EN65-V2 Sistemas de gestión en Tecnologías de la Información TI

La organización mundial de estándares ISO (por sus siglas en inglés), ha venido adelantando una política que ofrece a la photography-801891_1920comunidad mundial normas cada vez más sectoriales. Con el éxito obtenido con la publicación de la norma ISO 9001:1987 y sus versiones posteriores, se vio la necesidad de aplicar este modelo incluyendo requisitos específicos a cada sector, así nacieron normas como ISO 16949 para el sector automotriz e ISO 22000 para el sector de alimentos entre otras.

El enorme avance de la tecnología con el desarrollo de los computadores e internet ha generado la denominada segunda revolución industrial: un gran avance en las tecnologías de la información y la comunicación que han transformado las empresas de manera formidable.

ISO entonces genera varias normas para el sector de Tecnologías de la Información y la comunicación Tic´s,  las principales de ellas que son certificables, son:

Norma

Nombre

Alcance

ISO 20000-1 Tecnología de la información.

Gestión del servicio. parte 1: requisitos del sistema de gestión del servicio

Sistema de gestión del servicio incluye el diseño, transición, prestación y mejora de servicios de TI
ISO 27001 Tecnología de la información.

Técnicas de seguridad. Sistemas de gestión de la seguridad de la información. Requisitos.

El sistema de gestión de la seguridad de la información preserva la confidencialidad, la integridad y la disponibilidad de la información.
ISO 22301 Continuidad del Negocio.

Sistemas de gestión de continuidad del negocio. Requisitos.

Sistema de gestión documentado para protegerse, reducir la capacidad de ocurrencia, preparar, responder y recuperarse de los incidentes perjudiciales que puedan surgir.
ISO 29110 Ingeniería de Software – Perfiles del Ciclo de Vida en Pequeñas Entidades. Requisitos. Sistema de gestión orientado a la calidad del desarrollo y mantenimiento de software.

Según el informe de ISO a diciembre de 2015, algunas de las empresas certificadas a nivel mundial en los modelos Tic´s son:

Número de empresas certificadas por país.

País

ISO 27001 ISO 20000-1 ISO 22301
Japón

5245

109

62

Reino Unido 2818

197

305

India

2309

170

142

China

8356

3746

66

EEUU

757

200

30

México

252

102

25

Colombia

189

18

4

Brasil

133

63

12

Argentina

38

32

10

Chile

77

13

15

Perú

79

17

5

Ecuador

9

1

2

Uruguay

19

5

0

Datos survey de ISO a diciembre de 2019

No se tienen registros oficiales de la ISO 29110

ISO 20000-1:2018 Gestión del servicio. parte 1: requisitos del sistema de gestión del servicio

La ISO 20000-1 es una aplicación de la norma ISO 9001 a los servicios de tecnología. Su primera versión fue en el año de 2005, teniendo una revisión en el año 2011. Esta norma aún no se acogió a lo establecido en el anexo SL, por lo que no tiene la misma numeración de ISO 9001:2015 o ISO 27001:2013 o ISO 22301:2018.

La norma ISO 20000-1 incluye dentro de sus requisitos a las normas ISO 27001 e ISO 22301:

imagen-entrada-en65

El campo de aplicación de la norma ISO 20000-1 es:

“Esta parte  de la norma  es sobre  sistemas  de gestión  del servicio  (SGS).  Se especifican  los requisitos   para  que  un  prestador   del  servicio   planifique,   establezca,   implemente,   opere, monitoree, revise, mantenga y mejore un SGS. Los requisitos incluyen el diseño, transición, prestación y mejora de los servicios para cumplir con los requisitos de servicio. Esta parte de la norma puede ser utilizada:

  1. a) por una  organización   que  busca  servicios  de  prestadores   de  servicios  y  exige  la garantía de que se cumplirán sus requisitos de servicio;
  2. b) por una  organización   que  exige   un  enfoque  consistente   por  parte  de  todos  sus prestadores de servicios, incluyendo aquellos en la cadena de suministro;
  3. c) por un prestador  de  servicios  que  pretende  demostrar  su capacidad  para  el diseño, transición, prestación y mejora de servicios que cumplen con los requisitos de servicio;
  4. d) por un prestador de servicios para monitorear, medir y revisar sus procesos  y servicios en la gestión del servicio;
  5. e) por un prestador de servicios para mejorar el diseño, la transición y la prestación de los servicios a través de la implementación y la operación eficaces de un SGS;
  6. f) por un evaluador o auditor,  como  criterio  para  una evaluación  de la conformidad  del

SGS de un prestador de servicios con los requisitos de esta parte de la norma.”

Requisitos de ISO 20000-1-2018

Contenido

Prefacio

Introducción

1             Objeto y Campo de aplicación

2              Referencias normativas

3              Términos y definiciones

4              4Contexto de la organización

4.1          Comprensión de la organización y su contexto.

4.2          Comprender las necesidades y expectativas de las partes interesadas

4.3          Determinar el alcance del sistema de gestión de servicios

4.4          Sistema de gestión de continuidad del negocio

5              Liderazgo

5.1          Liderazgo y compromiso

5.2          Política

5.3          Roles, responsabilidades y autoridades

6              Planificación

6.1          Acciones para abordar riesgos y oportunidades

6.2          Objetivos de continuidad del negocio y planificación para alcanzarlos

6.3          Planificación el sistema de gestión de servicios

7              Soporte

7.1          Recursos

7.2          Competencia

7.3          Conciencia

7.4          Comunicación

7.5          Información documentada

7.6          Conocimiento

8              Operación

8.1          Planificación y control operacional

8.2          Portafolio de servicios

8.3          Relación y acuerdo

8.4          Oferta y demanda

8.5          Diseño, construcción  y transición de servicios

8.6         Resolución y ejecución

8.7         Aseguramiento de servicios

9              Evaluación de desempeño

9.1          Monitoreo, medición, análisis y evaluación.

9.2          Auditoría interna

9.3          Revisión de la gerencia

9.4          Informes de servicios

10           Mejora

10.1        No conformidad y acción correctiva

10.2        Mejora continua

 

ISO 27001: 2013 Técnicas de seguridad. Sistemas de gestión de la seguridad de la información.

La primera norma de sistema de gestión de la seguridad de la información fue la ISO 17799:2005 Código de buenas prácticas para la gestión de la seguridad de la información.

La ISO 27001 versión 2013 fue una de las primeras normas en acogerse al anexo SL, (anexo que normaliza todas las normas) y que tiene 10 capítulos principales. La norma define su ámbito de la siguiente forma:

“Esta Norma ha sido elaborada para suministrar requisitos para el establecimiento, implementación, mantenimiento y mejora continua de un sistema de gestión de la seguridad de la información. La adopción de un sistema de gestión de seguridad de la información es una decisión estratégica para una organización. El establecimiento e implementación del sistema de gestión de la seguridad de la información de una organización están influenciados por las necesidades y objetivos de la organización, los requisitos de seguridad, los procesos organizacionales empleados, y el tamaño y estructura de la organización. Se espera que todos estos factores de influencia cambien con el tiempo.”

“Es importante que el sistema de gestión de la seguridad de la información sea parte de los procesos y de la estructura de gestión total de la información de la organización y que esté integrado con ellos, y que la seguridad de la información se considere en el diseño de procesos, sistemas de información y controles. Se espera que la implementación de un sistema de gestión de seguridad de la información se difunda de acuerdo con las necesidades de la organización.”

Requisitos de ISO 27001

  1. OBJETO Y CAMPO DE APLICACIÓN

2. REFERENCIAS NORMAIVAS

3. TERMINOS Y DEFINICIONES

4. CONTEXTO DE LA ORGANIZACIÓN

4.1 CONOCIMIENTO DE LA ORGANIZACIÓN Y DE SU CONTECTO

4.2 COMPRENSIÓN DE LAS NECESIDADES Y EXPECTATIVAS DE LAS PARTES INTERESADAS

4.3 DETERMINACIÓN DEL ALCANCE DEL SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

4.4 SISTEMA DGESTIÓN DE LA SEGURIDAD DE LA INFORMAICÓN

  1. LIDERAZGO

5.1 LIDERAZGO Y COMPROMISO

5.2 POLÍTICA

5.3 ROLES, RESPONSABILIDADES Y AUTORIDADES EN LA ORGANIZACIÓN

  1. PLANIFICACIÓN

6.1  ACCIONES PARA TRATAR  RIESGOS Y OPORTUNIDADES

6.2 OBJETIVOS DE SEGURIDAD DE LA INFORMACIÓN Y PLANES PARA LOGRARLOS

  1. SOPORTE

7.1 RECURSOS

7.2 COMPETENCIA

7.3 TOMA DE CONCIENCIA

7.4  COMUNICACIÓN

7.5 INFORMACIÓN DOCUMENTADA

  1. OPERACIÓN

8.1 PLANIFICACIÓN Y CONTROL OPERACIONAL

8.2 VALORACIÓN DE RIESGOS DE LA SEGURIDAD DE LA INFORMACIÓN

8.3 TRATAMIENTO DE RIESGOS DE LA SEGURIDAD DE LA INFORMACIÓN

  1. EVALUACIÓN DEL DESEMPEÑO

9.1 SEGUIMIENTO, MEDICIÓN, ANÁLISIS Y EVALUACIÓN

9.2 AUDITORÍA INTERNA

9.3 REVISIÓN POR LA DIRECCIÓN

  1. MEJORA

10.1 NO CONFORMIDADES Y ACCIONES CORRECTIVAS

10.2 MEJORA CONTINUA

ISO 22301:2019 Sistemas de gestión de continuidad del negocio.

British Standards Institution, publicó la norma BS 25999 partes 1 y 2 para establecer la gestión de la continuidad de negocio en las organizaciones, con base en esta norma en el año de 2012 se publicó la ISO 22301.

Continuidad de Negocio. Capacidad de la organización para continuar con la entrega de productos o servicios a los niveles predefinidos aceptables después de un evento perjudicial.

“Esta norma especifica los requisitos para la creación y gestión de un Sistema de Gestión de

Continuidad de Negocio (BCMS, por sus siglas en inglés) efectivo.

Un BCMS hace énfasis en la importancia de:

Entender las necesidades de la organización y la necesidad de establecer una gestión de Continuidad de Negocio, sus objetivos y política.

Implementar y operar los controles y medidas para administrar la capacidad general de una organización en responder a incidentes.

Hacer el seguimiento y revisión de la eficacia del BCMS Mejorar continuamente basado en mediciones objetivas.

El BCMS, como todos los sistemas de gestión, contiene los siguientes componentes claves:

a) Una política;

b) Personas con responsabilidades definidas;

c) Gestión de los procesos relativos a:

1)            Política,

2)            Planeación,

3)            Implementación y operación,

4)            Evaluación de desempeño,

5)            Análisis de la gestión, y

6)            Mejoramiento.

d) Documentación que proporcione evidencia auditable; y

e) Cualquier proceso de gestión de la continuidad de negocio pertinente para la organización.

La Continuidad de Negocio contribuye a una sociedad con mayor resiliencia. La comunidad en general y el impacto del ambiente organizacional en la organización y en otras organizaciones, podrían estar involucrados en el proceso de recuperación.”

Requisitos de ISO 22301-2019

Contenido

Prefacio

Introducción

1              Alcance

2              Referencias normativas

3              Términos y definiciones

4              Contexto de la organización

4.1          Comprensión de la organización y su contexto.

4.2          Comprender las necesidades y expectativas de las partes interesadas

4.2.1   General

4.2.2 Requisitos legales y reglamentarios

4.3          Determinar el alcance del sistema de gestión de continuidad del negocio

4.3.1   General

4.3.2 Alcance del sistema de gestión de continuidad del negocio

4.4          Sistema de gestión de continuidad del negocio

5              Liderazgo

5.1          Liderazgo y compromiso

5.2          Política

5.2.1 Establecer la política de continuidad del negocio

5.2.2 Comunicación de la política de continuidad del negocio.

5.3          Roles, responsabilidades y autoridades

6              Planificación

6.1          Acciones para abordar riesgos y oportunidades

6.1.1 Determinar riesgos y oportunidades

6.1.2 Abordar riesgos y oportunidades

6.2          Objetivos de continuidad del negocio y planificación para alcanzarlos

6.2.1 Establecer objetivos de continuidad del negocio

6.2.2 Determinar objetivos de continuidad del negocio

6.3          Planificación de cambios en el sistema de gestión de continuidad del negocio

7              Soporte

7.1          Recursos

7.2          Competencia

7.3          Conciencia

7.4          Comunicación

7.5          Información documentada

7.5.1   General

7.5.2 Crear y actualizar

7.5.3 Control de información documentada

8              Operación

8.1          Planificación y control operacional

8.2          Análisis de impacto empresarial y evaluación de riesgos

8.2.1   General

8.2.2 Análisis de impacto empresarial

8.2.3 Evaluación de riesgos

8.3          Estrategias y soluciones de continuidad empresarial

8.3.1   General

8.3.2 Identificación de estrategias y soluciones.

8.3.3 Selección de estrategias y soluciones.

8.3.4 Requisitos de recursos

8.3.5 Implementación de soluciones

8.4          Planes y procedimientos de continuidad comercial

8.4.1   General

8.4.2 Estructura de respuesta

8.4.3 Advertencia y comunicación

8.4.4 Planes de continuidad del negocio

8.4.5 Recuperación

8.5          Programa de ejercicios

8.6          Evaluación de la documentación y las capacidades de continuidad del negocio.

9              Evaluación de desempeño

9.1          Monitoreo, medición, análisis y evaluación.

9.2          Auditoría interna

9.2.1   General

9.2.2 Programas de auditoría

9.3          Revisión de la gerencia

9.3.1   General

9.3.2 Aporte de revisión de la gerencia

9.3.3 Resultados de la revisión de gestión

10           Mejora

10.1        No conformidad y acción correctiva

10.2        Mejora continua

BILIOGRAFIA

NORMA TÉCNICA COLOMBIANA

NTC-ISO/IEC 20000-1: 2018 TECNOLOGÍA DE LA INFORMACIÓN.

GESTIÓN DEL SERVICIO. PARTE 1: REQUISITOS DEL SISTEMA DE GESTIÓN DEL SERVICIO

INTERNACIONAL STANDARD

ISO/IEC 20000-1 2005-12-15

INFORMATION TECHNOLOGY – SERVICES MANAGEMENT. PART 1: SPECIFICATION.

NORMA TÉCNICA COLOMBIANA

NTC IEC 27001:2013-12-11 TECNOLOGÍA DE LA INFORMACIÓN.

TÉCNICAS                           DE    SEGURIDAD.    SISTEMAS    DE GESTIÓN      DE      LA     SEGURIDAD      DE      LA INFORMACIÓN. REQUISITOS

NORMA TÉCNICA PERUANA

NTP-ISO/IEC 17799:2007

EDI. TECNOLOGÍA DE LA INFORMACIÓN. CÓDIGO DE BUENAS

PRÁCTICAS PARA LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

NORMA TÉCNICA COLOMBIANA

NTC 5722: 2012-10-31 CONTINUIDAD DE NEGOCIO.

SISTEMAS  DE  GESTIÓN  DE  CONTINUIDAD   DE NEGOCIO. REQUISITOS

INFORME SURVEY DICIEMBRE DE 2015 DE ISO. NÚMERO DE EMPRESAS CERTIFICADAS POR MODELO Y PÁIS.

Dejar una contestacion