Modelo para el
gobierno de las TIC
basado en las normas ISO
Coordinadores: Carlos Manuel Fernández Sánchez
Mario Piattini Velthuis
Créditos
Título: Modelo para el gobierno de las TIC basado en las normas ISO
Coordinadores de la obra: Carlos Manuel Fernández Sánchez y Mario Piattini Velthuis
© AENOR (Asociación Española de Normalización y Certificación), 2012
Todos los derechos reservados. Queda prohibida la reproducción total o parcial en cualquier soporte, sin la previa autorización escrita de AENOR.
ISBN: 978-84-8143-765-2
Impreso en España - Printed in Spain
Edita: AENOR
Maqueta y diseño de cubierta: AENOR
Nota: AENOR no se hace responsable de las opiniones expresadas por los autores en esta obra.
Génova, 6. 28004 Madrid • Tel.: 902 102 201 • Fax: 913 103 695
comercial@aenor.es • www.aenor.es
Prólogo
Desde finales de los años 90, ante el emergente desarrollo de la normalización en el sector de las tecnologías de la información, AENOR comienza una nueva andadura y abre un amplio horizonte con la creación, dentro de la División de Desarrollo, del Área de Tecnologías de la Información y Comunicaciones (TIC), bajo el principio de I+D+i, poniendo especial énfasis en la innovación en el sector de las TIC y en la utilización de las normas ISO como referenciales internacionalmente reconocidos para la evaluación de la conformidad.
En el año 2004 y, siguiendo la línea de innovación continua en las TIC, pusimos en marcha el primer piloto de certificación de sistema de gestión de la seguridad de información con la norma española UNE 71502:2004 en una empresa del sector financiero, que culminó con su certificación en ese mismo año; sería la primera de las muchas que la seguirían.
Dos años más tarde, desde el área de TIC, Carlos Manuel Fernández Sánchez diseña y desarrolla un modelo de gobierno y gestión de las normas ISO, racionalizando y simplificando el entramado normativo y su aplicación. Desde su creación, en estos últimos seis años, se han llevado a cabo distintos pilotos de implantación y certificación en grandes corporaciones y pymes, tanto en España y Europa como en Latinoamérica, llegando a alcanzar casi un total de quinientas empresas y entidades certificadas en algún sistema del modelo, con el objetivo de alcanzar la calidad y seguridad de los servicios de tecnología de la información, y la madurez del ciclo de ingeniería del software.
Este modelo, diseñado y extendido desde AENOR, que tiene por objetivo la implantación en las empresas del ciclo de mejora continua o ciclo de Deming (PDCA), orientado a los objetivos de las distintas organizaciones, es el descrito en esta publicación que, además, recoge las experiencias de múltiples empresas que han alcanzado su certificación por AENOR, porque es precisamente en base a ellas por lo que surge la creación del modelo.
Hasta aquí el resumen de la senda abierta hasta este momento, que sin duda ha de seguir siendo recorrida y ampliada en un futuro. Solo me queda expresar mi agradecimiento a las personas que han hecho posible, con su dedicación y empeño, esta realidad que he tenido el placer de supervisar: Carlos Manuel Fernández Sánchez y Boris Delgado Riss. Asimismo, mi gratitud al catedrático Mario Piattini Velthuis, por su inestimable asesoramiento y colaboración en esta publicación y, por supuesto, a todos los coautores de la misma, ya que son grandes profesionales del sector.
También quiero hacer mención a las que son el objeto de toda esta labor: las empresas y entidades que, con amplitud de miras y apostando por el futuro, han depositado la confianza de su auditoría y certificación en AENOR, haciendo realidad el éxito alcanzado por el modelo propuesto.
Es nuestro deseo que este libro resulte de gran ayuda para los directores generales, directores de TIC y profesionales del sector, en la búsqueda constante de la excelencia en el gobierno y gestión de las TIC.
José Luis Tejera Oliver
Director de la Dirección
de Desarrollo de AENOR
Introducción
Las tecnologías y los sistemas de información (TSI) se han convertido en el elemento más esencial para la supervivencia de las organizaciones, ya que de las TSI dependen el buen funcionamiento y la evolución de sus procesos de negocio, así como la información que necesitan para tomar todas sus decisiones operacionales, tácticas y estratégicas.
Por ello, cobran cada día más interés el gobierno y la gestión de las TSI, temas en los cuales el director de TI, conocido habitualmente como CIO por las siglas de su denominación en inglés (Chief Information Officer), es llamado a desempeñar un papel crucial. El director de TI deberá implementar un conjunto de buenas prácticas de gobierno y de gestión en las diferentes áreas relacionadas con la prestación de servicios, desarrollo de software, seguridad, gestión de activos, etc.
En los últimos años, y especialmente a partir de 2006, se han publicado varias normas internacionales relacionadas con el gobierno y la gestión de las TSI que pueden resultar de mucho interés para las organizaciones, ya que recogen estas buenas prácticas, validadas y consensuadas a nivel internacional por más de 155 países.
Con este libro pretendemos ayudar al director de TI en su labor de gobierno y gestión de las TSI, dando a conocer las normas y explicando cómo utilizarlas en la “realidad”, con el fin de articular un sistema de gobierno y de gestión en el que encajen las diferentes buenas prácticas. En definitiva, esta publicación es el resultado de la aplicación real del modelo de AENOR de gobierno y gestión de las TSI con estándares ISO.
La obra consta de catorce capítulos, escritos por diferentes autores: el capítulo 1 es una introducción al gobierno y gestión de las TSI, y el capítulo 2 ofrece una panorámica de la normalización en esta área. Los capítulos del 3 al 12 están dedicados a presentar una norma o una serie de normas que abordan un área concreta del gobierno o de la gestión de las TSI, además de incluir (cuando ha sido posible) una experiencia práctica sobre la aplicación de dicha norma. A modo de resumen, los coordinadores hemos incluido una “ficha” para cada capítulo, en la que sintetizamos el problema que intenta resolver la norma, cómo contribuye la misma al gobierno o a la gestión de las TSI, y cuáles son los principales factores críticos de éxito a tener en cuenta a la hora de aplicar las buenas prácticas que recoge dicha norma.
Por último, se incluyen dos capítulos que abordan sendos problemas de gran interés para las organizaciones: en el capítulo 13 se trata la integración de diferentes normas, mientras que el capítulo 14 está centrado en la certificación.
Debido a su alcance, la lectura de esta obra puede realizarse de maneras muy distintas dependiendo de la finalidad y conocimientos previos del lector. En cualquier caso, es recomendable empezar por los capítulos 1 y 2, luego abordar el capítulo concreto en el que se tenga mayor interés y, si se está persiguiendo una certificación, finalizar con la lectura del capítulo 14. La estructura del libro (los capítulos son independientes e incluyen su propia bibliografía) lo hace adecuado para consultar cualquier norma de manera independiente.
Agradecimientos
Querríamos expresar nuestro agradecimiento, en primer lugar, a los autores que colaboran en esta obra y que son sus verdaderos artífices: sus conocimientos y experiencia en el gobierno y la gestión de las TSI, así como en la aplicación (en muchos casos pionera a nivel internacional) de las diferentes normas, constituyen el verdadero valor de este libro.
A las empresas que han implantado y certificado estos estándares, y a los auditores de AENOR y de entidades colaboradoras, por su trabajo de campo y colaboración constante.
A D. José Luis Tejera, Director de Desarrollo Estratégico e impulsor del área de las TIC dentro de AENOR, bajo cuya dirección se ha diseñado y desarrollado el modelo de ISO en las TIC que se refleja en este libro, y por haber aceptado escribir el prólogo del mismo.
A la Dirección de Servicios de Información y al Departamento Editorial de AENOR por su ánimo y apoyo constantes, haciendo posible que esta publicación concluyera con éxito.
Carlos Manuel Fernández Sánchez
Mario G. Piattini Velthuis
(Coordinadores)
Capítulo 1
Normas
• ISO/IEC 38500:2008 Corporate governance of information technology.
• UNE-ISO/IEC 20000-1:2007 Tecnología de la información. Gestión del servicio. Parte 1: Especificaciones (ISO/IEC 20000-1:2005).
• UNE-ISO/IEC 20000-2:2007 Tecnología de la información. Gestión del servicio. Parte 2: Código de buenas prácticas (ISO/IEC 20000-2:2005).
• ISO/IEC 20000-2:2012 Information technology – Service management – Part 2: Guidance on the application of service management systems.
• UNE-ISO/IEC 20000-1:2011 Tecnología de la información. Gestión del servicio. Parte 1: Requisitos del Sistema de Gestión del Servicio (SGS).
• UNE-ISO/IEC 27001:2007 Tecnología de la información. Técnicas de seguridad. Sistemas de Gestión de la Seguridad de la Información (SGSI). Requisitos (ISO/IEC 27001:2005).
• UNE-ISO/IEC 27002:2009 Tecnología de la Información. Técnicas de seguridad. Código de buenas prácticas para la gestión de la seguridad de la información.
• ISO/IEC 15504-3:2004 Information technology – Process assessment – Part 3: Guidance on performing an assessment.
• ISO/IEC 15504-4:2004 Information technology – Process assessment – Part 4: Guidance on use for process improvement and process capability determination.
• ISO/IEC 15504-1:2004 Information technology – Process assessment – Part 1: Concepts and vocabulary.
• ISO/IEC TR 15504-7:2008 Information technology – Process assessment – Part 7: Assessment of organizational maturity.
• ISO/IEC TS 15504-10:2011 Information technology – Process assessment – Part 10: Safety extension.
• ISO/IEC TR 15504-6:2008 Information technology – Process assessment – Part 6: An exemplar system life cycle process assessment model.
• ISO/IEC 12207:2008 Systems and software engineering – Software life cycle processes.
• ISO/IEC TR 29110 Software engineering – Lifecycle profiles for Very Small Entities (VSEs).
• UNE-ISO/IEC 19770-1:2008 Tecnología de la Información. Gestión de activos de software (SAM). Parte 1: Procesos.
• UNE 71599-1:2010 Gestión de la continuidad del negocio. Parte 1: Código de práctica.
• UNE 71599-2:2010 Gestión de la continuidad del negocio. Parte 2: Especificaciones.
• ISO/IEC 25000:2005 Software Engineering – Software product Quality Requirements and Evaluation (SQuaRE) – Guide to SquaRE.
• ISO/IEC/IEE 29119 Software and systems engineering – Software testing.
Problema a resolver
El gobierno y la gestión de un Centro de Proceso de Datos/Centro de Cómputo utilizando las mejores prácticas (estándares/normas ISO, consensuadas por más de 155 países) y aplicando tres factores imprescindibles, como son la eficiencia, la eficacia y la economía.
Contribución de la norma para la gestión de las TIC
El modelo de ISO en las TIC de AENOR contempla el gobierno y la gestión, incluyendo estándares para ambos conceptos. El modelo aquí presentado ha sido implementado inicialmente con pilotos por múltiples empresas en el mundo y certificado los sistemas por AENOR.
Factores críticos de éxito
• El modelo ISO en las TIC está orientado a los objetivos de negocio, ya sean nuevos proyectos o servicios.
• El modelo ISO en las TIC consta de dos elementos primordiales que suelen estar reflejados en dos estándares que componen un sistema de gestión: el ciclo PHVA-motor y el control interno de tecnologías de la información-conocimiento. El ciclo PHVA está orientado a la mejora continua.
• La simplicidad del ciclo PHVA orientado a los objetivos de negocio facilita la labor de gestión y gobierno en las TIC.
• El modelo ISO en las TIC no es una moda: es aplicar el control interno de tecnologías de la información (considerando los objetivos de negocio) a cualquier nueva tecnología, negocio o servicio de TIC.
• El modelo ISO en las TIC incorpora la calidad y la seguridad en los servicios y proyectos de TIC.
• El modelo ISO en las TIC contempla indicadores (objetivo de la métrica) y métricas orientadas al negocio en el mundo de las TIC.
• Cualquier proyecto de innovación se puede incorporar en el modelo ISO en las TIC.
• En definitiva, el objetivo del modelo ISO en las TIC consiste en que el plan de TIC cumpla con los objetivos definidos en el plan estratégico de la organización.
Capítulo 1. El gobierno y la gestión de las tecnologías y sistemas de la información
Carlos Manuel Fernández Sánchez
Mario Piattini Velthuis
1.1. Definición de gobierno de las tecnologías y sistemas de la información
El concepto de gobierno de las tecnologías y sistemas de la información (TSI), conocido normalmente por gobierno de las TI (tecnologías de la información) o también por gobernanza de las TI, no es actual, ya que se viene tratando más o menos implícitamente desde los años sesenta, si bien es verdad que con este nombre se empezó a utilizar a finales de los noventa (por ejemplo, Brown (1997) y Sambamurthy y Zmud (1999)).
Existen multitud de definiciones de gobierno de las TI; así, por ejemplo, el ITGI (IT Governance Institute)1 destaca que el gobierno de las TI es “responsabilidad del comité de dirección y de los ejecutivos. Es una parte integral del gobierno de la organización y consiste en el liderazgo de las estructuras y procesos organizativos que aseguran que las TI de la organización sostienen y extienden la estrategia y los objetivos de la organización” (ITGI, 2003).
Weill (2004) define gobierno de las TI como “la especificación del marco sobre los derechos y responsabilidades de decisión para alentar el comportamiento deseable del uso de las TI”. En este sentido cabe recordar que Allen (2005) define gobierno como “fijar expectativas claras para la conducta (comportamiento y acciones) de la entidad que está siendo gobernada, y dirigir, controlar e influenciar fuertemente dicha entidad para cumplir estas expectativas”. Por ello, este autor afirma que el gobierno puede resumirse de manera sencilla en que “la organización está haciendo las cosas adecuadas y adecuadamente en el tiempo oportuno”. Esto implica que los directivos toman las decisiones adecuadas obteniendo los resultados adecuados, para lo cual es imprescindible que también las TI funcionen de manera adecuada. Todo ello teniendo en cuenta que cosas “adecuadas” y “adecuadamente” son conceptos relativos, que variarán de una organización a otra y que cambiarán en el tiempo, al cambiar los objetivos de la organización. En efecto, la implementación del gobierno de las TI no ocurre en el vacío, sino que viene determinada por diferentes circunstancias (Kordel, 2004) como:
• La ética y la cultura de la organización y el sector al que pertenece.
• Las leyes, regulaciones y guías de actuación, tanto internas como externas.
• La misión, visión y valores de la organización.
• Los modelos de la organización relativos a los roles y responsabilidades.
• Las políticas y las prácticas de gobierno de la organización y la industria.
• El plan de negocio y los propósitos estratégicos de la organización.
Otra definición sobre gobierno de las TI es la de Dahlberg y Kivijärvi (2006), quienes señalan que el gobierno de las TI debe ser integral e incluir tanto los procesos de gobierno como las perspectivas de estructura, integrando las estructuras y procesos de gobierno, el alineamiento de negocio, las operaciones de TI y la medición del desempeño y la entrega de valor.
Webb et ál. (2006) analizan otras doce definiciones existentes de gobierno, de las que destacan cinco elementos:
• Alineamiento estratégico.
• Entrega de valor de negocio a través de las TI.
• Gestión del desempeño.
• Gestión de riesgos.
• Control y responsabilidades.
A partir de estas definiciones, los autores proponen una definición “definitiva” para gobierno de las TI: “El gobierno de las TI es el alineamiento estratégico de las TI con la organización de forma tal que se consigue el máximo valor de negocio por medio del desarrollo y mantenimiento de un control y responsabilidades efectivas, gestión del desempeño y gestión de riesgos de las TI”.
Más recientemente, la norma ISO/IEC 38500:2008 Corporate governance of information technology (ISO/IEC, 2008) define el gobierno de las TI como “el sistema por el que se dirige y controla la utilización actual y futura de la tecnología de la información”.
Otra definición muy actual la podemos encontrar en el sitio web impulsado por el ITGI, conocido como Taking Governance Forward2, en el que se define el gobierno de las TI como “una vista de gobierno que consta del gobierno de negocio de las TI (asegurar que las TI soportan y permiten llevar a cabo la estrategia empresarial) y una vista de gobierno funcional de las TI (asegurar que la función de TI en sí misma se ejecuta de manera eficiente y efectiva)”.
1.2. Diferencia entre gobierno y gestión de las TSI
Hay que tener en cuenta que, mientras que la gestión de las TSI está más enfocada al suministro interno de TSI y tiene su orientación temporal en el presente, el gobierno de las TSI es más amplio ya que, además, pretende atender las demandas externas (de los clientes) y en un horizonte temporal futuro (Peterson, 2003). Así, la gestión se centraría en administrar e implementar las estrategias en el día a día, mientras que el gobierno se encargaría de fijar dichas estrategias junto con la política y la cultura de la organización.
Por otro lado, según Hamaker y Hutton (2004), mientras que el gobierno de la organización se refiere al marco de responsabilidad global que coordina todas las actividades de gestión respecto a todos los stakeholders (partes interesadas), el gobierno corporativo corresponde principalmente a la junta o consejo de gobierno, el equipo de gestión ejecutiva y los accionistas. El gobierno de las TI, por su parte, se centra en el uso de la tecnología para satisfacer los objetivos de la organización fijados por la dirección. Por ello, el gobierno corporativo incluye aspectos del gobierno de las TI, ya que, sin una gestión eficaz de las TI, los encargados de las responsabilidades corporativas no podrían desempeñarse de forma efectiva (Fink et ál., 2006).
Desde hace algunos años, la palabra “gobierno” se ha generalizado y puesto de moda; así, se habla, entre otros, de: gobierno de proyectos software, gobierno de arquitectura software, gobierno de bases de datos, gobierno de SOA, gobierno de desarrollo de software, gobierno de la seguridad, etc. Ahora bien, aunque en todas estas áreas específicas se pueda considerar que hay aspectos de “gobierno”, realmente el gobierno se centra en los seis principios, a saber: responsabilidad, estrategia, adquisición, rendimiento, conformidad y factor humano; y en las tres funciones de evaluar, dirigir y monitorizar (en las que se profundiza en el capítulo 3).
En definitiva, ante la aparición de nuevos negocios y nuevas herramientas para las empresas, el gobierno de las TI se encargará de alinear el plan de las TIC con el business plan o plan estratégico de la empresa; mientras que la factoría de las TIC será la encargada de gestionar las áreas específicas con los nuevos servicios u operaciones que se puedan ir incorporando (véase la figura 1.1).
Figura 1.1. Las TIC como apoyo a la gestión de las empresas
1.3. Marcos para el gobierno y la gestión de las TSI
Existen multitud de marcos para el gobierno y gestión de las TSI, algunos de los cuales se describen en Hervada y Piattini (2007). Entre los más conocidos probablemente se encuentren COSO, COBIT, CMMi, UNE-ISO/IEC 27001:2007, ISO/IEC 15504:2004, ISO/IEC 15408:2009, ITIL, PMBOK, etc.
Algunos se centran en áreas muy concretas, como ISO/IEC 15408:2009 o PMBOK, mientras que otros son muy amplios, como es el caso de COBIT o COSO.
En el sitio anteriormente citado, Taking Governance Forward, se clasifican varios de estos marcos como se muestra en la figura 1.2.
1.4. Las normas y el gobierno y la gestión de las TSI
La propia evolución del sector de las TIC y su uso masivo por parte de las empresas y organizaciones ha provocado en los últimos años un reenfoque en el papel de las normas, pasando de la normalización de requisitos técnicos de productos electrónicos a una visión más global de sistemas de gestión, donde dichos aparatos y equipos no se entienden como elementos aislados, sino como parte de un conjunto donde interactúan entre sí y aportan valor añadido al sistema.
La inclusión en el sector de las TIC de criterios de gestión basados en la calidad, la seguridad y la protección ambiental también ha contribuido a este cambio de mentalidad.
Figura 1.2. Marcos para el gobierno y la gestión de las TSI
(adaptado del sitio web Taking Governance Forward)
Concretamente en España, las TIC vivieron un crecimiento inusitado durante la década de 1990 que las colocó en primera línea de la modernización del tejido empresarial y de la Administración Pública. Fruto de estas nuevas demandas, ya a principios de la primera década del siglo xxi, AENOR comenzó a estudiar la posibilidad de responder a ellas desde la certificación y, lo más importante, desde una nueva visión del papel que han de jugar las TIC en el conjunto de una organización.
Hasta ese momento, las empresas que querían aportar un valor añadido a su departamento de TIC recurrían a la certificación en sistemas de gestión de la calidad a través de las normas de la familia ISO 9001, excelentes en sus resultados pero un tanto generalistas para las incipientes necesidades del sector de las tecnologías de la información y la comunicación, que a todas luces comenzaba a demandar respuestas más centradas en su actividad. Como casi siempre ha ocurrido en la vida de las TIC, la velocidad a la que se producen las necesidades no es mayor que a la que aparecen las novedades que las cubren.
Tras un período de gestación de un par de años, AENOR presentó en 2006 su respuesta en el ámbito de la certificación para las TIC y su creciente protagonismo. Se trataba de la hoja de ruta para el gobierno y la gestión de las TIC, un esquema de certificación que proponía nada menos que un cambio cultural en la que, por aquel entonces, era la visión de las TIC, su responsabilidad, espacio y competencias dentro de la organización.
La clave estaba en entender desde otra perspectiva la función del Centro de Proceso de Datos (CPD) de la organización. El CPD deja de ser un departamento que hace que todo funcione (redes, ordenadores, etc.) para convertirse en una pieza más del engranaje de la empresa enfocada a objetivos de negocio. Cambia la visibilidad del CPD, y la certificación que propone este nuevo modelo de AENOR hace que la gestión de las TIC se vincule directamente con la actividad de negocio. Se puede decir que, gracias a este modelo, el CPD y el resto de la organización comienzan a hablar el mismo lenguaje y a interconectar de manera más natural y eficiente. Las TIC y sus responsables se vuelcan en los objetivos empresariales como un área más de la organización, además de entender la calidad como un principio global en su actividad.
Gracias a este modelo de gobierno y gestión de AENOR para las TIC, los responsables de los CPD pueden entender los beneficios de la certificación, conocer cuál es la más adecuada para cada caso, ordenar sus prioridades, organizar su estructura y, quizás lo más importante, alinear sus objetivos y sus respuestas con los propios objetivos y necesidades del plan estratégico global de la organización.
Aun a riesgo de parecer contradictorio, el modelo de gobierno y gestión de las TIC que propuso AENOR hace ya seis años es una respuesta compleja a necesidades también complejas, pero desde la sencillez en su aprehensión. En la figura 1.3 se puede ver una versión ampliada del modelo propuesto por AENOR.
Básicamente, el modelo propone dos certificaciones para la parte de gobierno corporativo de las TIC y del sistema de gestión de continuidad del negocio (UNE 71599-2:2010 y ISO/IEC 38500:2008).
Para el área puramente de gestión, divide esta en dos campos: los sistemas de gestión de servicios de TI SGSTI (UNE-ISO/IEC 20000-1:2011) y los sistemas de gestión de la seguridad de la información SGSI (UNE-ISO/IEC 27001:2007).
Con la implantación del SGSTI (UNE-ISO/IEC 20000-1:2011) se alcanza la calidad en los servicios de las TIC considerando los objetivos del negocio. Con la implantación del SGSI (UNE-ISO/IEC 27001:2007) se logra gestionar los riesgos de los sistemas de información y, por tanto, la seguridad de los mismos.
Esto conlleva minimizar los posibles riesgos de las TIC y devolver calidad y confianza a los sistemas de información.
Figura 1.3. Modelo ampliado de AENOR para las TIC
El segundo campo del área de gestión es donde se agrupan las actividades de desarrollo de programas enfocado a la calidad del software (modelo de evaluación, mejora y madurez del software, SPICE ISO 15504:2004; ISO 12207:2008 Systems and software engineering – Software life cycle processes y UNE-ISO/IEC 19770-1:2008 Tecnología de la Información. Gestión de activos de software (SAM). Parte 1: Procesos). Este modelo puede ser complementado con un trabajo que se viene desarrollando hace algunos años sobre perfiles del ciclo de vida para pequeñas entidades (ISO/IEC 29110:2011) y con la familia de normas ISO/IEC 25000:2005 sobre calidad de producto software, y con la ISO/IEC 29119:2011 sobre pruebas de software.
Hay que tener en cuenta que las normas ISO/IEC, así como las normas nacionales, proporcionan a las empresas una serie de marcos de gestión para abordar la organización de las TI. Son marcos que gozan del reconocimiento internacional, basados en el esquema PHVA (Planificar-Hacer-Verificar-Actuar) y, por tanto, integrables con otros modelos de gestión como el de la calidad (modelo 9000), o el medioambiental (modelo 14000).
Normalmente, la estructura compartida por los modelos de gestión consta de una norma general sobre terminología y vocabulario propios del modelo y otra que recoge una serie de recomendaciones o buenas prácticas de cara a la implantación de las especificaciones o requisitos propios del sistema de gestión, los cuales son recogidos en otra de las normas de la serie. Esta norma de requisitos es el referente de certificación de la serie, es decir, la norma respecto a la cual se puede obtener la conformidad, ya sea de manera interna o por parte de un tercero independiente.
Viene siendo habitual que las series se vayan enriqueciendo con normas que proporcionan directrices sobre cómo auditar el sistema de gestión o cómo seleccionar su alcance, y con otras normas dirigidas hacia la competencia de los organismos que auditan o certifican y que sirven de base al establecimiento de los esquemas de acreditación.
En algunos modelos se comienzan a desarrollar normas de carácter vertical, más específico, que recogen las recomendaciones y requisitos específicos para un sector determinado (por ejemplo, sanitario, telecomunicaciones, etc.), a partir de los criterios de la norma marco general.
Otras normas que complementan a las anteriores son:
• UNE-ISO/IEC 90003:2005 Ingeniería del software. Guía de aplicación de la ISO 9001:2000 al software, que ayuda a adaptar el sistema de gestión de la calidad de la empresa a las TI.
• La serie ISO/IEC 15408:2009 Information technology – Security techniques – Evaluation criteria for IT security, que establece criterios de evaluación para la seguridad de los sistemas informáticos.
• ISO/IEC TR 24766:2009 Information technology – Systems and software engineering – Guide for requirements engineering tool capabilities, que establece características específicas para herramientas de requisitos.
• ISO/IEC 24773:2008 Software engineering – Certification of software engineering professionals – Comparison framework, que establece las bases para la certificación del personal de TI.
• ISO 31000:2009 Risk management – Principles and guidelines, sobre modelos de gestión del riesgo.
1.5. Conclusiones
Los temas relativos al gobierno y a la gestión de las TSI son cada vez más importantes para las empresas, ya que el gasto e inversión en TSI no se controlan como se debiera, y en demasiadas ocasiones no se consigue un uso eficaz, eficiente y económico de las TIC. En los últimos años han surgido numerosos marcos y normas ISO para el gobierno y la gestión de las TSI, que consideramos como una valiosísima ayuda en la consecución de este objetivo, aun teniendo en cuenta que siempre deberemos evaluar los riesgos que suponen las TIC valorando su importancia respecto a los controles y costes que pueden conllevar.
Pensamos que, en un futuro cercano, todos los departamentos de informática deberán tener implantadas buenas prácticas que cubran las diferentes áreas de gobierno y gestión, para lo cual centrarán sus esfuerzos en definir, medir y analizar los procesos relacionados con las TSI y en su mejora continua.
Probablemente, como señalaba en 2008 David Flint, vicepresidente de Gartner-Research, los directores de informática (CIO) se convertirán en Chief Process Officers (CPO), alineados e integrados con los objetivos de sus empresas u organizaciones para lograr la excelencia en el servicio de las TIC, innovando y desarrollando nuevos productos. Y ello no es el fruto de una moda: es un síntoma de la madurez que está alcanzando el gobierno y la gestión de las TSI.
1.6. Bibliografía
Allen, J. Governing for Enterprise Security. Technical Note. CMU/SEI-2005-TN-023, Software Engineering Institute. 2005.
Brown, C. V. “Examining the emergence of hybrid IS governance solutions: Evidence from a single case site”. Information Systems Research. Vol. 8(1), pp. 69-95. 1997.
Dahlberg, T. y Kivijärvi, H. An Integrated Framework for IT Governance and the Development and Validation of an Assessment Instrument. Proc. of the 39th Hawaii International Conference on System Sciences. IEEE Computer Society. 2006.
Fernández Sánchez, C. M. Documentación de la asignatura Control y auditoría de sistemas de información. Universidad Pontificia de Salamanca. Curso 2010-2011.
Fink, D.; Huegle, T. y Dortschy, M. A Model of Information Security Governance for E-Business. Idea Group Publishing. 2006.
Hamaker, S. y Hutton, A. “Principles of IT Governance”. Information Systems Control Journal. Vol. 2. 2004.
Hervada, F. y Piattini, M. (eds.). Gobierno de las tecnologías y los sistemas de información. Ra-Ma. Madrid, 2007.
ISO/IEC 38500:2008 Corporate governance of information technology.
ITGI. IT Governance Executive Summary. IT Governance Institute. 2003.
Kordel, L. “IT Governance Hands-on: Using CobiT to Implement IT Governance”. Information Systems Control Journal. Vol. 2. 2004.
Peterson, R. R. Integration Strategies and Tactics for Information Technology Governance. Strategies for Information Technology Governance. Idea Group Publishing. 2003.
Sambamurthy, V. y Zmud, W. “Arrangements for information technology governance: A theory of multiple contingencies”. MIS Quarterly. Vol. 23(2), pp. 261-291. 1999.
Webb, P.; Pollard, C. y Ridley, G. Attempting to Define IT Governance: Wisdom or Folly? Proc. of the 39th Hawaii International Conference on System Sciences. IEEE Computer Society. 2006.
Weill, P. “Don’t Just Lead, Govern: How Top-Performing Firms Govern IT”. MIS Quarterly Executive. Vol. 3 (1), pp. 1-17. 2004.
1 Fundado por la ISACA (Information Systems Audit and Control Association) en 1998.
2 http://www.takinggovernanceforward.org/Pages/glossary.aspx#midpage
Capítulo 2. Normas y estándares para el gobierno y la gestión de las TIC
Paloma García López
A nivel mundial, el sistema de normalización lo constituyen ISO (Organización Internacional de Normalización), IEC (Comisión Electrotécnica Internacional) y UIT (Unión Internacional de Telecomunicaciones). Para el ámbito de las tecnologías de la información, se creó un comité conjunto entre ISO e IEC, el denominado JTC 1 Information Technologies, que es en la actualidad la fuente de referencia para abordar las iniciativas de normalización en este ámbito, y origen de las series de normas que veremos más adelante y que configuran el marco de gestión de las TIC.
La estructura del comité JTC 1 está formada por más de veinte subcomités, y cada año se incorporan nuevos órganos de trabajo que permiten dar respuesta a través de la normalización internacional a nuevas demandas y necesidades del mercado de la sociedad de la información (véase la figura 2.1).
Las relaciones y colaboraciones del JTC 1 con el resto de comités de normalización, tanto internacionales como europeos como extracontinentales, se fortalecen constantemente debido a la colateralidad de las TIC con la mayoría de los procesos industriales y de negocio, así como con el día a día de los ciudadanos, lo que permite aumentar la interoperabilidad y usabilidad de los sistemas de información.
Si bien a lo largo de los años se ha venido trabajando en normas internacionales que proporcionen un lenguaje común para los requisitos técnicos de los productos, sistemas y aplicaciones, labor que sigue siendo primordial, desde hace ya algún tiempo se ha apostado por complementar este trabajo con el desarrollo de normas que den apoyo a la gestión y gobierno en las organizaciones.
Figura 2.1. Estructura de subcomités del JTC 1
En la actualidad, las empresas disponen de una serie de marcos de gestión para abordar la organización de las tecnologías de la información y las comunicaciones. Son marcos que gozan del reconocimiento internacional, basados en el esquema PDCA (en español PHVA), y por tanto integrables con otros modelos de gestión como el de la calidad (modelo 9000), o el medioambiental (modelo 14000), lo cual permite ir avanzando hacia una gestión integral en las organizaciones.
La estructura compartida por los modelos de gestión que ya ha sido esbozada en el capítulo 1 (terminología, recomendaciones y requisitos, más otras normas referentes a auditoría, alcance y requisitos más específicos) es también la utilizada en los modelos actualmente existentes en el ámbito de las tecnologías de la información, cuya implantación está aumentando notablemente al servir como una herramienta de gestión del negocio.
La tabla 2.1 muestra un esquema de los principales modelos de gestión en este ámbito.
Tabla 2.1. Esquema de los principales modelos de gestión
Modelos de gobierno y gestión TIC |
|
Modelo 20000 |
|
UNE-ISO/IEC 20000-1 Tecnología de la información. Gestión del Servicio. Parte 1: Requisitos del Sistema de Gestión del Servicio (SGS). |
|
UNE-ISO/IEC 20000-2 Tecnología de la información. Gestión del servicio. Parte 2: Código de buenas prácticas. |
|
UNE-ISO/IEC TR 20000-3 IN Tecnología de la información. Gestión del servicio. Parte 3: Directrices para la definición del alcance y aplicabilidad de la Norma ISO/IEC 20000-1:2005 (en revisión internacional). |
|
ISO/IEC TR 20000-4 Tecnología de la información. Gestión del Servicio -- Parte 4: Modelo de referencia para los procesos. |
|
ISO/IEC 20000-5 Tecnología de la información. Gestión del servicio Parte 5: Ejemplo de un plan de implantación de la ISO/IEC 20000-1. |
|
ISO/IEC 20000-7 Tecnología de la información. Gestión del Servicio. Parte 7: Directrices para la aplicación de la ISO/IEC 20000-1 a la computación en la nube (cloud computing) (en elaboración). |
|
ISO/IEC 20000-10 Tecnología de la información. Gestión del Servicio. Parte 10: Conceptos y terminología (en elaboración). |
|
Modelo 38500 |
|
ISO/IEC 38500 Gobierno corporativo de las Tecnologías de la Información (TI) (norma en revisión internacional, reestructurada en dos partes como se indica a continuación) (la adopción española de esta norma se publicará en breve). |
|
ISO/IEC 38501 Gobierno corporativo de las Tecnologías de la Información (TI). Directrices de implantación (en elaboración). |
|
ISO/IEC 38502 Gobierno corporativo de las Tecnología de la Información (TI). Modelo y marco de referencia (en elaboración). |
|
Modelo 27000 |
|
ISO/IEC 27000 Tecnología de la información. Técnicas de seguridad. Sistemas de gestión de la seguridad de la información. Visión de conjunto y vocabulario. |
|
UNE-ISO/IEC 27001 Tecnología de la información. Técnicas de seguridad. Sistemas de gestión de la seguridad de la información (SGSI). Requisitos. |
|
UNE-ISO/IEC 27002 Tecnología de la información. Técnicas de seguridad. Código de buenas prácticas para la gestión de la seguridad de la información. |
|
ISO/IEC 27003 Tecnología de la información. Técnicas de seguridad. Directrices para la implementación de un Sistema de Gestión de la Seguridad de la información (SGSI). |
|
ISO/IEC 27004 Tecnología de la información. Técnicas de seguridad. Gestión de seguridad de la información. Métricas e indicadores. |
|
ISO/IEC 27005 Tecnología de la información. Técnicas de seguridad. Gestión del riesgo en seguridad de la información. |
|
ISO/IEC 27006 Tecnología de la información. Técnicas de seguridad. Requisitos para organismos proveedores de auditoría y certificación de Sistemas de Gestión de Seguridad de la Información. |
|
ISO/IEC 27007 Tecnología de la información. Técnicas de seguridad. Directrices para la auditoría de los Sistemas de Gestión de Seguridad de la Información (SGSI). |
|
ISO/IEC 27008 Tecnología de la información. Técnicas de seguridad. Directrices para auditores de controles de seguridad de la información. |
|
ISO/IEC 27010 Tecnología de la información. Técnicas se seguridad. Gestión de la Seguridad de la información para comunicaciones internas en una organización y para comunicaciones entre organizaciones. |
|
ISO/IEC 27011 Tecnología de la información. Técnicas se seguridad. Directrices para la gestión de la seguridad de la información basadas en la Norma UNE- ISO/IEC 27002 para organizaciones de telecomunicaciones (ITU-T X.1051). |
|
ISO/IEC 27032 Tecnología de la información. Técnicas de seguridad. Directrices para ciberseguridad. |
|
Serie ISO/IEC 27033 Tecnología de la información. Técnicas de seguridad. Seguridad de las redes. |
|
Serie ISO/IEC 27034 Tecnología de la información. Técnicas de seguridad. Seguridad de las aplicaciones. |
|
UNE-EN ISO 27799 Informática sanitaria. Gestión de la seguridad de la información en sanidad utilizando la Norma ISO/IEC 27002. |
|
Modelos de evaluación y calidad del software |
|
Modelo de evaluación de procesos software |
|
Modelo 15504 (SPICE) Evaluación de procesos de software (serie en revisión y reestructuración con nueva numeración a modelo ISO/IEC 33000) |
Parte 1: Conceptos y vocabulario. Parte 2: Desarrollo de la evaluación. Parte 3: Directrices del desarrollo de la evaluación. Parte 4: Directrices para la mejora de los procesos y para la determinación de la capacidad de los procesos. Parte 5: Ejemplo de un modelo de evaluación de proceso. Parte 6: Ejemplo de modelo de evaluación de un proceso del sistema del ciclo de vida. Parte 7: Evaluación de la madurez de una organización. Parte 8: Ejemplo de modelo de evaluación de proceso para la gestión del servicio de TI. Parte 9: Perfiles de objetivo de proceso. Parte 10: Extensión a seguridad. |
Serie ISO/IEC 29110 Perfiles del ciclo de vida para muy pequeñas empresas. |
|
ISO/IEC 12207 Procesos del ciclo de vida. |
|
UNE-ISO/IEC 90003 Ingeniería del software. Guía de aplicación de la ISO 9001:2000 al software (actualmente en revisión internacional). |
|
Modelo de calidad del producto software |
|
Modelo 25000 (SQuaRE) Calidad del producto software. Requisitos y evaluación |
ISO/IEC 25000 Directrices de SQuaRE. ISO/IEC 25001 Planificación y gestión. ISO/IEC 25010 Modelos de calidad de sistemas y software. ISO/IEC 25021 Elementos de medida de la calidad. ISO/IEC 25040 Proceso de evaluación. ISO/IEC 25060 Formato de industria común (CIF) para usabilidad: Marco general para la usabilidad relativa a la información. |
Modelo 15408 “Common Criteria” Criterios comunes de evaluación para la seguridad |
Parte 1: Introducción y modelo general. Parte 2: Componentes de la seguridad funcional. Parte 3: Componentes de evaluación de la seguridad. |
ISO/IEC 18045:2008 Tecnología de la Información. Técnicas de Seguridad. Metodología para la evaluación de la seguridad de TI. |
|
Serie 29119 Pruebas de software |
Parte 1: Definiciones y vocabulario. Parte 2: Procesos de las pruebas. Parte 3: Documentación de las pruebas. Parte 4: Técnicas de las pruebas. |
Modelo de gestión de activos de software |
|
Serie 19770 Gestión de activos de software (SAM) |
Parte 1: Procesos. Parte 2: Etiquetado para la identificación del software. Parte 3: Etiquetado para los derechos sobre el software. Parte 5: Generalidades y vocabulario. |
Modelo de gestión del conocimiento en TIC |
|
ISO/IEC TR 24766 Tecnología de la Información. Ingeniería del software y sistemas. Directrices para la creación de herramientas de capacitación en ingeniería del software. |
|
ISO/IEC 24773 Ingeniería del software. Certificación de profesionales de ingeniería del software. Comparación de marcos. |
Resulta especialmente interesante hacer referencia a tres modelos más, de ámbito completamente horizontal, pero cuya aplicabilidad cobra una gran importancia en el ámbito de las TIC debido a la alta influencia que estas tienen en el desarrollo de los procesos de negocio en la actualidad (véase la tabla 2.2).
Tabla 2.2. Esquema de otros tres modelos de gestión
Modelo de continuidad de negocio |
|
UNE 71599-1 Gestión de la continuidad del negocio. Código de práctica (actualmente en revisión para su adaptación a ISO/IEC 22313). |
ISO/IEC 22313 Sistema de gestión de la continuidad del negocio. Directrices (en elaboración). |
UNE 71599-2 Gestión de la continuidad del negocio. Especificaciones (actualmente en revisión para su adaptación a ISO/IEC 22301). |
ISO/IEC 22301 Sistema de gestión de la continuidad del negocio. Especificaciones. |
Modelo de gestión del riesgo |
|
UNE-ISO 31000 Gestión del riesgo. Principios y directrices. |
|
UNE-ISO/IEC 31010 Gestión del riesgo. Técnicas de apreciación del riesgo. |
|
UNE-ISO Guía 73 IN Gestión del riesgo. Vocabulario. |
|
Modelos de gestión documental |
|
Modelo 30300 Sistemas de gestión para los documentos |
Serie 15498 Gestión de documentos |
UNE-ISO 30300 Información y documentación. Sistemas de gestión para los documentos. Fundamentos y vocabulario. |
UNE-ISO 15489-1 Información y documentación. Gestión de documentos. Parte 1: Generalidades. |
UNE-ISO 30301 Información y documentación. Sistemas de gestión para los documentos. Requisitos. |
UNE-ISO 15489-2 Información y documentación. Gestión de documentos. Parte 2: Directrices. |
Capítulo 3
Norma
• ISO/IEC 38500:2008 Corporate governance of information technology.
Problemas a resolver
• Alinear, integrar y cumplir los objetivos definidos en el plan estratégico de la organización con el plan de TIC de la misma.
• Obtener más valor de las inversiones en TIC, así como analizar y evaluar los riesgos relacionados con las TIC.
• Llevar a cabo el cumplimiento legal y regulatorio, y establecer un marco de sostenibilidad y responsabilidad social corporativa.
Contribución de la norma para la gestión de las TIC
Ofrecer un marco para dar confianza en el gobierno TIC, informar y orientar a los directores que controlan el uso de las TIC en su organización, proporcionar una base para la evaluación objetiva por parte de la alta dirección en el gobierno TIC.
Factores críticos de éxito
• Plan estratégico de la organización vs. plan de TIC.
• Sincronizar el gobierno TIC directamente con los valores de la organización.
• Medir el gobierno de forma transparente, mostrando el impacto y la contribución de las inversiones en TIC en el proceso de creación de valor de la organización.
• Establecer un ciclo de monitorización, evaluación y dirección por parte del gobierno TIC, contemplando los seis principios incluidos en la norma (responsabilidad, estrategia, adquisición, rendimiento, conformidad y factor humano).
• De forma cíclica, contrastar la estrategia con los resultados de la monitorización para informar a la alta dirección y poder actuar en consecuencia.
• Indicadores (objetivo de la métrica) y métricas de los procesos con respecto a los objetivos de negocio.