COMPILACIN BIBLIOGRFICA: ISO/IEC 20000 (ESTNDAR BRITNICO 15000), NORMAS IEEE SOBRE SOFTWARE E INGENIERA DE SOFTWARE; NORMAS ISO/IEC

15404: SPICE, ISO/IEC 15408:2005, ISO/IEC 19770:2006, ISO/IEC 12207

JORGE ENRIQUE URREA SERNA CODIGO: 1700613397

AUDITORIA INFORMATICA

UNIVERSIDAD DE CALDAS FACULTAD DE INGENIERAS PROGRAMA DE INGENIERA DE SISTEMAS Y COMPUTACIN MANIZALES, OCTUBRE DE 2010

Tabla de contenido
Introduccin General .......................................................................................................................... 4 Marco Terico ..................................................................................................................................... 5 ISO/IEC 20000.................................................................................................................................. 8 Historia y Evolucin ..................................................................................................................... 8 Descripcin General .................................................................................................................... 9 Desarrollo de la Temtica.......................................................................................................... 10 Comparacin con COBIT ............................................................................................................ 15 NORMAS IEEE SOBRE SOFTWARE E INGENIERA DE SOFTWARE .................................................. 16 Historia y Evolucin ................................................................................................................... 16 Descripcin General .................................................................................................................. 18 Desarrollo de la Temtica.......................................................................................................... 20 Comparacin con COBIT............................................................................................................ 24 ISO/IEC 15404:SPICE...................................................................................................................... 25 Historia y evolucin ................................................................................................................... 25 Desarrollo de la Temtica.......................................................................................................... 27 Comparativa con COBIT............................................................................................................. 28 ISO/IEC 15408:2005 ...................................................................................................................... 30 Historia y Evolucin ................................................................................................................... 30 Descripcin general ................................................................................................................... 31 Desarrollo de la temtica .......................................................................................................... 32 ISO/IEC 19770:2006 ...................................................................................................................... 38 Historia y Evolucin ................................................................................................................... 38 Descripcin general ................................................................................................................... 39 Desarrollo de la temtica .......................................................................................................... 40 Comparacin con COBIT ............................................................................................................ 47 ISO/IEC 12207................................................................................................................................ 48 Historia y Evolucin ................................................................................................................... 48 Descripcin general ................................................................................................................... 49 Desarrollo de la temtica .......................................................................................................... 50 Comparacin con COBIT ............................................................................................................ 53

Resumen........................................................................................................................................ 54 Conclusiones y Observaciones ...................................................................................................... 58 Bibliografa .................................................................................................................................... 59

Introduccin General
Anteriormente los procesos de las empresas no tenan ningn soporte en TI, pero actualmente cada vez ms empresas necesitan apoyarse en mejorases practicas tecnolgicas para poder expandir su negocio y utilizar las mejores tecnologas existentes para sus clientes finales. Actualmente las TI trascienden las fronteras de la compaa y es un punto clave para el mejoramiento de la imagen de las empresas y mantener las buenas relaciones con las dems empresas del entorno. Lo anterior es especialmente cierto para compaas industriales, financiera, de tratamiento de aguas, entre otras ya que no solo basta con tener buenos servicios de TI sino demostrar una buena infraestructura tecnolgica y sostenible para ofrecer a sus clientes.

Marco Terico
La Organizacin Internacional para la Estandarizacin o ISO, nacida tras la Segunda Guerra Mundial (23 de febrero de 1947), es el organismo encargado de promover el desarrollo de normas internacionales de fabricacin, comercio y comunicacin para todas las ramas industriales a excepcin de la elctrica y la electrnica. Su funcin principal es la de buscar la estandarizacin de normas de productos y seguridad para las empresas u organizaciones a nivel internacional. La Comisin Electrotcnica Internacional (CEI o IEC) es una organizacin de normalizacin en los campos elctrico, electrnico y tecnologas relacionadas. Numerosas normas se desarrollan conjuntamente con la ISO (normas ISO/IEC). La CEI, fundada en 1904 durante el Congreso Elctrico Internacional de San Luis (EEUU), y cuyo primer presidente fue Lord Kelvin, tena su sede en Londres hasta que en 1948 se traslad a Ginebra. Integrada por los organismos nacionales de normalizacin, en las reas indicadas, de los pases miembros, en 2003 pertenecan a la CEI ms de 60 pases.

ISO/IEC 20000 (International Organization for Standardization) e IEC (International Electrotechnical Commission), es la primera norma de gestin de servicios de TI que funciona en un entorno totalmente integrado para proveer servicios de TI de calidad del negocio para los clientes. La norma proporciona la base para probar que una organizacin de TI ha implantado buenas prcticas para la gestin del servicio y que las est usando de forma regular y consistente. La norma ISO/IEC 20000 est estructurada en dos documentos: ISO/IEC 20000-1: este documento incluye el requisito de las normas obligatorias que el proveedor de TI debe cumplir para asegurar la calidad del servicio que responda a las necesidades de la empresa y los clientes. ISO/IEC 20000-2: este documento pretende ayudar a la organizacin a establecer los procesos de forma que cumplan con los objetivos de la primera parte.

ISO/IEC 20000 es una norma internacional que proporciona un marco de referencia para todas las empresas que presten servicios de TI, dando un estndar y una terminologa comn para todos los implicados proveedores, suministradores y clientes.

Esta norma solo se otorga a organizaciones que gestionen los servicios de TI y la norma certifica solamente el buen funcionamiento de las operaciones de la empresa y no entra en una competencia de certificacin de productos o de servicios de consultora y va dirigida a organizaciones que busquen mejorar sus servicios de TI, negocios que necesiten un enfoque consistente en la cadena de suministros, organizaciones de TI que precisen demostrar su capacidad y proveedores de servicios que requieran medir sus servicios de TI.

El organismo IEEE posee varios nmeros de estndar para el desarrollo de software, cada uno con un mbito diferente. Aunque cabe aclarar que para acceder al contenido de cada uno de estos documentos se debe poseer una membreca de la IEEE de tipo Standars y por esta restriccin no se hablara con mucha profundidad sobre estos estndares a excepcin de algunos que si se encuentran de forma libre. Estas normas son aplicadas en todo mbito ingenieril pero en el desarrollo del documento se enfocara en las normativas y estndares impuestos para el desarrollo de sistemas de informacin en ingeniera de software y para los ingenieros de software en especial.

El proyecto SPICE (Software Process Improvement and Capability dEtermination) es una actividad del WG 10 del Subcomit 7 del ISO/IEC JTC1, un estndar internacional para procesos de desarrollo de software que provea de un marco de trabajo uniforme para gestin e ingeniera del software. SPICE es una norma que trata los procesos de ingeniera, gestin, relacin clienteproveedor, de la organizacin y del soporte. Fue creado por la alta competencia del mercado de desarrollo de software, a la difcil tarea de identificar los riesgos, cumplir con el calendario, controlar los costos y mejorar la eficiencia y calidad. Este engloba un modelo de referencia para los procesos y sus potencialidades sobre la base de la experiencia de compaas grandes, medianas y pequeas.

El estndar Cobit (Control Objectives for Information and related Technology) ofrece un conjunto de mejores prcticas para la gestin de los Sistemas de Informacin de las organizaciones.

El objetivo principal de Cobit consiste en proporcionar una gua a alto nivel sobre puntos en los que establecer controles internos con tal de: Asegurar el buen gobierno, protegiendo los intereses de los stakeholders (clientes, accionistas, empleados, etc.) Garantizar el cumplimiento normativo del sector al que pertenezca la organizacin Mejorar la eficacia de los procesos y actividades de la organizacin Garantizar la confidencialidad, integridad y disponibilidad de la informacin El estndar define el trmino control como: Polticas, procedimientos, prcticas y estructuras organizacionales diseadas para proveer aseguramiento razonable de que se lograrn los objetivos del negocio y se prevendrn, detectarn y corregirn los eventos no deseables

ISO/IEC 20000
Historia y Evolucin

La serie ISO/IEC 20000 - Service Management normalizada y publicada por las organizaciones ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission) el 14 de diciembre de 2005, es el estndar reconocido internacionalmente en gestin de servicios de TI (Tecnologas de la Informacin). La serie 20000 proviene de la adopcin de la serie BS 15000 desarrollada por la entidad de normalizacin britnica, la British Standards Institution (BSI).

Descripcin General

La gestin de una entrega efectiva de los servicios de TI es crucial para las empresas. Hay una percepcin de que estos servicios no estn alineados con las necesidades y requisitos del negocio. Esto es especialmente importante tanto si se proporciona servicios internamente a clientes como si se est subcontratado proveedores. Una manera de demostrar que los servicios de TI estn cumpliendo con las necesidades del negocio es implantar un Sistema de Gestin de Servicios de TI (SGSTI) basado en los requisitos de la norma ISO/IEC 20000. La certificacin en esta norma internacional permite demostrar de manera independiente que los servicios ofrecidos cumplen con las mejores prcticas. ISO/IEC 20000 est basada y reemplaza a la BS 15000, la norma reconocida internacionalmente como una British Standard (BS), y que est disponible en dos partes: una especificacin auditable y un cdigo de buenas prcticas. La ISO/IEC 20000 es totalmente compatible con la ITIL (IT Infrastructure Library), o gua de mejores prcticas para el proceso de GSTI. La diferencia es que el ITIL no es medible y puede ser implantado de muchas maneras, mientras que en la ISO/IEC 20000, las organizaciones deben ser auditadas y medidas frente a un conjunto establecido de requisitos. La ISO/IEC 20000 es aplicable a cualquier organizacin, pequea o grande, en cualquier sector o parte del mundo donde confan en los servicios de TI. La norma es particularmente aplicable para proveedores de servicios internos de TI, tales como departamentos de Informacin Tecnolgica, proveedores externos de TI o incluso organizaciones subcontratadas. La norma est impactando positivamente en algunos de los sectores que necesitan TI tales como subcontratacin de negocios, Telecomunicaciones, Finanzas y el Sector Pblico.

Desarrollo de la Temtica

La norma proporciona la base para probar que una organizacin de TI ha implantado buenas prcticas para la gestin del servicio y que las est usando de forma regular y consistente. La norma ISO/IEC 20000 est estructurada en dos documentos: ISO/IEC 20000-1: este documento incluye el requisito de las normas obligatorias que el proveedor de TI debe cumplir para asegurar la calidad del servicio que responda a las necesidades de la empresa y los clientes. ISO/IEC 20000-2: este documento pretende ayudar a la organizacin a establecer los procesos de forma que cumplan con los objetivos de la primera parte.

ISO/IEC 20000 es una norma internacional que proporciona un marco de referencia para todas las empresas que presten servicios de TI, dando un estndar y una terminologa comn para todos los implicados proveedores, suministradores y clientes.

Contenido de ISO/IEC 20000

Esta norma se basa en la integracin de los procesos de TI y en la buena gestin de sus servicios. Estas especificaciones son un consenso en la industria para la correcta gestin de los servicios de TI. La norma ISO/IEC 20000 cubre las siguientes secciones: A. El Sistema de Gestin de Servicios de TI (SGSTI) Habla de las polticas para realizar la correcta implantacin de servicios de TI, SGSTI cubre los aspectos de responsabilidad de la direccin, requisitos de la documentacin, competencia, concienciacin y formacin. B. Planificacin e Implantacin de la Gestin del Servicio En la actualidad se hace necesaria que la calidad del servicio de TI mejore continuamente, por este motivo la norma ISO/IEC 20000 utiliza el modelo de mejora de la calidad de W. Edward Deming para poder validar este objetivo. Esta parte de la norma cubre los apartados de planificacin de la gestin del servicio, implementar la gestin y provisin del servicio, monitorizar, medir y verificar y mantener y mejorar continuamente. C. Planificacin e Implementacin de Servicios, Nuevos o Modificados Esta seccin tiene como nico objetivo hacer que la creacin, modificacin e incluso la eliminacin de un nuevo servicio sea con los costes, calidad y plazos acordados, para ello se gestiona todo el ciclo de los servicios todo esto empieza con el cliente y finaliza con la

entrega operativa del servicio o su eliminacin, este proceso es inexistente en ITIL tanto en su versin 2 como en la 3. D. Proceso de Provisin de Servicio En esta seccin se tratan los requisitos necesarios para cubrir la provisin de los servicios que el cliente necesita, y todo aquello que es necesario en TI para poder prestar estos servicios, para ello ISO/IEC 20000 los divide en una serie de procesos con objetivos especficos: Gestin de nivel de servicio Generacin de informes del servicio Gestin de la continuidad y disponibilidad del servicio Elaboracin de presupuesto y contabilidad de los servicios de TI Gestin de la capacidad Gestin de seguridad de la informacin E. Procesos de Relaciones Se centran en dos relaciones fundamentalmente, la primera con el negocio y sus clientes y la otra con los suministradores o proveedores con los cuales sera imposible la evolucin y mejoramiento del servicio. Tambin es importante decir que esta parte de la norma ISO/IEC 20000 influencio a ITIL v3 en la parte de suministros pero con la diferencia que esta norma creo su proceso especfico para su correcta gestin. F. Procesos de Resolucin Los procesos de resolucin son gestin del incidente y gestin del problema, estos procesos tienen un alto grado de relacin aunque tienen objetivos diferenciados. Gestin del incidente se encarga de la recuperacin de los servicios a los usuarios tan pronto como sea posible, y gestin del problema tiene la misin de identificar y eliminar las causas de los incidentes para que no vuelvan a producirse. G. Procesos de Control Este proceso permite la gestin y control del cambio as mismo como su configuracin y obtencin de informacin precisa para el manejo de todos los procesos, esta etapa cuenta con dos subprocesos gestin de la configuracin y gestin del cambio.

H. Procesos de Entrega El objetivo de este proceso es entregar, distribuir y realizar el seguimiento de uno o ms cambios en la entrega en el entorno de produccin real, para garantizar este objetivo el proceso tiene una visin global de todos los servicios y as asegurar la entrega al cliente.

Organizacin

El estndar se organiza en cinco partes, de las cuales cuatro estn ya publicadas y una en proceso de publicacin:

Parte 1: ISO/IEC 20000-1:2005 - Especificacin. Preparada por BSI como BS 150001 Parte 2: ISO/IEC 20000-2:2005 - Cdigo de Prcticas. Preparada por BSI como BS 15000-2 Parte 3: ISO/IEC TR 20000-3:2009 - Gua en la definicin del alcance y la aplicabilidad (informe tcnico) Parte 4: ISO/IEC DTR 20000-4:? - Modelo de referencia de procesos (informe tcnico) Parte 5: ISO/IEC TR 20000-5:2010 - Ejemplo de implementacin (informe tcnico)

Adems, las partes 1 y 2 se encuentran en proceso de revisin y previsiblemente en 2011 se publicarn actualizando su ttulo de la siguiente forma:

Parte 1: ISO/IEC 20000-1:2011 - Requisitos de los sistemas de gestin de servicios Parte 2: ISO/IEC 20000-2:2011 - Gua de implementacin de los sistemas de gestin de servicios

La primera parte (Especificacin) define los requerimientos (217) necesarios para realizar una entrega de servicios de TI alineados con las necesidades del negocio, con calidad y valor aadido para los clientes, asegurando una optimizacin de los costes y garantizando la seguridad de la entrega en todo momento. El cumplimiento de esta parte, garantiza adems, que se est realizando un ciclo de mejora continuo en la gestin de servicios de TI. La especificacin supone un completo sistema de gestin (organizado segn ISO 9001) basado en procesos de gestin de servicio, polticas, objetivos y controles. El marco de procesos diseado se organiza con base en los siguientes bloques:

Grupo de procesos de Provisin del Servicio. Grupo de procesos de Control. Grupo de procesos de Entrega. Grupo de procesos de Resolucin. Grupo de procesos de Relaciones.

La segunda parte (Cdigo de Prcticas) representa el conjunto de buenas prcticas adoptadas y aceptadas por la industria en materia de Gestin de Servicio de TI. Est basada en el estndar de facto ITIL (Biblioteca de Infraestructura de TI) y sirve como gua y soporte en el establecimiento de acciones de mejora en el servicio o preparacin de auditoras contra el estndar ISO/IEC 20000-1:2005.

Rasgos y beneficios

La ISO/IEC 2000 est dividida en las siguientes secciones que definen los requisitos que debe cumplir una organizacin, la cual proporciona servicios a sus clientes con un nivel aceptable de calidad: - Requisitos para la gestin de un sistema. - Implantacin y planificacin de Gestin de Servicios. - Planificacin e implantacin de servicios nuevos o modificados. - Procesos del servicio de entrega. - Procesos relacionales. - Procesos de control. - Procesos de emisin. Demuestra que se tienen procedimientos y controles adecuados in situ para proporcionar un servicio de calidad de TI coherente y a un coste efectivo. Los suministradores de servicios de TI se han vuelto cada vez ms sensibles y responsables con los servicios que prestan ms que de la tecnologa que puedan proporcionar. Los proveedores externos de servicios pueden usar la certificacin como un elemento diferenciador y acceder a nuevos clientes, ya que esto cada vez ms se convierte en una exigencia contractual. Permite seleccionar, gestionar y proporcionar un servicio externo ms efectivo. Ofrece oportunidades para mejorar la eficiencia, fiabilidad y consistencia de sus servicios de TI que impactan positivamente tanto en los costes como en el servicio.

Certificacin

La aparicin de la serie ISO/IEC 20000, ha supuesto el primer sistema de gestin en servicio de TI certificable bajo norma reconocida a nivel mundial. Hasta ahora, las organizaciones podan optar por aplicar el conjunto de mejoras prcticas dictadas por ITIL (completadas por otros estndares como CMMI o COBIT) o certificar su gestin contra el estndar local britnico BS 15000. La parte 1 de la serie, ISO/IEC 20000-1:2005 representa el estndar certificable. En febrero de 2006, AENOR (organizacin delegada en Espaa de ISO/IEC) inici el mecanismo de adopcin y conversin de la norma ISO/IEC 20000 a norma UNE. El viernes 23 de junio de 2006, la organizacin itSMF hace entrega a AENOR de la versin traducida de la norma. En el BOE del 25 de julio de 2007 ambas partes se ratificaron como normas espaolas con las siguientes referencias:

UNE-ISO/IEC 20000-1:2007 Tecnologa de la informacin. Gestin del servicio. Parte 1: Especificaciones (ISO/IEC 20000-1:2005). UNE-ISO/IEC 20000-2:2007 Tecnologa de la informacin. Gestin del servicio. Parte 2: Cdigo de buenas prcticas (ISO 20000-2:2005).

Estas normas pueden adquirirse a travs del portal web de AENOR. Cualquier entidad puede solicitar la certificacin respecto a esas normas. En Mxico, la adquisicin de las Normas Mexicanas (NMX) correspondientes a la serie ISO/IEC 20000, as como la certificacin bajo dicha norma, puede obtenerse a travs del Organismo de Certificacin acreditado: NYCE, A.C. (Normalizacin y Certificacin Electrnica, A.C.)

Referencias

ISO/IEC 20000-1, Information technology - Service management - Part 1: Specification. ISO/IEC 20000-2, Information technology - Service management - Part 2: Code of practice. ISO/IEC TR 20000-3, Information technology - Service management - Part 3: Guidance on scope definition and applicability of ISO/IEC 20000-1 ISO/IEC TR 20000-5, Information technology - Service management - Part 5: Exemplar implementation plan for ISO/IEC 20000-1

ISO/IEC 27001:2005 Information technology - Security techniques - Information security management systems - Requirements. ISO 9001:2008, Quality management systems - Requirements.

Comparacin con COBIT

El control de los procesos tecnolgicos se est convirtiendo en una parte esencial de las relaciones de negocio prcticamente en toda la industria y son esenciales para implementar las mejores prcticas ITIL y, de esta forma, obtener la certificacin ISO/IEC 20000. ISO/IEC 20000 como se ha dicho antes su objetivo principal es la mejora continua de los servicios de TI adems las organizaciones pueden utilizar COBIT para materializar las medidas de los avances en el logro de nuevos niveles de mejora a medida que la gestin de los servicios gana en madurez. COBIT es ms un mecanismo de medicin y control, mientras ISO/IEC 20000 busca la gestin de los servicios y su integracin con una mejora continua, apoyndose mutuamente en las prcticas de ITIL y otros sistemas de mejora de la calidad de TI.

NORMAS IEEE SOBRE SOFTWARE E INGENIERA DE SOFTWARE

Historia y Evolucin

El ltimo cuarto del siglo diecinueve fue marcado por un tremendo crecimiento en la tecnologa elctrica. La Pearl Street Station de Thomas Edison estaba brindando el poder para abastecer la iluminacin incandescente, haba numerosas empresas fabricando equipo elctrico. Este gran crecimiento en la actividad elctrica incit al Franklin Institute para patrocinar una Exhibicin Elctrica Internacional en Filadelfia en 1884. Esta exhibicin fue el catalizador que produjo la formacin del Instituto Americano de Ingenieros Elctricos (American Institute of Electrical Engineers, AIEE), el antepasado del actual Instituto de Ingenieros Electrnicos y Electricistas (IEEE). Una de las actividades importantes del AIEE era el desarrollo de normas para la profesin de la ingeniera y la industria elctrica. Los esfuerzos ms tempranos del Instituto se dirigieron hacia regularizar las unidades, definiciones, y nomenclatura que relacionan a la ciencia elctrica bsica. Como fue explicado por Arturo E. Kennelly, presidente de AIEE de 1898 a 1900, el propsito de este comit era el "definir y declarar en un lenguaje simple, la naturaleza, caractersticas, conducta, valuacin, y mtodos para probar maquinarias y aparatos elctricos, particularmente con una vista en preparar las normas de prueba de aceptacin para la industria elctrica." A inicios del siglo 20, el AIEE haba tomado su lugar junto a las sociedades de la ingeniera ms viejas. Como el alcance de ingeniera elctrica se haba extendido, los ingenieros se volvieron ms especializados y se comprometieron a buscar e intercambiar la informacin con otros de las mismas especialidades. As, en 1903, el primer Comit Tcnico, el Comit de Transmisin de Alto Voltaje, se form. Un grupo de ingenieros elctricos especializados, sin embargo, no se senta totalmente en casa en los establecimientos y temas en los que el AIEE estaba fuertemente orientado. Como con el AIEE, uno de las preocupaciones principales de la IRE era la estandarizacin. El crecimiento de la IRE reflej el crecimiento de la industria de la radio en general. Como pas en el AIEE, los miembros de la IRE que comparti una especialidad tcnica comn buscaron maneras de actuar recprocamente ms directamente. Durante los primeros treinta aos de su existencia, la IRE era una de las ms pequeas sociedades de ingeniera. Pero los miembros de IRE eran practicantes de la tecnologa del futuro. Los aos despus

de que el Segunda Guerra Mundial trajo los cambios drsticos al campo de ingeniera elctrica y un crecimiento continuo en los miembros de esta sociedad. La fusin era cada vez ms lgica. Ninguna sociedad represent la amplitud total de la ingeniera elctrica de manera adecuada. Hubo duplicacin de personal, publicaciones, y actividades. Las dificultades se superaron primero en los campus de las universidades; en 1950, las directivas de ambas sociedades autorizaron la creacin de Ramas Estudiantiles Unidas. Representantes de las dos sociedades se encontraron y se pusieron en orden para la cita que iba a tratar acerca de la unin de un Comit ad hoc que tratara especficamente de la fusin. El 87 por ciento de los miembros de la votacin de cada sociedad aprobaron la fusin. Donald Fink, un compaero del AIEE y la IRE, fue escogido como el Gerente General del nuevo Instituto de Ingenieros Elctricos y Electrnicos. El 1 de enero de 1963, el IEEE naci. En 1973, el IEEE tom un paso fuera de las tradiciones de sus predecesores. Con la adopcin de una nueva constitucin, el IEEE dej su papel de "sociedad sabia", que slo tena relacin con el avance y diseminacin de conocimiento, y tom el papel de una "sociedad profesional" interesado tanto en lo tcnico como en lo no tcnico de sus miembros. El directorio de Actividades en los Estados Unidos, apoyados por una valoracin anual pagada por los residentes americanos, fue creado para vigilar los funcionamientos no tcnicos del IEEE dentro de los Estados Unidos. Hoy, con ms de un cuarto de milln de miembros, el IEEE es la sociedad profesional ms grande del mundo, y sus actividades se extienden ms all de las visiones iniciales que sus antepasados pudieron prever. Permanece, sin embargo, como hace un siglo, siendo el primer portavoz para el campo tecnolgico ms significante y excitante de su tiempo.

Descripcin General

En la actualidad las normas IEEE para la ingeniera del software son amplias y se encuentran en un grado de madures que les permiten servir como eje de calidad para los proyectos que se realicen en este campo, a continuacin solo se nombraran algunas y ms adelante se describirn las ms relevantes y su importancias para la ingeniera actual, dichas normas son: 610 - IEEE Standard Glossary of Software Engineering Terminology 1002 - IEEE Standard Taxonomy for Software Engineering Standards 1058.1: IEEE Plan para la Gestin de Proyectos Software 1348 - IEEE Recommended Practice for the Adoption of Computer-Aided Software Engineering (CASE) Tools 12207 - ISO/IEC/IEEE Standard for Systems and Software Engineering Software Life Cycle Processes 14764 - International Standard - ISO/IEC 14764 IEEE Std 14764-2006 Software Engineering -Software Life Cycle Processes - Maintenance 15288 - ISO/IEC/IEEE Systems and Software Engineering - System Life Cycle Processes 15939 - IEEE Standard adoption of ISO/IEC 15939:2007 systems and software engineering measurement process 16085 - Systems and Software Engineering - Life Cycle Processes - Risk Management 16326 - Systems and software engineering - Life cycle processes - Project management 90003 - IEEE Guide--Adoption of ISO/IEC 90003:2004 Software Engineering-Guidelines for the Application of ISO 9001:2000 to Computer Software 1471 - ISO/IEC Standard for Systems and Software Engineering - Recommended Practice for Architectural Description of Software-Intensive Systems 1633 - IEEE Recommended Practice on Software Reliability 42010 - ISO/IEC Standard for Systems and Software Engineering - Recommended Practice for Architectural Description of Software-Intensive Systems 14471 - IEEE Draft Guide Adoption of ISO/IEC TR14471 Information technology Software engineering - Guidelines for the adoption of CASE tools 15289 - Draft Standard X Software and systems engineering -- Content of life-cycle information products (documentation) 23026 - IEEE Standard for Software Engineering - Recommended Practice for the Internet - Web Site Engineering, Web Site Management, and Web Site Life Cycle

24748 - ISO/IEC Draft IEEE Guide Systems and software engineering-Guide for life cycle processes 24765 - Draft International Standard -- Systems and Software Engineering -Vocabulary 26512 - IEEE Draft Standard Systems and software engineering - Requirements for acquirers and suppliers of user documentation 26513 - IEEE Draft Standard Adoption of ISO/IEC 26513:2009 -- Systems and Software Engineering -- Requirements for Testers and Reviewers of User Documentation 26514 - IEEE Draft Standard Adoption of ISO/IEC 26514:2008 - Systems and Software Engineering - Requirements for Designers and Developers of User Documentation

Desarrollo de la Temtica 610 - IEEE Standard Glossary of Software Engineering Terminology

Glosario de Terminologa de Ingeniera de Software Estndar IEEE, que identifica los trminos que se utilizan actualmente en el campo de la ingeniera de software. Definiciones estndar para los trminos establecidos. El campo de la informtica sigue ampliando los trminos y significados que se estn utilizando. El estndar IEEE 610 se llev a cabo para documentar este vocabulario. Su propsito es identificar los trminos que se utilizan actualmente en el campo de la computacin y para establecer definiciones estndar para estos trminos. El diccionario est destinado a servir como referencia til para aquellos en el campo de la computacin y para los que entran en contacto con los ordenadores a travs de su trabajo o en su vida cotidiana. Este diccionario se desarrollando para varias areas que comprenda la ingeniera del software entre ellas la seguridad informtica, las comunicaciones, desarrollo grficos, inteligencia artificial entre otros. Todos los trminos se han introducido segn los criterios anteriores y se han dejado trminos cuyo significado sea ms entendible en el ingls estndar. Las dems normas se han desarrollado con base a este conocimiento ya que si se presentan confusiones o equivocaciones se podrn resolver mediante la consulta a esta norma. Este glosario es una actualizacin y expansin de la IEEE Std 729-1983 y del anterior glosario de la ANSI cuyos trminos fueron aumentados de 500 a 1300.
1002 - IEEE Standard Taxonomy for Software Engineering Standards

Taxonoma De Las Normas Estndar De Ingeniera Del Software, las aplicaciones no estn restringidas a la ingeniera del software, el tamao, la complejidad, la criticidad, o entorno de hardware. Esta taxonoma se aplica a las normas (de las disciplinas relacionadas con la gestin de la ingeniera, ingeniera de sistemas, ingeniera de hardware, informtica y ciencias de la informacin) con el que un ingeniero de software estara familiarizado. Esta taxonoma es una aplicacin independiente. La norma explica los diferentes tipos de pautas de ingeniera de software, sus relaciones funcionales y externa, y el papel de las distintas funciones que participan en el ciclo de vida del software.
1058.1: IEEE Plan para la Gestin de Proyectos de Software

Este estndar especifica el formato y contenidos de los planes para la gestin de proyectos de software. No especifica las tcnicas exactas que pueden ser usadas en el desarrollo de los planes de proyectos, ni ofrece ejemplos de los planes de gestin de proyectos. Cada organizacin que usa este estndar debera desarrollar un conjunto de

prcticas y procedimientos para proporcionar una gua detallada para la preparacin y actualizacin de los planes de gestin de los proyectos software basada en este estndar. No todos los proyectos de software estn afectados con el desarrollo de cdigo fuente para el desarrollo de un nuevo producto software. Algunos proyectos software consisten en el estudio de viabilidad y definicin de los requisitos del producto software. Este estndar Contiene tres secciones. La Seccin 1 define el alcance de este estndar y proporciona referencias a otros estndares IEEE que deberan ser seguidos cuando se aplique este estndar. La Seccin 2 proporciona la definicin de los trminos que son usados a lo largo de este estndar. La Seccin 3 contiene una visin general y una especificacin detallada del estndar, incluyendo los componentes requeridos que deben ser incluidos, y componentes adicionales que pueden ser incluidos en el plan del proyecto basado en este estndar. En la mayora de los casos, los planes de proyecto basados en este estndar sern desarrollados por la iteracin repetida y refinamiento de varios elementos del plan. Este estndar est destinado a aquellos gestores de proyectos software y a otro personal que prepare o actualice planes de proyectos y estn adheridos a esos planes.
12207 - ISO/IEC/IEEE Standard for Systems and Software Engineering Software Life Cycle Processes

ISO/IEC/IEEE estndar de Sistemas e Ingeniera de Software Ciclo de Vida de los Procesos de Software, esta norma establece un marco comn para los procesos del ciclo de vida del software, con una terminologa bien definida, que puede ser referenciado por la industria del software. Se aplica a la adquisicin de sistemas y productos de software y servicios, empezando por los requerimientos, desarrollo, implementacin, mantenimiento y eliminacin de productos de software, ya sea de forma interna o externa a la organizacin. Esta revisin integra la norma ISO/IEC 12207:1995, con sus dos enmiendas y se coordin con la revisin paralela de la norma ISO/IEC 15288:2002 (procesos del ciclo de vida del sistema) para alinear la estructura, trminos, y los correspondientes procesos de organizacin y de proyectos. Esta norma se puede utilizar independiente o conjuntamente con la norma ISO/IEC 15288, y proporciona un modelo de referencia que apoya el proceso de evaluacin, de conformidad con la norma ISO/IEC 15504-2 (evaluacin de procesos). En un anexo proporciona soporte para los usuarios IEEE y describe las relaciones de esta norma internacional para los estndares IEEE.

14764 Standard for Software Engineering Software Life Cycle Processes Maintenance

Esta Norma Internacional describe en mayor detalle la gestin del proceso de mantenimiento descrito en la norma ISO/IEC 12207, incluidas las enmiendas, tambin establece las definiciones de los diversos tipos de mantenimiento. Proporciona orientacin que se aplica a la planificacin, ejecucin y control, revisin y evaluacin, y el cierre de los procesos de mantenimiento. El mbito de aplicacin de esta norma internacional incluye el mantenimiento de mltiples productos de software con los mismos recursos de mantenimiento. Esta norma tiene por objeto proporcionar orientacin para la planificacin y el mantenimiento de productos o servicios de software, ya sea de forma interna o externa a la organizacin.
15939 - IEEE Standard adoption of ISO/IEC 15939:2007 systems and software engineering measurement process

Estndar IEEE para la Adopcin de la Norma ISO/IES 15939:2007 del Sistema de Ingeniera del Software para la Medicin de Procesos, el proceso se describe a travs de un modelo que define las actividades del proceso de medicin que se requieren para especificar la informacin adecuada, como las medidas y los resultados de los anlisis deben aplicarse, y cmo determinar si los resultados del anlisis son vlidos. El proceso de medicin es flexible, modificable, y adaptable a las necesidades de diferentes usuarios. Esta Norma Internacional identifica un proceso que apoya la definicin de un conjunto adecuado de medidas que aborden las necesidades especficas de informacin. Iguala las actividades y tareas que son necesarias para identificar, definir, seleccionar, aplicar y mejorar la medicin dentro de un proyecto global o la estructura de medicin de la organizacin. Tambin proporciona definiciones de los trminos de medicin de uso comn.
16326 - Systems and software engineering - Life cycle processes - Project management

Sistemas e Ingeniera del Software Ciclo de Vida de Procesos Gestin de proyectos, ISO/IEC/IEEE 16326:2009 proporciona normativo especificaciones del contenido de los planes de gestin de proyectos que abarcan los proyectos de software. Tambin proporciona una discusin detallada y asesoramiento sobre la aplicacin de un conjunto de procesos de los proyectos que son comunes al software y el ciclo de vida de los sistemas regulados por la norma ISO/IEC 12207:2008 (IEEE Std 12207-2008) e ISO/IEC 15288:2008 (IEEE Std. 152882008), respectivamente. La discusin y asesoramiento destinados a la ayuda en la preparacin del contenido normativo de los planes de gestin de proyectos. La norma ISO/IEC/IEEE 16326:2009 es el resultado de la armonizacin de la norma ISO/IEC TR 16326:1999 y la IEEE Std 1058-1998 previamente explicada.

1633 - IEEE Recommended Practice on Software Reliability

Practicas Recomendadas en la Fiabilidad del Software, Los mtodos para evaluar y predecir la fiabilidad del software, basado en un enfoque del ciclo de vida de confiabilidad del software, se establecen en estas prcticas. Proporciona la informacin necesaria para la aplicacin de la fiabilidad del software, de medicin a un proyecto, establece las bases para la creacin de mtodos que sean compatibles, y establece el principio bsico para la recoleccin de los datos necesarios para evaluar y predecir la fiabilidad del software.
14471 - IEEE Draft Guide Adoption of ISO/IEC TR14471 Information technology -Software engineering - Guidelines for the adoption of CASE tools

Gua de Adopcin para la norma ISO/IEC TR14471 de Tecnologas de la Informacin Ingeniera del Software Directrices para la Adopcin de Herramientas CASE, desde la aprobacin de herramientas CASE es un tema de las tecnologas de transicin, el presente informe tcnico se refiere a la adopcin de prcticas adecuadas para una amplia gama de organizaciones de la informtica. Este informe tcnico ni dicta ni defensores de las normas especiales de desarrollo, los procesos de software, mtodos de diseo, metodologas, tcnicas, lenguajes de programacin, o paradigmas de ciclo de vida.
26513 - IEEE Draft Standard Adoption of ISO/IEC 26513:2009 -- Systems and Software Engineering -- Requirements for Testers and Reviewers of User Documentation

Adopcin de la norma ISO/IEC 26513:2009 Sistemas e Ingeniera del Software Requerimientos para Probadores y Revisin de la Documentacin del Usuario, esta norma establece los requisitos para el examen y revisin de la documentacin del usuario, como parte de los procesos del ciclo de vida. Se define el proceso de documentacin desde el punto de vista del probador de documentacin y revisor. Se especifica el proceso para su uso en las pruebas y el examen de la documentacin del usuario, y proporciona los requisitos mnimos para estas actividades. Es pertinente a las funciones implicadas en la evaluacin y desarrollo de software y la documentacin de usuario, incluidos los directores de proyecto, expertos en usabilidad y desarrolladores de la informacin, adems de los examinadores y evaluadores. Se aplica a ambos la documentacin impresa y la documentacin en pantalla, y es aplicable a la documentacin de usuario para los sistemas que incluyen hardware.
26514 - IEEE Draft Standard Adoption of ISO/IEC 26514:2008 - Systems and Software Engineering - Requirements for Designers and Developers of User Documentation

Se define el proceso de documentacin desde el punto de vista del desarrollador de documentacin. Tambin cubre la documentacin del producto. Se especifica la estructura, contenido y formato de la documentacin del usuario, y tambin proporciona orientacin informativa para el estilo de la documentacin del usuario. Es independiente de las herramientas de software que pueden ser utilizados para producir la

documentacin, y se aplica tanto a la documentacin impresa y la documentacin en pantalla.

Comparacin con COBIT

Dicho estndar se enmarca en un contexto complementario para los indicadores de adquirir e implementar del COBIT (AI2-AI6-AI7), ya que ayudan a lograr rpidamente un modelo de madurez, apoyndose en las normas IEEE para lograr la adquisicin de 15 soluciones y aplicaciones de software los cuales ayudaran a la organizacin a llevar proceso ms automatizados para un mejor funcionamiento de la organizacin. Para el tem AI2 (Adquirir y mantener software aplicativo) permite definir un cronograma para el proceso de adquisicin de software (Cabe aclarar que el IEEE 108.1 se encuentra enfocado al desarrollo) o identificar las prioridades del aplicativo que se posee, entre otros. El tem AI6 (Administrar cambios) permite a travs del IEEE 1058.1 implementar nuevas TI enfocadas al desarrollo de software en la cual por medio de una planificacin organizada permite implementar software exitoso. El tem AI7 (Instalar y acreditar soluciones de cambio) es un claro ejemplo del buen acompaamiento que da el IEEE 1058.1, ya que es ms fcil acreditar una solucin en TI la cual se halla desarrollado a travs de un proceso estricto y una buena planificacin. Este estndar puede ser un claro ejemplo del acompaamiento que debe recibir el COBIT para realizar procesos exitosos.

ISO/IEC 15404:SPICE
Historia y evolucin

En 1991, dado el nmero creciente de Mtodos de evaluacin de procesos disponible, y el uso creciente de estas tcnicas en reas comerciales sensibles, la Organizacin de Estandarizacin internacional ISO aprueba la realizacin de un estudio al respecto de la necesidad de crear un estndar internacional para la evaluacin de procesos. Se crea entonces el proyecto SPICE, que es una importante iniciativa internacional que hasta hace poco exista en apoyo de la Norma Internacional ISO / IEC 15504 para Evaluacin de Procesos (software). Por tanto, el proyecto SPICE fue creado bajo los auspicios del Comit Internacional de estndares de Ingeniera de Software y Sistemas a travs de su Grupo de Trabajo sobre Evaluacin de proceso (WG10). En 1992, el informe del grupo de estudio dice que: ...la comunidad internacional debera poner recursos para desarrollar un estndar para la evaluacin de procesos software, incorporando lo mejor de los mtodos de evaluacin de procesos existentes. ISO decide que sea un desarrollo un estndar para la evaluacin de procesos, pero por pasos: 1. Publicacin inicial como Informe Tcnico Technical Report (borrador de estndar) para que despus de su uso real pase a 2. Revisin y publicacin como estndar internacional IS ISO/IEC 15504 Tecnologas de la Informacin Evaluacin de Procesos (ISO/IEC 15504 Information Technology Process Assessment). Las siglas SPICE significan: Software Process Improvement and Capability dEtermination, es decir Determinacin de la capacidad y mejora de los procesos de SW. El proyecto SPICE tena tres objetivos principales: - desarrollar un borrador de trabajo para un estndar para la evaluacin de procesos de software. - para llevar a cabo los ensayos de la industria de la norma emergente. - promover la transferencia de tecnologa de la evaluacin de procesos de software a la industria del software a nivel mundial. El primer objetivo del proyecto se logr en junio de 1995, con la entrega del borrador de trabajo de la norma para la evaluacin de procesos de software al WG10 para su votacin entre la comunidad de estandarizacin internacional. El Borrador de Trabajo se denominaba comnmente como el conjunto de documentos SPICE (o SPICE Versin 1).

Este primer borrador se bas en otros modelos existentes en aqul momento. Los ensayos de estos primeros documentos SPICE han sido el foco del proyecto SPICE durante el perodo 1994 a 1998. Fue entonces, en 1998 cuando se public la primera familia de estndares ISO TR 15504. Desde entonces ya se comenz a trabajar en la versin de Internacional Standard de la norma, y ahora (desde 2006) est completamente publicado excepto de partes nuevas que aun se estn produciendo. En marzo de 2003, el proyecto SPICE se ha cerrado oficialmente. La Red SPICE se estableci posteriormente con el mandato de seguir coordinando las actividades dentro de la comunidad SPICE. La Red de SPICE est formalmente organizada por el The Spice User Group (www.spiceusergroup.org). Las actividades promocionales estn en curso y se realizan a travs de la Conferencia Internacional SPICE Anual y la publicacin de artculos y libros. Con el fin de apoyar la excelencia y la coherencia de la formacin de los evaluadores, el proyecto SPICE tambin desarroll y lanz un Plan de Estudios de formacin de los evaluadores SPICE que es utilizado actualmente por el Esquema de Registro Internacional de Evaluadores (IntRSA) www.intrsa.org. En el captulo de Roles se desarrollan ms estos detalles de cualificacin y responsabilidades de diferentes roles que se necesitan en los procesos de evaluacin y/o mejora.

Desarrollo de la Temtica

La norma ISO/IEC 15504:SPICE es una norma abierta e internacional para evaluar y mejorar la capacidad y madurez de los procesos. Junto con la ISO 12207, la norma aplica a la evaluacin y mejora de la calidad del proceso de desarrollo y mantenimiento de software. Fue creada por la alta competencia del mercado de desarrollo de software, a la difcil tarea de identificar los riesgos, cumplir con el calendario, controlar los costos y mejorar la eficiencia y calidad. Este engloba un modelo de referencia para los procesos y sus potencialidades sobre la base de la experiencia de compaas grandes, medianas y pequeas. El principal propsito de esta normativa es proporcionar una base comn para los diferentes modelos y mtodos de evaluacin de procesos de software, asegurando que los resultados de la evaluacin sean iguales en un contexto comn. El modelo describe los procesos que una organizacin puede ejecutar, adquirir, suplir, desarrollar, operar, evolucionar, brindar soporte de software y todas las prcticas genricas que caracterizan las potencialidades de estos procesos. La arquitectura se basa en: Prcticas base: Son las actividades esenciales de un proceso especfico, agrupado por categoras de procedimientos y procesos de acuerdo al tipo de actividad que direccionan. Prcticas genricas: Aplicables a cualquier proceso, que representa las actividades necesarias para administrar el proceso y mejorar su potencialidad.

Comparativa con COBIT

En cuanto a la norma ISO/IEC 15404, COBIT la utiliza para ofrecer mecanismos para la medicin de las capacidades de los procesos con objeto de conseguir una mejora continua. Para ello, proporciona indicaciones para valorar la madurez en funcin de la misma clasificacin utilizada por dicha norma.

Nivel 0 Proceso incompleto: El proceso no existe o no cumple con los objetivos Nivel 1 Proceso ejecutado Nivel 2 Proceso gestionado: el proceso no solo se encuentra en funcionamiento, sino que es planificado, monitorizado y ajustado. Nivel 3 Proceso definido: el proceso, los recursos, los roles y responsabilidades se encuentran documentados y formalizado. Nivel 4 Proceso predecible: se han definido tcnicas de medicin de resultados y controles. Nivel 5 Proceso optimizado: todos los cambios son verificados para determinar el impacto, se han definido mecanismos para la mejora continua.

Dominio: Adquisicin e Implementacin Con el objeto de garantizar que las adquisiciones de aplicaciones comerciales, el desarrollo de herramientas a medida y su posterior mantenimiento se encuentren alineados con las necesidades del negocio, el estndar COBIT define los siguientes 7 procesos:

AI1 Identificacin de soluciones: anlisis funcional y tcnico, anlisis del riesgo, estudio de la viabilidad. AI2 Adquisicin y mantenimiento de aplicaciones: Diseo, controles sobre la seguridad, desarrollo, configuracin, verificacin de la calidad, mantenimiento. AI3 Adquisicin y mantenimiento de la infraestructura tecnolgica: Plan de infraestructuras, controles de proteccin y disponibilidad, mantenimiento. AI4 Facilidad de uso: Formacin a gerencia, usuarios, operadores y personal de soporte. AI5 Obtencin de recursos tecnolgicos: control y asignacin los recursos disponibles, gestin de contratos con proveedores, procedimientos de seleccin de proveedores.

AI6 Gestin de cambios: Procedimientos de solicitud/autorizacin de cambios, verificacin del impacto y priorizacin, cambios de emergencia, seguimiento de los cambios, actualizacin de documentos. AI7 Instalacin y acreditacin de soluciones y cambios: Formacin, pruebas tcnicas y de usuario, conversiones de datos, test de aceptacin por el cliente, traspaso a produccin.

ISO/IEC 15408:2005
Historia y Evolucin

Common Criteria (o ISO-IEC 15408) es una estndar internacional de certificacin de productos TI, resultado de una intensa y larga negociacin entre 14 pases entre los que figura Espaa como firmante del acuerdo a travs del Ministerio de Administraciones Pblicas. Este estndar proporciona unos criterios de evaluacin unificados para la seguridad de los productos TI y recoge todos los esfuerzos realizados desde los aos 80 en este campo (TCSEC en Estados Unidos, ITSEC en la Comunidad Europea, CTCPEC en Canad, Federal Criteria como un primer intento de acercamiento entre Estados Unidos y Europa, etc.). Por los aos 90 surgi la necesidad de conocer qu requisitos de seguridad satisfaca un determinado software, hardware o firmware. Mediante la combinacin de los criterios aplicados en Inglaterra, Estados Unidos y Canad, se constituy y adopt por la International Organization for Standardization los Criterios Comunes de Evaluacin de Seguridad para Tecnologas de la Informacin. Gracias a Common Criteria, los usuarios pueden determinar si un producto proporciona el nivel de seguridad que necesita siguiendo unos criterios estndar y no simples percepciones personales. Common Criteria exige a los fabricantes de los productos certificados publicar una documentacin exhaustiva sobre la seguridad de sus productos y que los usuarios puedan tener plena confianza en las evaluaciones de Common Criteria ya que son realizadas por laboratorios independientes. De hecho, la evaluacin de Common Criteria es cada vez ms utilizada como condicin necesaria para participar en concursos pblicos. En definitiva, la existencia de un estndar de este tipo proporciona un lenguaje comn entre los fabricantes, los usuarios y las administraciones que todos pueden entender de la misma manera. Los fabricantes utilizarn este lenguaje para definir las caractersticas de sus productos, los usuarios tendrn una manera nica de especificar sus requerimientos, etc.

Descripcin general

La norma ISO/IEC 15408 define un criterio estndar a usar como base para la evaluacin de las propiedades y caractersticas de seguridad de determinado producto o sistema IT. Ello permite la equiparacin entre los resultados de diferentes e independientes evaluaciones, al proporcionar un marco comn con el que determinar los niveles de seguridad y confianza que implementa un determinado producto en base al conjunto de requisitos de seguridad y garanta que satisface respecto a esta norma obteniendo de esa forma una certificacin oficial de nivel de seguridad que satisface. Por tanto, la norma ISO/IEC 15408 proporciona una gua muy til a diferentes perfiles relacionados con las tecnologas de la seguridad

Por un lado, desarrolladores de productos o sistemas de tecnologas de la informacin, que pueden ajustar sus diseos. Por otro lado, consumidores que pueden conocer el nivel de confianza y seguridad que los productos de tecnologas de la informacin y sistemas le ofrecen. En ltimo lugar, los evaluadores de seguridad, que juzgan y certifican en qu medida se ajusta una especificacin de un producto o sistema IT a los requisitos de seguridad deseados.

Desarrollo de la temtica

Muchos sistemas y productos de Tecnologas de la Informacin estn diseados para satisfacer y realizar tareas especficas y puede ocurrir, normalmente por razones econmicas, que determinados aspectos de seguridad se encuentren delegados en funciones de seguridad de otros productos o sistemas de propsito general sobre los cuales ellos trabajan como pueden ser sistemas operativos, componentes software de propsito especfico o plataformas hardware. Por tanto, las medidas de salvaguarda dependen del correcto diseo y funcionamiento de los servicios de seguridad que implementan otros sistemas o servicios de TI ms genricos. Sera deseable por tanto, que stos estuvieran sometidos a evaluacin para conocer en qu medida nos ofrecen garantas y podemos depositar confianza en ellos. Tambin muchos clientes y consumidores de sistemas y servicios de TI carecen de los conocimientos necesarios o recursos suficientes para juzgar por ellos mismos si la confianza que depositan en estos sistemas o servicios de TI es adecuada y desearan no obtener esa certeza solamente en base a la informacin que proporcionan los fabricantes o las especificaciones de los desarrolladores.
Organizacin

Los Criterios Comunes (por no llamarla ISO 15408) establecen unos criterios de evaluacin basados en un anlisis riguroso del servicio o sistema de TI a evaluar y los requisitos que este satisface. Para ello, establece una clasificacin jerrquica de los requisitos de seguridad. Se determinan diferentes tipos de agrupaciones de los requisitos siendo sus principales tipos los que vemos a continuacin:

Clase: Conjunto de familias comparten un mismo objetivo de seguridad. Familia: un grupo de componentes que comparten objetivos de seguridad pero con diferente nfasis o rigor. Componente: un pequeo grupo de requisitos muy especficos y detallados. Es el menor elemento seleccionable para incluir en los documentos de perfiles de proteccin (PP) y especificacin de objetivos de seguridad (ST).

La norma ISO/IEC 15408 se presenta como un conjunto de tres partes diferentes pero relacionadas. A continuacin, describimos cada una de ellas:
Parte 1. Introduccin y modelo general.

Define los principios y conceptos generales de la evaluacin de la seguridad en tecnologas de la informacin y presenta el modelo general de evaluacin. Tambin establece cmo se pueden realizar especificaciones formales de sistemas o productos IT atendiendo a los aspectos de seguridad de la informacin y su tratamiento. - Protection Profile (PP): un conjunto de requisitos funcionales y de garantas independientes de implementacin dirigidos a identificar un conjunto determinado de objetivos de seguridad en un determinado dominio. Especifica de forma general que se desea y necesita respecto a la seguridad de un determinado dominio de seguridad. - Security Target (ST): un conjunto de requisitos funcionales y de garantas usado como especificaciones de seguridad de un producto o sistema concreto. Especifica que requisitos de seguridad proporciona o satisface un producto o sistema, ya basados en su implementacin. Ejemplos podran ser ST para Oracle v.7, ST para CheckPoint Firewall-1 etc.
Parte 2. Requisitos Funcionales de Seguridad

Este tipo de requisitos definen un comportamiento deseado en materia de seguridad de un determinado producto o sistema IT y se agrupa en clases. Contiene las siguientes clases: FAU- Auditoria FCO- Comunicaciones FCS- Soporte criptogrfico FDP- Proteccin de datos de usuario FIA- Identificacin y autenticacin de usuario FMT- Gestin de la seguridad FPR- Privacidad FPT- Proteccin de las funciones de seguridad del objetivo a evaluar FRU- Utilizacin de recursos FTA- Acceso al objetivo de evaluacin FTP- Canales seguros

Parte 3. Requisitos de Garantas de Seguridad

Este tipo de requisitos establecen los niveles de confianza que ofrecen funciones de seguridad del producto o sistema. Trata de evaluar qu garantas proporciona el producto o sistema en base a los requisitos que se satisfacen a lo largo del ciclo de vida del producto o sistema. Contiene las siguientes clases: ACM- Gestin de la configuracin ADO- Operacin y entrega ADV- Desarrollo AGD- Documentacin y guas ALC- Ciclo de vida ATE- Prueba AVA- Evaluacin de vulnerabilidades APE- Evaluacin de perfiles de proteccin (PP) ASE- Evaluacin de objetivos de seguridad (ST) AMA- Mantenimiento de garantas

Certificacin ISO 15408

En este sentido, los Common Criteria o ISO/IEC 15408, proporcionan tambin unos niveles de garanta (EAL) como resultado final de la evaluacin. Estos consisten en agrupaciones de requisitos vistos anteriormente en un paquete, de forma que obtener cierto nivel de garanta equivale a satisfacer por parte del objeto de evaluacin ciertos paquetes de requisitos. Todo proceso de evaluacin comienza con la definicin del objeto a evaluar, que definimos a continuacin:

Target of Security (TOE): Documento que realiza una descripcin del producto o sistema que se va a evaluar, determinando los recursos y dispositivos que utiliza, la documentacin que proporciona y el entorno en el que trabaja.

El principal objetivo de la norma ISO/IEC 15408, como hemos visto, es establecer de forma estndar un criterio de evaluacin de la seguridad de los productos y sistemas IT. Ya hemos visto como la medicin se realiza en base a un conjunto de requisitos y la demostracin de que stos son satisfechos. Esta norma nos proporciona dos tipos diferentes de evaluacin.

Evaluacin de Perfiles de Proteccin (PP): El objetivo de tal evaluacin es demostrar que un PP es completo, consistente y tcnicamente slido. Podr ser utilizado como base para establecer requisitos destinados a definir un objetivo de seguridad (ST). Herramienta til ya que permite definir especificaciones de seguridad independientes de implementacin, que pueden ser utilizadas como base de especificaciones para productos o sistemas.

Evaluacin de Objetivos de Evaluacin (TOE) Utilizando un objetivo de seguridad (ST) previamente evaluado como base, el objetivo de la evaluacin es demostrar que todos los requisitos establecidos en el ST se encuentran implementados en el producto o sistema IT.

Respecto a los niveles de seguridad que se pueden lograr, voy a tratar resumidamente de describir cada uno de ellos a continuacin. EAL 1. Functionally tested Proporciona un nivel bsico de seguridad realizado a travs del anlisis de las funciones de seguridad usando especificaciones informales de aspectos funcionales, de interfaz y las guas y documentacin del producto o sistema IT para entender el comportamiento de seguridad. Es aplicable cuando se requiere confianza en la correcta operacin pero las amenazas de seguridad no se contemplan como un peligro serio. Este tipo de evaluacin proporciona evidencias de que las funciones de seguridad del TOE se encuentran implementadas de forma consistente con su documentacin y proporcionan una proteccin adecuada contra las amenazas identificadas.

EAL 2. Structurally tested Exige, adems de los requisitos del nivel anterior, haber realizado una descripcin informal del diseo detallado, haber realizado pruebas en el desarrollo en base a las especificaciones funcionales, una confirmacin independiente de esas pruebas, un anlisis de la fuerza de las funciones de seguridad implementadas y evidencias de que el desarrollo ha verificado la respuesta del producto o sistema IT a las vulnerabilidades ms comunes. Requiere de la cooperacin del equipo de desarrollo que entregue informacin

sobre el diseo y resultados de pruebas. Este tipo de evaluacin es adecuado en circunstancias en donde desarrolladores o usuarios requieren cierto nivel de garantas de seguridad cuando no tienen acceso a toda la documentacin generada en la fase de desarrollo. EAL 3. Methodically tested and checked Este nivel establece unos requisitos que obligan en la fase de diseo a un desarrollo metdico determinando. Este nivel aade a los requisitos del nivel anterior, el uso de controles de seguridad en los procesos de desarrollo que garantizan que el producto no ha sido manipulado durante su desarrollo. Por tanto, se realiza un anlisis de las funciones de seguridad, en base a las especificaciones funcional de alto nivel, la documentacin, guas del producto y los test obtenidos en la fase de prueba.

EAL 4. Methodically designed, tested and reviewed Requiere, adems de los requisitos del nivel anterior, un anlisis de vulnerabilidad independiente que demuestre resistencia a intrusos con bajo potencial de ataque y una especificacin de bajo nivel del diseo de la implementacin.

EAL 5. Semiformally designed and tested Representa un cambio significativo respecto al nivel anterior puesto que requiere de descripciones semiformales del diseo y la arquitectura adems de completa documentacin de la implementacin. Adems se realiza un completo anlisis de vulnerabilidad que pruebe la resistencia frente atacantes de potencial medio y mejora los mecanismos de control para garantizar y demostrar que el producto no es manipulado con respecto a las especificaciones durante el desarrollo.

EAL 6. Semiformally verified design and tested Aade respecto a los requisitos del nivel anterior, un detallado anlisis de las funciones de seguridad, una representacin estructurada de su implementacin y semiformal demostracin de la correspondencia entre las especificaciones de alto y bajo nivel con la implementacin. Adems debe demostrarse con un anlisis de vulnerabilidades independiente, que en el desarrollo se ha probado la robustez de las funciones de seguridad frente a atacantes de alto potencial de dao.

EAL 7. Formally verified design and tested Es el nivel de certificacin ms alto. Debe probarse formalmente las fases de desarrollo y prueba. Adems se exige una evaluacin independiente de la confirmacin de los resultados obtenidos, de las pruebas para detectar vulnerabilidades durante la fase de desarrollo as como sobre la robustez de las funciones de evaluacin. Adems, deber realizarse un anlisis independiente de vulnerabilidades para demostrar resistencia frente a un atacante de alto potencial.
Beneficios

La aparicin de la norma ISO/IEC 15408 proporciona un criterio internacional que permite evaluar bajo criterios rigurosos y estrictos que protecciones en materia de seguridad nos proporciona un determinado servicio o sistema de TI. Los acuerdos firmados por diferentes pases, permiten el reconocimiento mutuo de certificaciones realizadas en los diferentes organismos de certificacin reconocidos internacionalmente. Ello facilita que los principales fabricantes de software estn evaluando sus productos para proporcionar valor aadido en la confianza y seguridad que en ellos se puede depositar. Estos niveles de certificacin sern mnimos exigibles para la seleccin y adquisicin de software. Por otro lado, la aparicin de diferentes perfiles de proteccin para diversos entornos de seguridad proporcionar conjuntos de especificaciones tcnicas que se incorporarn a futuros desarrollos, proporcionando requisitos de seguridad establecidos ya en las fases de diseo de servicios o sistemas de TI. Todo ello contribuir, seguramente, al incremento de la calidad y seguridad de los diferentes servicios o sistemas de TI, y por tanto, de la confianza que podr depositarse en ellos.

ISO/IEC 19770:2006
Historia y Evolucin

Esta normatividad sali luego del efecto Y2K, en la cual se descubri que el software no era capaz de manejar las fechas, otra motivacin fue que los constantes cambio en el licenciamiento del software y el aumento de TI lo que se traduce en un inters comn por un estndar para este entorno. La norma ISO/IEC 19700-1 fue el resultado del esfuerzo de ISO-IEC, ITIL, Microsoft Snow Software y FAST, Tanto ITIL como FAST fueron un marco de referencia para realizar este estndar. La ISO/IEC 19770 es una norma internacional sobre SAM (Gestin de activos de software), la cual es una herramienta de evaluacin (SAE) el 18 de junio de 2007, la cual sali al mercado con el nombre de ISO/IEC19770-1 SAM.

Descripcin general

Esta norma consta de dos partes. La primera explica los procesos de Gestin de Activos de Software y la segunda, la metodologa y procedimiento de identificacin de productos, orientada a facilitar la labor de inventario. La ISO 19770 es un caso especial de norma, puesto que combina la descripcin de procesos y las versiones de software. Una implementacin correcta de esta norma en una organizacin no obliga a hacerlo de ambas partes, ya que son independientes. ISO 19770 establece los procesos de gestin de los activos de software en una organizacin y su finalidad es facilitar la auditora de sus procesos de Gestin de Activos de Software, homogeneizndolos de manera que satisfagan los criterios de gobierno corporativo y garanticen su extensin a toda la organizacin de TI Como tal, la norma ISO 19770-1 para la gestin de activos de software tiene que ver con el ciclo de vida de las aplicaciones en uso en su red, desde la compra hasta su eliminacin. La norma establece seis reas clave de las mejores prcticas destinadas a ayudar a todos los tipos de las organizaciones a ahorrar dinero, reducir los riesgos de cumplimiento e incrementar la eficiencia operativa de gestin de software.

Desarrollo de la temtica

ISO / IEC 19770 es un estndar internacional, iniciado en 2006, que fue desarrollado para ayudar a las organizaciones a poner en prctica procesos y procedimientos para la efectiva gestin de activos de software (SAM). La norma est diseada para ayudar a gestionar el riesgo, conocer los requisitos de gobernanza de TI dentro de las empresas y mejorar en general la relacin coste-eficacia y la disponibilidad de software de negocios en toda la empresa. Hay dos partes a la norma:

ISO / IEC 19770-1 se centra en la importancia de la gestin eficaz de los activos de software (la parte 1 se public el 9 de mayo de 2006) ISO / IEC 19770-2 define los requisitos de datos para apoyar la norma ISO 19770-1 (Parte 2 no ha sido puesto en libertad).

La norma ISO / IEC 19770-1 se trata slo de auditora y el cumplimiento de software. Aunque estos son componentes importantes, el estndar para la SAM ahora abarca todos los aspectos de un negocio y la forma en que los procesos de TI, el software de gestin y los procedimientos administrados por la alta direccin son efectivos. En total, hay 27 procesos distintos que componen la norma ISO 19770-1 los cuales forman el marco para la gestin eficaz de los actuales activos de software. Aunque algunos de estos elementos se refieren nicamente a los procedimientos que slo pueden ser manejados manualmente, hay una serie de requisitos que pueden ser atendidos con mucho menos esfuerzo si se utiliza una herramienta adecuada de descubrimiento de activos. La capacidad de identificar con precisin el software instalado y en uso en PCs y servidores a travs de la organizacin es vital para cumplir los requisitos de la norma para el manejo de software en curso.

Aplicacin de la norma ISO 19970

Siguiendo el estndar definido en la norma ISO 19770 los principios de Gestin de Activos de Software se pueden aplicar a prcticamente cualquier aspecto del entorno de IT en una organizacin, pero sobre todo a aquellos que tienen que ver con la gestin de licencias de software e inventario de activos. Entre sus ventajas destacan su capacidad para gestionar de manera coherente:

Los documentos de prueba de licencia Los distintos modelos de licencia Las distintas plataformas de software Los medios de instalacin y copias de distribucin de los productos. Las versiones y ediciones Todo el software instalado Listas detalladas de versiones, parches y actualizaciones Las licencias Los contratos Medios de distribucin, tanto fsicos como electrnicos

La ISO 19970 adems prescribe la elaboracin de un inventario donde se incluyen los registros de licencias, que se componen de un identificador de software, versin, el nombre y ubicacin del usuario y la situacin presente del activo gestionado. Esta norma recomienda implementar polticas y procedimientos concretos para mantener los registros de inventario (con recomendaciones que van desde la fase de captura de informacin a las copias de seguridad de la base de datos o la proteccin de la informacin frente a accesos no autorizados). Son unos procesos bien pensados para llevar a cabo una implementacin correcta de Gestin de Activos de Software, lo que debe repercutir en distintos beneficios para la organizacin. Esta norma se orienta a la gestin del ciclo de vida completo de las aplicaciones que se utilizan dentro de la red corporativa, desde el momento de su adquisicin hasta su retirada. Establece seis reas de gestin y en todas ellas aplica el criterio de homogeneidad, mejora continua y transparencia, as como los objetivos comunes de reduccin de costes y riesgos, y mejora de la eficiencia operativa. Con la ISO 19770, adems, todas las partes involucradas en el proceso de gestin de activos de software -de manera directa e indirecta, ya sea el usuario final, el fabricante de software, el distribuidor de licencias o las agencias de defensa de los derechos de propiedad intelectual- disponen de un marco de trabajo y un lenguaje comunes que permite colaborar y resolver las posibles disputas e ineficiencias en menos tiempo y de forma ms sencilla.

Aplicacin prctica de la norma

Hay en total 27 procesos dentro del marco de trabajo descrito en la ISO 19770-1 para la gestin de activos de software. De ellos, algunos pueden automatizarse y otros son de naturaleza manual. La siguiente tabla es un resumen de las actividades y procesos que cubre y su equivalencia con el marco de trabajo definido dentro de los procesos de Gestin de Activos de Software:

Norma ISO / IEC 19770

comentarios

Marco de procesos SAM Microsoft

Procesos de Planificacin e Implementacin SAM Planificacin previa. Temas organizativos, asuncin de responsabilidades, calendario, etc.

Planificacin

Desarrollo parcial: roles y responsabilidades, temas de ROI

Implementacin

Plan de implementacin

Desarrollo en 4 etapas: inventario, comprobacin de licencias, polticas y mantenimiento

Monitorizacin

Plan de mantenimiento. Seguimiento de cambios y Procedimientos de gestin verificacin de conformidad del ciclo de vida del SW Mantenimiento y evolucin de los procedimientos

Mejora continua

no se desarrolla este asunto

Procesos de inventario para SAM Determina qu tiene que inventariarse y un sistema de catalogacin

Identificacin de activos de software

No desarrolla este asunto

Gestin de inventario de Activos de Software Control de los activos de software

Inventario de SW

inventario de SW

gestin de cambios en el inventario

Polticas

Procesos de verificacin y conformidad Revisiones planificadas y ocasionales para comprobar Mantenimiento posterior la coincidencia entre el inventario y la realidad comprueba si toda la propiedad intelectual de software tiene su correspondiente licencia en orden Proteccin de accesos y control de utilizacin de los activos de SW

Verificacin del registro de activos de software

Conformidad con las licencias de software

Inventario de Licencias y Anlisis de inventario

Conformidad con la seguridad de los activos de software

Recomendaciones de proteccin de los activos (soportes, documentos, etc)

Verificacin de conformidad Cumplimiento de la con SAM normativa ISO/IEC 19770 Procesos de gestin de operaciones e interfaces para SAM Gestin de contratos y relaciones para SAM

No desarrolla este asunto

No desarrolla este asunto. Gestin de la financiacin de Gestin financiera para SAM Solamente trata el aspecto la propia actividad SAM ROI Gestin a nivel de servicios Definicin de los niveles de No desarrolla este asunto

para SAM

servicio para la actividad SAM en la empresa Definicin de las polticas de seguridad para la No desarrolla este asunto informacin de SAM en la empresa

Gestin de seguridad para SAM

Interfaces de los procesos del ciclo de vida para SAM Polticas de gestin de los cambios en los procedimientos SAM

Proceso de gestin de cambios

No se desarrolla este asunto

Proceso de adquisicin

Compras de SW

Polticas de adquisicin de SW

Proceso de desarrollo de software

Desarrollo de SW propio

No desarrolla este asunto

Proceso de gestin de salida Comercializacin de SW al mercado del software Proceso de despliegue del software Instalacin y uso de SW y gestin de licencias

No desarrolla este asunto

Polticas de instalacin de SW

Proceso de gestin de incidencias

Acciones a adoptar en casos de incidencias con el SW o No desarrolla este asunto las licencias Procedimientos de mejora continua del plan SAM Retirada del SW

Proceso de gestin de problemas Proceso de retirada

No desarrolla este asunto

Polticas de retirada de SW

Como sucede con todos los estndares, la ISO 19770 supone un punto de partida para la creacin e implementacin de buenas prcticas y procedimientos, identificando el marco de trabajo, etapas de desarrollo, los resultados a obtener y medios para su verificacin y seguimiento por entidades independientes. El siguiente nivel de detalle -el "cmo se hace"- no forma parte del articulado de la norma, ya que depende de las caractersticas concretas de cada organizacin. En las implementaciones prcticas de la norma ISO 19770 se deben considerar aspectos como la cultura interna de la organizacin, el entorno tecnolgico que se quiere gestionar, los procesos que ya existen y las posibilidades de automatizacin.

Requerimientos ISO/IEC 19770:2006

Entorno de control Gobierno corporativo Funciones y responsabilidades Polticas, procesos y procedimientos Competencia para la SAM Planificacin e implementacin Planificacin e implementacin Monitoreo y revisin Mejora continua y SAM Inventario Identificacin de activos de software Gestin de inventario de activos de software Control de activos de software Verificacin y cumplimiento Verificacin de registro de activos de software Cumplimiento de las licencias de software Cumplimientos de seguridad de los activos de software Verificacin de conformidad de SAM Administracin de operaciones Relacin y gestin de contactos Gestin financiera

Gestin de nivel de servicios Gestin de nivel de seguridad Ciclo de vida Gestin del cambio y procesos de adquisicin Gestin de lanzamiento y desarrollo de software Gestin de incidentes y despliegues de software Gestin de problemas Procesos de retiro

Comparacin con COBIT

La normatividad ISO / IEC 19770 planea un marco muy especfico de TI para las organizaciones, es por esto que podra implementarse en compaa del COBIT, pero solo para servir de gua en el rea de la planeacin y organizacin del COBIT. Es un buen marco de referencia que puede utilizar el COBIT para llegar a las metas planteadas en el modelo de madurez. Este estndar es muy adecuado para implementar en los siguientes procesos: PO1 - Definir el plan estratgico de TI. PO2 - Definir la arquitectura de la informacin. PO4 - Definir los procesos, organizacin y relaciones TI. PO8 Administrar la calidad. PO10 - Administrar proyectos.

En cada uno de los literales descritos el ISO/IEC 19770 se enmarca en alguno de los aspectos que manejan en dicho proceso

ISO/IEC 12207
Historia y Evolucin

ISO / IEC 12207 fue publicada el 1 de agosto de 1995 y fue la primera norma internacional para proporcionar un conjunto completo de procesos de ciclo de vida, actividades y tareas para el software que es parte de un sistema mayor, solo productos de software y servicios. Esta norma internacional fue seguida en noviembre de 2002 por la ISO / IEC 15288 que abarco los procesos del sistema de ciclo de vida. La ubicuidad del software significa que el software y sus procesos de diseo no deben considerarse por separado de esos sistemas, pero pueden considerarlo como parte integrante del sistema y los procesos de diseo del sistema. La norma ISO / IEC 12207 en sus enmiendas de 2002 y 2004 agreg a la norma internacional los propsitos de procesos y los resultados y tambin estableci un Modelo de Referencia de Procesos de acuerdo con los requisitos de la norma ISO / IEC 15504-2. La revisin y de la modificacin de la norma ISO / IEC 12207, es un primer paso en la estrategia de armonizacin SC7 para lograr un conjunto totalmente integrado de sistemas y procesos de software de ciclo de vida y la orientacin para su aplicacin. Esta revisin integra a la norma ISO / IEC 12207:1995 con sus dos enmiendas y se aplica a las directrices del SC7 para la definicin de los procesos de apoyo, a la coherencia y a la mejora de la usabilidad. La ejecucin del proyecto fue coordinado cuidadosamente con la revisin paralela de la norma ISO / IEC 15288:2002 para alinear la estructura, trminos, y los correspondientes procesos de organizacin y proyecto.

Descripcin general

Esta Norma Internacional establece un marco comn para los procesos de ciclo de vida del software, con una terminologa bien definida, que puede hacer referencia a la industria del software. Contiene procesos, actividades y tareas que se deben aplicar durante la adquisicin de un software o servicio y durante el suministro, desarrollo, operacin, mantenimiento y eliminacin de productos de software. Se aplica a la adquisicin de sistemas, software y servicios, con el suministro, desarrollo, operacin, mantenimiento y eliminacin de productos de software y la parte de software de un sistema, bien sea de manera interna o externa a una organizacin. Esos aspectos de la definicin del sistema son necesarios para proporcionar el contexto para los productos de software y servicios que estn incluidos.

Desarrollo de la temtica Estructura

La estructura del estndar ha sido concebida de manera flexible y modular de manera que pueda ser adaptada a las necesidades de cualquiera que lo use. Para conseguirlo, el estndar se basa en dos principios fundamentales: Modularidad y responsabilidad. Con la modularidad se pretende conseguir procesos con un mnimo acoplamiento y una mxima cohesin. En cuanto a la responsabilidad, se busca establecer un responsable para cada proceso, facilitando la aplicacin del estndar en proyectos en los que pueden existir distintas personas u organizaciones involucradas.

Procesos

Los procesos se clasifican en tres tipos: Principales, de soporte y de la organizacin. Los procesos de soporte y de organizacin deben existir independientemente de la organizacin y del proyecto ejecutado. Los procesos principales se instancian de acuerdo con la situacin particular.

Procesos Principales: Adquisicin: Este proceso comienza definiendo la necesidad de adquirir un sistema o un producto de software y contina con la preparacin y publicacin de la solicitud de propuestas, la seleccin de un proveedor y la gestin de los procesos de adquisicin hasta la aceptacin del producto. Suministro: Este proceso puede iniciarse bien por una decisin de preparar una propuesta para responder a una peticin de un cliente, bien por la firma de un contrato con el cliente para proporcionar el software. El proceso contina con la identificacin de los procedimientos y recursos necesarios para gestionar y asegurar el proyecto, incluyendo el desarrollo de los planes del proyecto y la ejecucin de los planes hasta la entrega del software. Desarrollo: Este proceso contiene las actividades para el anlisis de requisitos, diseo, codificacin, integracin, pruebas, instalacin y aceptacin relativos al software. El desarrollador selecciona y realiza, o presta apoyo, a las siguientes actividades de acuerdo con el contrato. Las principales actividades que lo conforman son:

Anlisis de los requisitos Diseo de la arquitectura Diseo detallado Codificacin y pruebas Integracin Prueba de cualificacin Instalacin Soporte a la aceptacin

Operacin: (tambin llamado explotacin): Este proceso abarca la operacin del software y el soporte a usuarios. Debido a que la operacin del software se integra en la operacin del sistema, las actividades y tareas del proceso de operacin se refieren al sistema. Mantenimiento: Este proceso se activa cuando el software sufre modificaciones de cdigo o de documentacin asociada debido a un error, una deficiencia, un problema o la necesidad de mejora o adaptacin.

Procesos de soporte: Estos procesos dan soporte a los procesos principales o a otros procesos de soporte. Se emplean en varios puntos del ciclo de vida y pueden ser realizados por la organizacin que los emplea, por una organizacin independiente (como un servicio), o por un cliente como elemento planificado o acordado del proyecto. Documentacin: Registrar la informacin producida por un proceso o actividad del ciclo de vida: Disear, editar, distribuir y mantener los documentos producidos durante el desarrollo del software. Gestin de la configuracin: Actividades que controlan las modificaciones y versiones de los elementos. Registrar las peticiones de cambios e informar de los estados de stos. Aseguramiento de la calidad: Actividades para asegurar que los productos cumplen los requisitos especificados y se ajustan a los planes establecidos. Verificacin: Actividades para determinar el buen funcionamiento del software. Validacin: Actividades para determinar si el producto cumple los requisitos previstos.

 Revisin conjunta: Actividades que permiten determinar el estado de los productos en una determinada actividad del ciclo de vida o en una cierta fase del proyecto. Puede ser una reunin conjunta con el cliente, el grupo de desarrollo y los clientes potenciales para revisar el trabajo hecho. Auditoras: Actividades que permiten determinar en unos momentos determinados si se han conseguido los objetivos propuestos: requisitos, cumplimiento del contrato etc. Resolucin de problemas: Actividades que permiten analizar y resolver los problemas o disconformidades con los requisitos o con el contrato, que hayan surgido durante el desarrollo, la explotacin, el mantenimiento, o en cualquier otro momento.

Procesos de la organizacin: Los emplea una organizacin para llevar a cabo funciones tales como gestin, formacin del personal o mejora del proceso. Estos procesos ayudan a establecer, implementar y mejorar, consiguiendo una organizacin ms eficiente. Se llevan a cabo normalmente a nivel organizacional fuera del mbito de proyectos y contratos especficos. Gestin: Actividades de planificacin, seguimiento, control, revisin y evaluacin. Infraestructura: Actividades para determinar la infraestructura necesaria para un proceso. Incluye HW, SW, instalaciones Mejora: Valorar, medir, controlar, evaluar y mejorar todos los procesos del ciclo de vida. Formacin: Plan de formacin para los empleados.

Comparacin con COBIT

Es posible identificar relaciones entre los procesos de COBIT con los presentados por el estndar ISO/IEC 12207: COBIT AI1 Identificacin de soluciones ISO 12207 5.1 Adquisicin

5.1 Adquisicin, 5.2 Suministro, 5.3 Desarrollo, AI2 Adquisicin y mantenimiento 5.5 Mantenimiento, 6.2 Gestin de de aplicaciones configuraciones AI3 Adquisicin y mantenimiento 5.1 Adquisicin, 5.2 Suministro, de la infraestructura tecnolgica Mantenimiento, 7.2 Infraestructura AI4 Facilidad de uso AI5 Obtencin tecnolgicos de recursos 5.5

6.1 Documentacin, 6.8 Resolucin de problemas, 7.1 Gerencia, 7.4 Formacin 7.2 Infraestructuras 5.2 Suministro, 5.5 Mantenimiento, 7.3 Mejoras

AI6 Gestin de cambios

AI7 Instalacin y acreditacin de 6.3 Verificacin de la calidad, 6.4 Verificacin, 6.5 soluciones y cambios Validacin, 6.6 Integracin, 6.7 Auditora

Resumen
ISO/IEC 20000 La llegada de ISO/IEC 20000, que deriva de la norma britnica BD 15000, es un hito definitivo para el xito y la popularidad de las mejores prcticas en la gestin de servicios de TI por todo el mundo. El reconocimiento como norma oficial supone un empuje decisivo hacia la cultura de servicios en el sector de las TI, al poner los medios para medir y certificar la excelencia de este tipo de servicios. El propsito de ISO/IEC 20000 es proveer una norma de referencia comn para todas las empresas que ofrezcan servicios de TI tanto a clientes externos como internos. Uno de los objetivos ms importantes de la norma es crear una terminologa comn para las organizaciones proveedoras de servicios TI, sus suministradores y sus clientes. La norma promueve la adopcin de un planteamiento de procesos integrados para la gestin de los servicios de TI. Esta norma se establece para definir todo aquello que es obligatorio para la buena gestin de servicios. ISO/IEC 20000 est alineada con el marco de trabajo de la Biblioteca de Infraestructura de TI (ITIL), con la diferencia de que ITIL es un conjunto de mejores prcticas, mientras que ISO/IEC 20000 es un conjunto formal de especificaciones cuyo cumplimiento debera ser perseguido por los proveedores de servicios. Adems de cubrir los procesos explcitos de ITIL y tambin algunos procesos adicionales que estn parcialmente cubiertos por publicaciones actuales de ITIL. La norma ISO/IEC 20000 est compuesta de dos partes: Parte 1: especificaciones; esta es la especificacin oficial de la norma. Esta parte es la que se debe cumplir para obtener la certificacin. Parte 2: cdigo de prcticas; esta parte describe las mejores prcticas ms detalladamente. Esta parte es la que se debera tener en cuenta por las persona s que desean la certificacin.

IEEE Aunque el inicio de la IEEE fue como una organizacin encargada de regular las comunicaciones y los avances en materia de electricidad, hoy en da se puede decir que este concepto ha cambiado y se ha convertido en un instituto internacional con gran

influencia en muchos campos incluyendo la informtica e ingeniera de software. En la actualidad las normas IEEE para la ingeniera del software son amplias y se encuentran en un grado de madures que les permiten servir como eje de calidad para los proyectos que se realicen en este campo, algunas de las normas ms relevantes son: IEEE Std 982.1-1988 IEEE (Diccionario Bsico de Medidas para obtener datos fiables de Software). IEEE Std 730-2002(Norma para la calidad de los planes del software). ISO/IEC 16085:2004 (Tecnologa de la informacin de software del ciclo de vida los procesos de gestin de riesgos). IEEE Std 1540-2001(Norma IEEE sobre los procesos de software del Ciclo de Vida-Gestin de Riesgos). IEEE Std 1490-2003(Aprobacin de PMI Gua estndar para la Direccin de Proyectos del Conocimiento). IEEE Std 828-2005(IEEE Estndar para el software de configuracin de los planes de gestin). IEEE 1058.1 (Plan para la Gestin de Proyectos Software).

Los anteriores estndares regulan las mejores prcticas para enfrentar proyectos de software y les sirve como herramienta y sistema de apoyo a los ingenieros de software que las siguen.

ISO/IEC 15404:SPICE La norma ISO/IEC 15504:SPICE es una norma abierta e internacional para evaluar y mejorar la capacidad y madurez de los procesos. Junto con la ISO 12207, la norma aplica a la evaluacin y mejora de la calidad del proceso de desarrollo y mantenimiento de software. Fue creada por la alta competencia del mercado de desarrollo de software, a la difcil tarea de identificar los riesgos, cumplir con el calendario, controlar los costos y mejorar la eficiencia y calidad. Este engloba un modelo de referencia para los procesos y sus potencialidades sobre la base de la experiencia de compaas grandes, medianas y pequeas. El principal propsito de esta normativa es proporcionar una base comn para los diferentes modelos y mtodos de evaluacin de procesos de software, asegurando que los resultados de la evaluacin sean iguales en un contexto comn.

El modelo describe los procesos que una organizacin puede ejecutar, adquirir, suplir, desarrollar, operar, evolucionar, brindar soporte de software y todas las prcticas genricas que caracterizan las potencialidades de estos procesos.

ISO/IEC 15408:2005 La informacin en poder de los productos o sistemas de TI es un recurso crtico que permite a las organizaciones tener xito en su misin. Adems, los individuos tienen una expectativa razonable de que su informacin personal contenida en los productos o sistemas de TI sigue siendo privados, estn a su alcance cuando sea necesario, y que estos no estn sujeto a modificaciones no autorizadas. Los productos o sistemas de TI deben ejercer sus funciones en el ejercicio de un control adecuado de la informacin para garantizar que est protegido contra riesgos como la difusin no deseada o injustificada, a la alteracin o prdida. El trmino de seguridad de TI se utiliza para incluir la prevencin y mitigacin de estos y otros peligros. Muchos consumidores de TI carecen de los conocimientos, la experiencia o los recursos necesarios para juzgar si su confianza en la seguridad de sus productos o sistemas de TI es el adecuado, y no podra confiar nicamente en las afirmaciones de los desarrolladores. Consiguiente a esto, los consumidores pueden optar por aumentar su confianza en las medidas de seguridad de un producto o sistema, ordenando un anlisis de su seguridad, es decir, una evaluacin de la seguridad. Para la cual la norma ISO/IEC 15408 puede ser utilizada como estndar para garantizar el cumplimiento de los niveles de seguridad requeridos en un producto o sistema de TI. ISO / IEC 15408 define las bases para garantizar los requisitos de seguridad en un sistema o producto de TI.

ISO/IEC 19770:2006 Muchas organizaciones no han tomado el tiempo para dar un paso atrs y revisar el aumento en los ltimos aos en las inversiones en software. Si lo hicieran, muchas se sorprenderan al saber que ahora gastan ms cada ao en el software necesario en su empresa, del que gastan en hardware o incluso objetos de alto precio, como automviles o maquinarias.

Sin embargo, aunque ninguna empresa responsable permitira que sus autos recorran las carreteras sin asegurarse de que estos estn gravados con el seguro y los servicios correspondientes, es difcil decir lo mismo en el caso del software de una organizacin. Como tal, la norma ISO 19770 para la gestin de activos de software tiene que ver con el ciclo de vida de las aplicaciones en uso en su red, desde la compra hasta su eliminacin. La norma establece seis reas clave de las mejores prcticas destinadas a ayudar a todos los tipos de las organizaciones a ahorrar dinero, reducir los riesgos de cumplimiento e incrementar la eficiencia operativa de gestin de software.

ISO 12207 Esta Norma Internacional establece un marco comn para los procesos de ciclo de vida del software, con una terminologa bien definida, que puede hacer referencia a la industria del software. Contiene procesos, actividades y tareas que se deben aplicar durante la adquisicin de un software o servicio y durante el suministro, desarrollo, operacin, mantenimiento y eliminacin de productos de software. Esta Norma Internacional se aplica a la adquisicin de sistemas, software y servicios, con el suministro, desarrollo, operacin, mantenimiento y eliminacin de productos de software y la parte de software de un sistema, bien sea de manera interna o externa a una organizacin. Esos aspectos de la definicin del sistema son necesarios para proporcionar el contexto para los productos de software y servicios que estn incluidos.

Conclusiones y Observaciones
Se pude ver que el modelo describe los procesos que una organizacin puede ejecutar, adquirir, suplir, desarrollar, operar, evolucionar, brindar soporte de software y todas las prcticas genricas que caracterizan las potencialidades de estos procesos. La calidad del todos los componentes integrados en el proceso de desarrollo del software no mejora necesariamente por el simple hecho de adoptar un estndar. Es necesario que el proceso de adopcin conlleve una gestin del cambio adecuada. Es necesario tener un estndar como objetivo y referencia del proceso de desarrollo del software. El modelo seleccionado no es tan importante como el compromiso de mejora.

Bibliografa
ISO/IEC 20000. Welcome to the itSMF ISO/IEC 20000 Certification web site. Recuperado el 03 de Octubre de 2010, En: http://www.isoiec20000certification.com/ COBIT. Recuperado el 03 de Octubre de 2010, En: http://www.isaca.org/Template.cfm?Section=COBIT6&T IEEE. IEEEXplore Digital Library. Recuperado el 03 de Octubre de 2010, En: http://ieeexplore.ieee.org/xpl/standards.jsp?psf_t=software+engineering&psf_isie ee=null&psf_isiet=null&psf_isaip=null&psf_istandj=null&psf_ismag=null&psf_isltr= null&psf_rpp=10&psf_isatv=0&psf_rngmin=-1&psf_rngmax=1&psf_pn=1&psf_scid=&psf_scn=&psf_tarid=&psf_tarn= IEEE. Historia del IEEE. Recuperado el 03 de Octubre de 2010, En: http://www.ieeeperu.org/index.php?option=com_content&task=view&id=24&Ite mid=7 IEEE. IEEE 610.12 Standard Glossary of Software Engineering Terminology. Recuperado el 03 de Octubre de 2010, En: http://electronics.ihs.com/document/abstract/WCEXCAAAAAAAAAAA IEEE. Software Engineering Software Life Cycle Processes Maintenance. Recuperado el 03 de Octubre de 2010, En: https://docs.google.com/viewer?url=http://webstore.iec.ch/preview/info_isoiec14 764%257Bed2.0%257Den.pdf ISO/IEC 20000. Recuperado el 03 de Octubre de 2010, En: http://iso20000enespanol.com/index.php?option=com_content&task=view&id=26 &Itemid=31 ISO/IEC 19970. Recuperado el 03 de Octubre de 2010, En: http://gestion-activossoftware.wke.es/como-implementar-ISO-19770.htm#amastext1 ISO/IEC 15408:2005. Recuperado el 03 de Octubre de 2010, En: http://seguridadde-la-informacion.blogspot.com/2009/04/iso-15408-y-el-dni-e-pp-para-el.html