo para el xito y la popularidad de las mejores prcticas en la gestin de servicios
de TI por todo el mundo. El reconocimiento como norma oficial supone un empuje
decisivo hacia la cultura de servicios en el sector de las TI, al poner los medios para medir
y certificar la excelencia de este tipo de servicios.
El propsito de ISO/IEC 20000 es proveer una norma de referencia comn para todas las
empresas que ofrezcan servicios de TI tanto a clientes externos como internos. Uno de
los objetivos ms importantes de la norma es crear una terminologa comn para las
organizaciones proveedoras de servicios TI, sus suministradores y sus clientes. La norma
promueve la adopcin de un planteamiento de procesos integrados para la gestin de los
servicios de TI. Esta norma se establece para definir todo aquello que es obligatorio para
la buena gestin de servicios.
ISO/IEC 20000 est alineada con el marco de trabajo de la Biblioteca de Infraestructura de
TI (ITIL), con la diferencia de que ITIL es un conjunto de mejores prcticas, mientras que
ISO/IEC 20000 es un conjunto formal de especificaciones cuyo cumplimiento debera ser
perseguido por los proveedores de servicios. Adems de cubrir los procesos explcitos de
ITIL y tambin algunos procesos adicionales que estn parcialmente cubiertos por
publicaciones actuales de ITIL.
La norma ISO/IEC 20000 est compuesta de dos partes:
Parte 1: especificaciones; esta es la especificacin oficial de la norma. Esta parte es la
que se debe cumplir para obtener la certificacin.
Parte 2: cdigo de prcticas; esta parte describe las mejores prcticas ms
detalladamente. Esta parte es la que se debera tener en cuenta por las personas que
desean la certificacin.
IEEE
Aunque el inicio de la IEEE fue como una organizacin encargada de regular las
comunicaciones y los avances en materia de electricidad, hoy en da se puede decir que
este concepto ha cambiado y se ha convertido en un instituto internacional con gran
Los anteriores estndares regulan las mejores prcticas para enfrentar proyectos de
software y les sirve como herramienta y sistema de apoyo a los ingenieros de software
que las siguen.
ISO/IEC 15404:SPICE
La norma ISO/IEC 15504:SPICE es una norma abierta e internacional para evaluar y
mejorar la capacidad y madurez de los procesos. Junto con la ISO 12207, la norma aplica a
la evaluacin y mejora de la calidad del proceso de desarrollo y mantenimiento de
software.
Fue creada por la alta competencia del mercado de desarrollo de software, a la difcil
tarea de identificar los riesgos, cumplir con el calendario, controlar los costos y mejorar la
eficiencia y calidad. Este engloba un modelo de referencia para los procesos y sus
potencialidades sobre la base de la experiencia de compaas grandes, medianas y
pequeas.
El principal propsito de esta normativa es proporcionar una base comn para los
diferentes modelos y mtodos de evaluacin de procesos de software, asegurando que los
resultados de la evaluacin sean iguales en un contexto comn.
El modelo describe los procesos que una organizacin puede ejecutar, adquirir, suplir,
desarrollar, operar, evolucionar, brindar soporte de software y todas las prcticas
genricas que caracterizan las potencialidades de estos procesos.
ISO/IEC 15408:2005
La informacin en poder de los productos o sistemas de TI es un recurso crtico que
permite a las organizaciones tener xito en su misin. Adems, los individuos tienen una
expectativa razonable de que su informacin personal contenida en los productos o
sistemas de TI sigue siendo privados, estn a su alcance cuando sea necesario, y que estos
no estn sujeto a modificaciones no autorizadas. Los productos o sistemas de TI deben
ejercer sus funciones en el ejercicio de un control adecuado de la informacin para
garantizar que est protegido contra riesgos como la difusin no deseada o injustificada, a
la alteracin o prdida. El trmino de seguridad de TI se utiliza para incluir la prevencin y
mitigacin de estos y otros peligros.
Muchos consumidores de TI carecen de los conocimientos, la experiencia o los recursos
necesarios para juzgar si su confianza en la seguridad de sus productos o sistemas de TI es
el adecuado, y no podra confiar nicamente en las afirmaciones de los desarrolladores.
Consiguiente a esto, los consumidores pueden optar por aumentar su confianza en las
medidas de seguridad de un producto o sistema, ordenando un anlisis de su seguridad,
es decir, una evaluacin de la seguridad.
Para la cual la norma ISO/IEC 15408 puede ser utilizada como estndar para garantizar el
cumplimiento de los niveles de seguridad requeridos en un producto o sistema de TI.
ISO / IEC 15408 define las bases para garantizar los requisitos de seguridad en un sistema
o producto de TI.
ISO/IEC 19770:2006
Muchas organizaciones no han tomado el tiempo para dar un paso atrs y revisar el
aumento en los ltimos aos en las inversiones en software. Si lo hicieran, muchas se
sorprenderan al saber que ahora gastan ms cada ao en el software necesario en su
empresa, del que gastan en hardware o incluso objetos de alto precio, como automviles
o maquinarias.
Sin embargo, aunque ninguna empresa responsable permitira que sus autos recorran las
carreteras sin asegurarse de que estos estn gravados con el seguro y los servicios
correspondientes, es difcil decir lo mismo en el caso del software de una organizacin.
Como tal, la norma ISO 19770 para la gestin de activos de software tiene que ver con el
ciclo de vida de las aplicaciones en uso en su red, desde la compra hasta su eliminacin. La
norma establece seis reas clave de las mejores prcticas destinadas a ayudar a todos los
tipos de las organizaciones a ahorrar dinero, reducir los riesgos de cumplimiento e
incrementar la eficiencia operativa de gestin de software.
ISO 12207
Esta Norma Internacional establece un marco comn para los procesos de ciclo de vida del
software, con una terminologa bien definida, que puede hacer referencia a la industria
del software. Contiene procesos, actividades y tareas que se deben aplicar durante la
adquisicin de un software o servicio y durante el suministro, desarrollo, operacin,
mantenimiento y eliminacin de productos de software.
Esta Norma Internacional se aplica a la adquisicin de sistemas, software y servicios, con
el suministro, desarrollo, operacin, mantenimiento y eliminacin de productos de
software y la parte de software de un sistema, bien sea de manera interna o externa a una
organizacin. Esos aspectos de la definicin del sistema son necesarios para proporcionar
el contexto para los productos de software y servicios que estn incluidos.
Conclusiones y Observaciones
Se pude ver que el modelo describe los procesos que una organizacin puede
ejecutar, adquirir, suplir, desarrollar, operar, evolucionar, brindar soporte de
software y todas las prcticas genricas que caracterizan las potencialidades de
estos procesos.
La calidad del todos los componentes integrados en el proceso de desarrollo del
software no mejora necesariamente por el simple hecho de adoptar un estndar.
Es necesario que el proceso de adopcin conlleve una gestin del cambio
adecuada.
Es necesario tener un estndar como objetivo y referencia del proceso de
desarrollo del software.
El modelo seleccionado no es tan importante como el compromiso de mejora.
Bibliografa
ISO/IEC 20000. Welcome to the itSMF ISO/IEC 20000 Certification web site.
Recuperado
el
03
de
Octubre
de
2010,
En:
http://www.isoiec20000certification.com/
COBIT.
Recuperado
el
03
de
Octubre
de
2010,
En:
http://www.isaca.org/Template.cfm?Section=COBIT6&T
IEEE. IEEEXplore Digital Library. Recuperado el 03 de Octubre de 2010, En:
http://ieeexplore.ieee.org/xpl/standards.jsp?psf_t=software+engineering&psf_isie
ee=null&psf_isiet=null&psf_isaip=null&psf_istandj=null&psf_ismag=null&psf_isltr=
null&psf_rpp=10&psf_isatv=0&psf_rngmin=-1&psf_rngmax=1&psf_pn=1&psf_scid=&psf_scn=&psf_tarid=&psf_tarn=
IEEE. Historia del IEEE. Recuperado el 03 de Octubre de 2010, En:
http://www.ieeeperu.org/index.php?option=com_content&task=view&id=24&Ite
mid=7
IEEE. IEEE 610.12 Standard Glossary of Software Engineering Terminology.
Recuperado
el
03
de
Octubre
de
2010,
En:
http://electronics.ihs.com/document/abstract/WCEXCAAAAAAAAAAA
IEEE. Software Engineering Software Life Cycle Processes Maintenance.
Recuperado
el
03
de
Octubre
de
2010,
En:
https://docs.google.com/viewer?url=http://webstore.iec.ch/preview/info_isoiec14
764%257Bed2.0%257Den.pdf
ISO/IEC 20000. Recuperado el 03 de Octubre de 2010, En:
http://iso20000enespanol.com/index.php?option=com_content&task=view&id=26
&Itemid=31