You are on page 1of 28

AVANCE EN LA IMPLEMENTACIÓN DE LAS

NORMAS TÉCNICAS PERUANAS DE
GESTIÓN DE TECNOLOGÍA DE INFORMACIÓN

SEGUNDA EVALUACIÓN

NOV 2009
Emigdio Alfaro, Decano de la Facultad de Ingeniería
CONTENIDO

1. Problema.
2. Objetivo de la Investigación.
3. Revisión de Literatura.
4. Diseño Metodológico de la Investigación.
5. Análisis de Resultados.
6. Discusión.
7. Recomendaciones para investigaciones futuras.
8. Referencias.
9. Contacto.

Emigdio Alfaro 2
1. Problema

 R. M. N°179-2004-PCM, 14 Junio 2004. NTP-ISO/IEC 12 207:2004.
Procesos del Ciclo de Vida del Software.

 R. M. N°224-2004-PCM, 23 Julio 2004. NTP-ISO/IEC 17 799:2004.
Código de Buenas Prácticas de Gestión de la Seguridad de la
Información.

 R. M. N° 395-2005-PCM y R. M. N° 396-2005-PCM, 8 Noviembre 2005.
Modifican plazo hasta el 30 Junio 2006.

 11 Agosto 2006. D.U. 020-2006 Dictan Normas de Austeridad y
Racionalidad en el Gasto Público.

 18 Agosto 2006. D.U. 021-2006 Dictan Medidas Complementarias al
D.U. 020-2006.

Emigdio Alfaro 3
1. Problema

 Reducción de Gastos en SNP.
 Reducción de Gastos en Consultorías.

 Ineficiencias en Gestión de TI.
+  Auditorías.

 Sanciones Administrativas.
 Sanciones Legales.

Emigdio Alfaro 4
1. Problema

Se ha dado esfuerzos importantes en decenas de entidades del Estado
Peruano para el cumplimiento de estas normas; sin embargo, los estudios
publicados en el 2008 reflejan resultados nada alentadores e incluso
contradictorios en cuanto al avance en la implementación de las normas
técnicas peruanas de gestión de tecnología de información.

Emigdio Alfaro 5
2. Objetivo de la Investigación

Estimar el avance en la implementación de las normas técnicas peruanas
de gestión de tecnología de información: NTP-ISO/IEC 12207 y NTP-
ISO/IEC 17799, en las entidades del Estado Peruano.

Emigdio Alfaro 6
3. Revisión de Literatura

NTP-ISO/IEC 12207 Procesos del Ciclo de Vida del Software

A. Procesos Principales. Incluye: (a) Adquisición; (b) Suministro; (c)
Desarrollo; (d) Operación; y (e) Mantenimiento.

B. Procesos de Apoyo. Incluye: (a) Documentación; (b) Gestión de la
Configuración; (c) Aseguramiento de la Calidad; (d) Verificación; (e)
Validación; (f) Revisión Conjunta; (h) Auditoría; y (i) Solución de
Problemas.

C. Procesos Organizativos. Incluye: (a) Gestión; (b) Infraestructura; (c)
Mejora; y (d) Recursos Humanos.

Emigdio Alfaro 7
3. Revisión de Literatura

NTP-ISO/IEC 17799 Código de Buenas Prácticas de Gestión de la
Seguridad de la Información

A. Evaluación y Tratamiento del Riesgo.
B. Política de Seguridad.
C. Aspectos Organizativos de Seguridad.
D. Clasificación y Control de Activos.
E. Seguridad en Recursos Humanos.
F. Seguridad Física y del Entorno.
G. Gestión de Comunicaciones y Operaciones.
H. Control de Accesos.

Emigdio Alfaro 8
3. Revisión de Literatura

NTP-ISO/IEC 17799 Código de Buenas Prácticas de Gestión de la
Seguridad de la Información

I. Adquisición, Desarrollo y Mantenimiento de Sistemas.
J. Gestión de Incidentes en la Seguridad de la Información.
K. Gestión de la Continuidad del Negocio.
L. Cumplimiento.

Emigdio Alfaro 9
3. Revisión de Literatura

INVESTIGACIONES RELACIONADAS

 Alfaro E. A. (2008). Avance en la Implementación de Normas Técnicas
Peruanas de Gestión de las Tecnologías de Información. Arequipa:
Congreso Internacional Sudamericano de Ingeniería de Sistemas e
Informática CISAISI XII.

 ONGEI (2008). VI Encuesta Nacional de Recursos Informáticos y
Tecnológicos de la Administración Pública 2007. Lima: ONGEI.

Emigdio Alfaro 10
3. Revisión de Literatura

Alfaro E. A. (2008). Avance en la Implementación de Normas Técnicas
Peruanas de Gestión de las Tecnologías de Información. Arequipa:
Congreso Internacional Sudamericano de Ingeniería de Sistemas e
Informática CISAISI XII.

 45 entidades (4.39%) de las 1026 usuarias de T.I., realizaron acciones para la
implementación de las normas técnicas de gestión de T.I. a un costo de S/.
2’760,718.

 13 entidades (1.27%) habrían logrado implementar la NTP-ISO/IEC 12207. El
costo total por esta norma fue S/. 912,457.

 13 entidades (1.27%) habrían logrado implementar la NTP-ISO/IEC 17799. El
costo Total por esta norma fue S/. 1’848,261.

 Haber desarrollado la implementación inicial, no implica que se mantendrá en el
futuro, si las oficinas de Auditoría Interna no están alineadas para verificarlas.

Emigdio Alfaro 11
3. Revisión de Literatura

ONGEI (2008). VI Encuesta Nacional de Recursos Informáticos y
Tecnológicos de la Administración Pública 2007. Lima: ONGEI.

 Directorio de Entidades del Estado Peruano: 2037 entidades.

 Muestra: 628. Respuesta: 587 entidades.

 Sesgos e Inconsistencias:
 No se determinó el total de entidades usuarias de T.I.
 ONGEI envió las encuestas, en su condición de ente normativo.
Algunas entidades indicaron que habían implementado en un 100%
las normas.
 No hay estudio de las características de los que respondieron y los
que no respondieron.

Emigdio Alfaro 12
3. Revisión de Literatura

ONGEI (2008). VI Encuesta Nacional de Recursos Informáticos y
Tecnológicos de la Administración Pública 2007. Lima: ONGEI.

 De 576 entidades que respondieron la encuesta en lo referente a las
NTP de Gestión de T.I:
 12.76% había iniciado la implementación de la NTP-ISO/IEC 12207.
 21.53% había iniciado la implementación de la NTP-ISO/IEC 17799.

Emigdio Alfaro 13
4. Diseño Metodológico

 Preguntas de Investigación:

 ¿Se ha avanzado de manera significativa en la implementación de
la NTP-ISO/IEC 12207?

 ¿Se ha avanzado de manera significativa en la implementación de
la NTP-ISO/IEC 17799?

Emigdio Alfaro 14
4. Diseño Metodológico

 Todas las entidades del Estado Peruano (Directiva Nº 001-2004-
CONSUCODE/PRE), están obligadas a registrar sus procesos de
selección en el Portal SEACE.

 Delimitaciones de la Investigación:

 Procesos de Selección Adjudicados y Publicados en el Portal
SEACE, entre el 2 de Enero del 2004 y el 12 de Junio del 2009.

 Objetos de Proceso de Servicios: “Servicios de Consultoría”,
“Servicios”, y “Servicios en General”.

 Palabras Clave: “12207”, “17799”, y “CICLO DE VIDA”.

 No se ha considerado las consultorías en seguridad de la
información o el ciclo de vida del software que no hayan
referenciado al cumplimiento de las normas.

Emigdio Alfaro 15
4. Diseño Metodológico

 Delimitaciones de la Investigación:

 Cuando no estaba publicado el cuadro comparativo de las ofertas
de los postores, se asumió su adjudicación al valor referencial.

 No se ha tomado en cuenta los avances que pudieran haber sido
desarrollados por personal de las áreas de tecnología de
información que se encuentran en los CAP o CAS; ni los avances
desarrollados por SNP, cuyo proceso de selección hubiera sido
convocado para otras funciones.

 En los casos que los procesos de selección estaban orientados al
cumplimiento de la NTP-ISO/IEC 12207 y la NTP-ISO/IEC 17799
juntas, el monto adjudicado se repartió proporcionalmente teniendo
en cuenta las bases del proceso de selección.

Emigdio Alfaro 16
4. Diseño Metodológico

 Clasificación de los Servicios de los Procesos de Selección

 Tipo 1: Diagnóstico.

 Tipo 2: Diagnóstico y Plan de Implementación.

 Tipo 3: Plan de Implementación, Políticas, Procedimientos y
Capacitación. IMPLEMENTACIÓN COMPLETA.

 Tipo 4: Diagnóstico, Plan de Implementación, Políticas,
Procedimientos y Capacitación. IMPLEMENTACIÓN COMPLETA.
 Tipo 5: Asesoría.

Emigdio Alfaro 17
4. Diseño Metodológico

 Clasificación de los Servicios de los Procesos de Selección

 Tipo 6: Auditoría.

 Tipo 7: Personal de Apoyo para la Implementación.

 Tipo 8: Actualización a una versión posterior.

 Tipo 9: Capacitación.

 Tipo 10: Programa de Apoyo a las Exportaciones de Software.

 Tipo 11: Adecuación de Sistemas de Información.

Emigdio Alfaro 18
4. Diseño Metodológico

 Total de Entidades del Estado Peruano: 2972 (INEI, 2002)

 Total de Entidades del Estado Peruano, usuarias de T.I.: 1026 (INEI,
2002).

Emigdio Alfaro 19
5. Análisis de Resultados

Desde el 2 Enero 2004 al 12 Junio 2009:

 54 entidades convocaron 102 procesos de selección.
 46 procesos de selección estaban relacionados a la NTP-ISO/IEC
12207.
 65 procesos de selección estaban relacionados a la NTP-ISO/IEC
17799.
 9 procesos de selección incluyeron alcances explícitos relacionados al
cumplimiento de ambas normas.

Emigdio Alfaro 20
5. Análisis de Resultados

PROCESOS DE SELECCIÓN RELACIONADOS CON LAS NORMAS TÉCNICAS
PERUANAS DE GESTIÓN DE TECNOLOGÍA DE INFORMACIÓN
NORMA 2004 2005 2006 2007 2008 2009 TOTAL
NTP-ISO/IEC 12207 0 4 12 8 18 4 46
NTP-ISO/IEC 17799 1 8 26 13 14 3 65
TOTAL 1 12 38 21 32 7 111

Tabla 1: Procesos de Selección relacionados con la NTP-ISO/IEC
12207 y la NTP-ISO/IEC 17799.

Emigdio Alfaro 21
5. Análisis de Resultados
TIPOS DE SERVICIOS EN LOS PROCESOS DE SELECCIÓN RELACIONADOS
A LAS NORMAS TÉCNICAS PERUANAS DE GESTIÓN DE TECNOLOGÍA DE
INFORMACIÓN
TIPO DE SERVICIO ISO 12207 ISO 17799
Tipo 1: Diagnóstico 2 12
Tipo 2: Diagnóstico y Plan de Implementación 3 10
Tipo 3: Plan de Implementación, Políticas,
Procedimientos, y Capacitación (Implementación 7 5
Tipo 4: Diagnóstico, Plan de Implementación,
Políticas, Procedimientos, y Capacitación
(Implementación Completa) 11 14
Tipo 5: Asesoría 0 3
Tipo 6: Auditoría Interna 0 1
Tipo 7: Personal de Apoyo para Implementación 18 11
Tipo 8: Actualización a versión posterior 0 2
Tipo 9: Capacitación 3 6
Tipo 10: Programa de Apoyo a las Exportaciones de
Software 2 0
Tipo 11: Adecuación de Sistemas de Información 0 1
TOTAL 46 65

Tabla 2: Tipos de servicios relacionados con la NTP-ISO/IEC 12207 y la
NTP-ISO/IEC 17799.
Emigdio Alfaro 22
5. Análisis de Resultados
MONTOS ADJUDICADOS RELACIONADOS A LA NTP-ISO/IEC 12207 Y A LA
NTP-ISO/IEC 17799
ISO/IEC ISO/IEC
TIPO DE SERVICIO CONTRATADO 12207 17799
Tipo 1: Diagnóstico 9 850 252 001
Tipo 2: Diagnóstico y Plan de Implementación 54 867 156 763
Tipo 3: Plan de Implementación, Políticas,
Procedimientos, y Capacitación (Implementación 323 218 92 406
Tipo 4: Diagnóstico, Plan de Implementación,
Políticas, Procedimientos, y Capacitación
(Implementación Completa) 549 015 1 497 717
Tipo 5: Asesoría 0 30 661
Tipo 6: Auditoría Interna 0 13 600
Tipo 7: Personal de Apoyo para Implementación 156 810 109 784
Tipo 8: Actualización a versión posterior 0 48 940
Tipo 9: Capacitación 40222 65 744
Tipo 10: Programa de Apoyo a las Exportaciones de
Software 30000 0
Tipo 11: Adecuación de Sistemas de Información 0 11 200
TOTAL 1 163 982 2 267 616

Tabla 3: Montos Adjudicados por Tipo de Servicio, relacionados a la
NTP-ISO/IEC 12207 y la NTP-ISO/IEC 17799.
Emigdio Alfaro 23
6. Discusión

 54 entidades (5.26%) de las 1026 usuarias de T.I., realizaron acciones
para la implementación de las normas técnicas de gestión de T.I. a un
costo de S/. 3’431,599.

 18 entidades (1.75%) habrían logrado implementar la NTP-ISO/IEC
12207. El costo total por esta norma fue S/. 1’163,982.

 19 entidades (1.85%) habrían logrado implementar la NTP-ISO/IEC
17799. El costo Total por esta norma fue S/. 2’267,616.

 Haber desarrollado la implementación inicial, no implica que se
mantendrá en el futuro, si las oficinas de Auditoría Interna no están
alineadas para verificarlas.

Emigdio Alfaro 24
7. Recomendaciones

 Realizar investigaciones similares en el Estado Peruano y otros estados,
de manera anual.

 Tomar en cuenta la inversión en bienes tangibles (equipos de cómputo,
equipos de red, equipos de protección eléctrica, etc.) o bienes intangibles
(licencias de software, sistemas de información, etc.).

 Investigar el cumplimiento de las normas técnicas peruanas de gestión
de T.I. en entidades privadas (con y sin fines de lucro), usuarias y
proveedoras de T.I.

 Investigar el cumplimiento de la planificación de alcance, tiempo y costo.

 Investigar la generación de valor de los proyectos informáticos.

Emigdio Alfaro 25
8. Referencias

A. Alfaro E. A. (2007). Los ERPs ¿Generan o Destruyen Valor?. Trujillo:
Universidad César Vallejo – Congreso Internacional de Ingeniería de
Sistemas.
B. Alfaro E. A. (2008). Avance en la Implementación de Normas Técnicas
Peruanas de Gestión de las Tecnologías de Información. Arequipa: Congreso
Internacional SudAmericano de Ingeniería de Sistemas e Informática CISAISI
XII.
C. Contraloría General de la República (2006). Normas de Control Interno. Lima:
Contraloría General de la República.
D. INDECOPI (2006). TECNOLOGÍA DE LA INFORMACIÓN Procesos del Ciclo
de Vida del Software 2da. ed. Lima: Comité de Reglamentos Técnicos y
Comerciales de INDECOPI.
E. INDECOPI (2007). TECNOLOGÍA DE LA INFORMACIÓN Código de Buenas
Prácticas para la Gestión de la Seguridad de la Información 2da. ed. Lima:
Comité de Reglamentos Técnicos y Comerciales de INDECOPI.

Emigdio Alfaro 26
8. Referencias

F. INEI (2002). IV Encuesta Nacional de Recursos Informáticos y
Tecnológicos de la Administración Pública. Lima: INEI.
G. ONGEI (2008). VI Encuesta Nacional de Recursos Informáticos y
Tecnológicos de la Administración Pública 2007. Lima: ONGEI.

Emigdio Alfaro 27
9. Contacto

¿Consultas?
e84@wienergroup.com

Emigdio Alfaro 28