Compilacin Bibliogrfica

ISO/IEC 20000 (estndar britnico 15000), Normas IEEE sobre

software e ingeniera de software, ISO/IEC 15404:SPICE,
ISO/IEC 15408:2005, ISO/IEC 19770:2006 ISO 12207

Jos Leonardo Delgado

Ramrez 907015

UNIVERSIDAD NACIONAL DE
COLOMBIA SEDE MANIZALES
2011

Contenido
ISO/IEC 20000..................................................................................................... 4
Historia y evolucin......................................................................................... 4
Descripcin general......................................................................................... 5
Desarrollo de la temtica................................................................................. 6
I.

El Sistema de Gestin de Servicios TI (SGSTI)........................................6

II.

Planificacin e Implementacin de la Gestin del Servicio.....................6

III.

Planificacin e Implementacin de Servicios.......................................7

IV.

Procesos de Provisin de Servicio........................................................8

V.

Procesos de Relaciones..........................................................................9

VI.

Procesos de Resolucin.....................................................................10

VII.

Procesos de Control...........................................................................10

VIII.

Procesos de Entrega..........................................................................11

Comparativo con COBIT................................................................................. 12

NORMAS IEEE SOBRE SOFTWARE E INGENIERA DE SOFTWARE........................13
Historia y Evolucin....................................................................................... 13
Descripcin general de la temtica...............................................................13
Desarrollo de la temtica............................................................................... 15
Glosario Estndar de terminologa de la IEEE sobre Ingeniera de Software
................................................................................................................... 15
Estndar IEEE sobre la taxonoma de Normas de Ingeniera del Software. .15
IEEE Plan para la Gestin de Proyectos Software........................................15
Recomendaciones prcticas para la adopcin de software asistida por
computador para herramientas CASE.........................................................15
Estndar ISO/IEC/IEEE para sistemas de ingeniera de software Procesos
de ciclo de vida del software......................................................................15
Standard for Software Engineering - Software Life Cycle Processes Maintenance............................................................................................... 16
IEEE Standard adoption of ISO/IEC 15939:2007 systems and software
engineering measurement process.............................................................16
Systems and software engineering - Life cycle processes - Project
management.............................................................................................. 16
IEEE Recommended Practice on Software Reliability..................................16

2
IEEE Draft Guide Adoption of ISO/IEC TR14471 Information technology
-Software engineering - Guidelines for the adoption of CASE tools.............17
IEEE Draft Standard Adoption of ISO/IEC 26513:2009-Systems and Software
Engineering -Requirements for Testers and Reviewers of User
Documentation........................................................................................... 17
IEEE Draft Standard Adoption of ISO/IEC 26514:2008 - Systems and
SoftwareEngineering - Requirements for Designers and Developers of User
Documentation........................................................................................... 17
Comparativo con COBIT.................................................................................... 18
ISO/IEC 15404: SPICE........................................................................................ 19
Historia y evolucin....................................................................................... 19
Descripcin general de la temtica...............................................................19
Desarrollo de la temtica............................................................................... 19
Propsito..................................................................................................... 19
Alcance....................................................................................................... 19
Dimensin de los procesos.........................................................................20
Dimensin de capacidad............................................................................. 20
Niveles de capacidad.................................................................................. 21
Evaluacin del proceso............................................................................... 21
Comparativo con COBIT................................................................................. 23
ISO/IEC 15408:2005.......................................................................................... 24
Historia y evolucin....................................................................................... 24
Descripcin general de la temtica...............................................................25
Desarrollo de la temtica............................................................................... 25
mbito de aplicacin.................................................................................. 26
Las referencias normativas.........................................................................27
Comparativo con COBIT................................................................................. 28
ISO/IEC 19770................................................................................................... 29
Historia y evolucin....................................................................................... 29
Descripcin de la temtica............................................................................ 29
Desarrollo de la temtica............................................................................... 30
Procesos de ISO/IEC 19770-1......................................................................30
ISO/IEC 19770-2: etiquetas de identificacin de software..........................30
ISO/IEC 19770-3: etiquetas derecho de software........................................31

3
ISO 12207......................................................................................................... 32
Historia y evolucin....................................................................................... 32
Descripcin de la temtica............................................................................ 32
Esquema de la norma:................................................................................ 32
Desarrollo de la temtica............................................................................... 33
PROCESOS PRINCIPALES:............................................................................ 33
PROCESOS DE SOPORTE............................................................................. 35
PROCESOS DE GESTIN NORMA ISO 12207...............................................36
Comparativo con COBIT................................................................................. 36
Bibliografa........................................................................................................ 37

ISO/IEC 20000
Historia y evolucin
Hasta antes del ao 2000, las organizaciones o reas de TI que adoptaban las
mejores
prcticas
definidas
en
los
libros
de
InformationTechnologyInfrastructure Library (ITIL) eran incapaces de
demostrarlo formalmente.Debido a ello, BSI, que es la Institucin de Estndares
Britnicos, defini de manera oficial los requerimientos para la entrega efectiva
de servicios a los negocios y sus clientes en un estndar britnico: BS 15000. A
la postre, esto dio pie al surgimiento del nuevo estndar internacional ISO/IEC
20000.
Ciertamente, BS 15000 no inclua de manera formal el enfoque de ITIL, pero en
l se describen un grupo de procesos de administracin que se alinean y
complementan con el enfoque de procesos definidos en ITIL. La primera edicin
de BS15000 fue publicada en noviembre del 2000. Ms recientemente, el
desarrollo de una estrategia de certificacin ha dado un gran impulso a BS
15000, siendo hoy aceptado como un Estndar formal.
Despus de 17 aos, el estndar formal para la administracin de servicios de
TI por fin es una realidad. En 1989, dio inicio el proceso para desarrollar un
estndar global para la Administracin de Servicios de TI con el surgimiento del
Estndar Britnico (BS 15000), el cual recientemente alcanz su objetivo final:
ISO/IEC 20000. Este prrafo si te parece lo podemos dejar as, la razn es que
este prrafo es como una entrada rpida al hoy, lo hice para suavizar la
transicin del texto temas del presente.
ISO/IEC 20000 fue sometido a un proceso rpido de evaluaciones (Fast
tracking) que dur 14 meses. Estas incluyeron discusiones y una votacin en
la que participaron diversas organizaciones de estndares nacionales,
resolucin de comentarios, cambios finales y cambios en formatos para cumplir
con las prcticas editoriales internacionales.
La publicacin de ISO/IEC 20000, la implantacin britnica, BS ISO/IEC 20000 y
el retiro de BS 15000 ocurri el 15 de diciembre de 2005. Al mismo tiempo, los
planes para el futuro de ISO/IEC 20000 se sometieron a SC 7, que es el comit
ISO/IEC JTC-1 que produjo ISO/IEC 20000.
El Fast tracking, proceso al que fue sometido ISO/IEC 20000, se permite
cuando un estndar es producido por una organizacin nacional de estndares,
pero que es utilizado y reconocido por muchas naciones. Este fue el caso del
estndar BS 15000, bajo el cual ya se han certificado organizaciones de todo el
mundo. El estndar todava est en dos partes, en la parte 1 se incluyen los
requerimientos obligatorios y en la parte 2 recomendaciones optativas.Al da

5
de hoy, ISO/IEC 20000 es con frecuencia, aunque de forma incorrecta, citado
como ISO 20000. Ciertamente, ISO/IEC 20000 fue alineada al grupo de ISO
9000, pero est ubicado en diferente categora y sujeto a otras reglas. Bertha,
a lo que se refiere este prrafo es que, tcnicamente, no es correcto llamar ISO
20000 al estndar. En realidad, debemos referirnos a l como ISO/IEC 20000.

Descripcin general
ISO20000 es el primer estndar especfico para el rea de Administracin de Servicios
de TI. En l, se promueve la adopcin de un enfoque de procesos integrados
orientados a entregar efectivamente servicios administrados que satisfagan los
requerimientos
del
negocio
y
del
cliente.
De acuerdo al InformationTechnologyService Management Forum (ITSMF),
BS15000/ISO20000 puede ser usado por las organizaciones que busquen monitorear y
mejorar la calidad del servicio; comparar su administracin de servicios de TI; servir
como base a una auditora que podra conducir a la certificacin formal y para
demostrar su capacidad para proporcionar servicios acordes a las necesidades de los
clientes.
El estndar BS15000/ISO20000 se compone de dos documentos: El primero es la
especificacin formal, la cual define los requerimientos que debe cumplir una
organizacin para garantizar una entrega de servicios de TI de calidad aceptable para
sus clientes. Asimismo, el documento dos es un Cdigo de Prctica que contiene
ejemplos de prcticas/comportamientos/evidencias que pueden ser utilizados por las
organizaciones para mejorar sus procesos de servicio. El Cdigo de Prctica incluye
recomendaciones y ejemplos de evidencias acerca de la forma en la que una
organizacin puede cumplir con los requerimientos del documento uno.

Desarrollo de la temtica
La norma se estructura en torno a la utilizacin de procesos integrados para la
gestin de los servicios TI, posicionndolos en un modelo de referencia y,
estableciendo todo aquello que es obligatorio para la buena gestin de los
servicios TI. Estos procesos dan cobertura a las necesidades del ciclo de vida
de los servicios, contemplando muchos de los procesos incluidos en la versin
2 de ITIL y otros adicionales, algunos de los cuales fueron posteriormente
adoptados por ITIL en su nueva versin 3 publicada dos aos ms tarde. La
especificacin y los requisitos de ISO/IEC 20000 representan un consenso para
la industria en estandarizacin de calidad para la gestin de los servicios TI.
La norma ISO/IEC 20000 cubre las siguientes secciones:
I.
El Sistema de Gestin de Servicios TI (SGSTI).
Esta seccin contempla la poltica y las actividades de trabajo necesarias para
que una organizacin pueda realizar una eficiente implantacin y gestin
posterior de los servicios TI. El Sistema de Gestin de los Servicios TI cubre los
aspectos de Responsabilidad de la direccin, requisitos de la documentacin,
competencia, concienciacin y formacin.
II.
Planificacin e Implementacin de la Gestin del Servicio
En la actualidad es absolutamente necesario lograr una gestin efectiva de los
servicios TI, pero no es suficiente ya que tambin es necesario lograr que la
calidad de los servicios mejore de forma continua. Por este motivo uno de los
objetivos fundamentales de la norma ISO/IEC 20000 es validar la mejora
continua de la calidad de la gestin de los servicios, y para ello ha utilizado el
modelo de mejora de la calidad definido por W. Edwards Deming aplicado
inicialmente en la industria de la fabricacin y empleado con xito en otras
normas ISO/IEC (9000, 27001, etc.)
Esta seccin de la norma cubre los siguientes apartados:
La planificacin de la gestin del servicio (Planificar), tiene como
objetivo planificar la implantacin y la provisin de la gestin del servicio,
contemplando aspectos como, el alcance de la gestin del servicio, los
enfoques de planificacin, los eventos a considerar, el alcance y contenidos
del plan, etc.
Entre los principales aspectos que se contemplan en este apartado podemos
mencionar:

La definicin del alcance del SGSTI

Definicin de las polticas de gestin de servicios
Establecer los objetivos
Definir los procesos

7
Definir los recursos

Implementacin de la gestin del servicio y la provisin del servicio

(Hacer), su misin es la de implantar los objetivos de la gestin del servicio y
el plan definidos. Entre los aspectos ms relevantes que trata podemos
mencionar:
Definir e implantar plan de gestin del servicio
Implantar los Procesos (documentacin, responsables,
indicadores)
Implantar el Sistema de Gestin

registros,

Monitorizacin, medicin y revisin (Verificar), su objetivo es monitorizar,

medir y revisar que los objetivos y el plan de gestin del servicio definidos se
estn cumpliendo, poniendo de manifiesto la capacidad de los procesos para
alcanzar los resultados planificados.
Como aspectos ms relevantes podemos mencionar:

Desarrollo procedimientos de monitorizacin

Revisiones peridicas del SGSTI
Revisar objetivos y plan de gestin del servicio
Auditar internamente el SGSTI

Mejora continua (Actuar), su objetivo es mejorar la eficacia y la eficiencia

de la entrega y de la gestin del servicio, contemplando aspectos como la
poltica de mejora y la planificacin de las mejoras del servicio.
Los aspectos ms destacables son:

Identificar e implantar las mejoras

Adoptar acciones preventivas y correctivas
Comunicar acciones y resultados
Verificar que las mejoras cumplen su objetivo

III.
Planificacin e Implementacin de Servicios
Esta seccin contiene un solo proceso que tiene como objetivo asegurar que la
creacin de nuevos servicios, las modificaciones a los existentes e incluso la
eliminacin de un servicio, se puedan gestionar y proveer con los costes,
calidad y plazos acordados.
Para ello, hay que gestionar el ciclo completo de la provisin y entrega de los
servicios, realizando una planificacin unificada e integrada, considerando los
costes y el impacto a nivel organizativo, tcnico ycomercial que pudiera derivar

8
de su entrega y gestin, asegurando que todas las partes implicadas conocen
y cumplen con el plan y los compromisos acordados.
Este proceso esbozado en la norma ISO/IEC 20000, e inexistente en ITIL tanto
en la v2 como en la v3, comienza en el cliente y finaliza con el servicio
entregado y operativo, o eliminado. Para lograr que todo funcione
adecuadamente y sin duplicar actividades, debe sincronizar el funcionamiento
del resto de procesos de gestin del servicio involucrados: Relaciones con el
negocio, la Gestin del nivel de servicio, Generacin de informes del servicio,
etc., realmente debe actuar como un
proceso director que permita coordinar y encadenar la participacin de todos
los procesos de la gestin del servicio implicados.
IV.
Procesos de Provisin de Servicio.
En esta seccin se tratan los requisitos necesarios para cubrir la provisin de
los servicios que el cliente necesita, y todo aquello que es necesario en TI para
poder prestar estos servicios. Para conseguir su objetivo ISO/IEC 20000
estructura esta seccin en un conjunto de procesos con objetivos especficos y
unitarios para evitar posibles conflictos. Seguidamente vamos a dar un repaso
por los procesos que componen esta seccin para conocer sus objetivos.
Gestin de Nivel de Servicio.
Este proceso aparentemente igual al de ITIL, se aligera de contenido en la
norma, ya que parte de las funciones contempladas en ITIL se reparten en
otros procesos, alguno de los cuales no tiene equivalencia en ITIL v2 ni v3. En
ISO/IEC 20000 se establecen procesos especficos para actividades que en ITIL
se realizan dentro de este proceso: Relaciones con el Negocio que se encarga
de gestionar la relacin con los clientes; Planificacin e Implementacin de
servicios, nuevos o modificados.
Generacin de informes del servicio
El objetivo de este proceso es generar los informes de servicios acordados,
fiables, precisos y en plazo, de forma que permitan verificar si se estn
cumpliendo los requisitos y necesidades de los usuarios, e informar de la toma
de decisiones con el fin de lograr una comunicacin eficaz.
Gestin de la continuidad y disponibilidad del servicio
El objetivo de este proceso
es conseguir que los compromisos de
disponibilidad y continuidad puedan cumplirse en la forma en que se han
acordado con los clientes. Este proceso debe controlar los riesgos y mantener
la continuidad del servicio, tanto en situaciones de fallos o mal funcionamiento
(disponibilidad) como en casos de catstrofes o desastres (continuidad).

9
Elaboracin de presupuesto y contabilidad de los servicios de TI
El objetivo de este proceso es presupuestar y contabilizar los costes de la
provisin del servicio. Como podemos observar en el objetivo de la norma no
se contempla la facturacin de los servicios, esto es debido a que en la prctica
muchos proveedores de servicios no realizan una facturacin formal de los
servicios a sus clientes, principalmente las unidades internas de TI de las
compaas. Por este motivo la norma considera esta actividad como opcional.
Sin embargo, hay que recomendar a los proveedores que si hacen uso de la
facturacin el mecanismo utilizado debe estar plenamente definido y entendido
por todas las partes. Tambin hay que tener en cuenta que la facturacin debe
estar alineada con las prcticas contables tanto del pas como las ms
especficas de la organizacin del proveedor del servicio.
Gestin de la Capacidad
El objetivo de este proceso es asegurar que el proveedor del servicio tiene en
todo momento la capacidad suficiente para cubrir la demanda acordada, actual
y futura, de las necesidades del negocio del cliente. Para poder realizar una
gestin eficiente de la capacidad es necesario elaborar un plan de capacidad
que este dirigido a las necesidades reales del negocio. El plan de capacidad
contempla aspectos como los requisitos de capacidad de rendimiento,
deevolucin prevista tanto por cambios internos como por cambios externos,
como por ejemplo legislativos, etc.
Gestin de Seguridad de la Informacin
El objetivo de este proceso es gestionar la seguridad de la informacin de
manera eficaz para todas las actividades del servicio. Para establecer una
gestin de la seguridad es necesario establecer, y comunicar a todo el
personal, una poltica de seguridad que contemple los controles adecuados
para gestionar los riesgos asociados al acceso a los servicios o a los sistemas.
Adicionalmente, y para aquellas organizaciones que requieran un alto nivel en
la gestin de la seguridad de la informacin existe una norma especfica,
ISO/IEC 27001, que proporciona un cdigo de prcticas para la gestin de la
seguridad de la informacin.
V.
Procesos de Relaciones
Los proveedores de servicio TI tienen dos puntos externos de relacin, por una
parte se encuentra la relacin con el negocio y los clientes a los que da
servicio, y por la otra est la relacin con sus suministradores, fundamental
para el soporte y evolucin del servicio. Una adecuada gestin de estas
relaciones posibilita el control adecuado de los dos factores externos a la
organizacin que son claves para la realizacin de una correcta gestin del
servicio TI. En esta seccin ISO/IEC 20000 trata los requisitos necesarios para
cubrir estas relaciones mediante dos procesos especficos: Gestin de
Relaciones con el Negocio y Gestin de Suministradores. Finalmente es
interesante mencionar que esta seccin de
ISO/IEC 20000 tambin ha

10
influenciado a ITIL, que en su versin 3 ha incluido un proceso especfico para
la gestin de suministradores. Sin embargo, no han incluido ningn proceso
especfico para gestionar de forma adecuada la relacin con los clientes.
Gestin de las relaciones con el negocio
El objetivo de este proceso es establecer y mantener una buena relacin
entre el proveedor del servicio y el cliente, basndose en el entendimiento del
cliente y de los fundamentos de su negocio. La gestin de la relacin con el
negocio asegura que todas las partes implicadas en la provisin de un servicio,
incluyendo tambin al propio cliente, estn identificadas y gestionadas,
responsabilizndose de dar una respuesta adecuada a las demandas del
cliente gracias a su funcin de interfaz entre el negocio y las reas de TI. Esto
se logra negociando y acordando los niveles deservicio a proveer,
monitorizando e informando acerca del rendimiento del servicio, y creando una
relacin de negocio eficaz entre la organizacin TI y sus clientes. En este
proceso se vela por la satisfaccin del cliente atendiendo sus reclamaciones y
revisando
peridicamente
los
acuerdos
y
contratos
establecidos.
Adicionalmente tambin debe permanecer al tanto de las necesidades del
negocio y de los principales cambios en el mismo para preparar una respuesta
a dichas necesidades.
Gestin de suministradores
El objetivo de este proceso es gestionar los suministradores para garantizar la
provisin, sin interrupciones, de servicios de calidad. Actualmente la creacin
de valor, ya sea en tecnologa, marketing o fabricacin, se est volviendo tan
complejo que un solo departamento o compaa no est en disposicin de
poder dominarlo en solitario. Esta situacin est llevando a las organizaciones,
que buscan mejorar su rendimiento, a considerar que competencias son
esenciales para su negocio, potencindolas internamente y ampliando sus
capacidades mediante socios tanto en actividades internas como externas.
Este proceso da cobertura a la gestin de suministradores mediante los
controles necesarios para normalizar y acordar con todas las partes los
acuerdos de servicio alineados son los SLAs establecidos con los clientes.
Tambin contempla el comportamiento de estos acuerdos de servicio mediante
la monitorizacin y revisin de las prestaciones obtenidas frente a los objetivos
establecidos, identificando y proponiendo acciones de mejora. Para finalizar es
importante destacar que este proceso no contempla la seleccin de
suministradores al considerar que es una actividad previa, fuera del mbito de
las actividades de gestin.
VI.
Procesos de Resolucin
Los procesos de resolucin son gestin del incidente y gestin del problema,
estos procesos tienen un alto grado de relacin aunque tienen objetivos
diferenciados. Gestin del incidente se encarga de la recuperacin de los
servicios a los usuarios tan pronto como sea posible, y gestin del problema

11
tiene la misin de identificar y eliminar las causas de los incidentes para que
no vuelvan a producirse.
Gestin del incidente
El objetivo de este proceso es restaurar el servicio acordado con el negocio tan
pronto como sea posible o responder a peticiones de servicio. Para conseguir
el objetivo es necesario tratar de forma adecuada los sucesos que provocan la
degradacin o prdida del funcionamiento normal de un servicio, priorizando la
atencin de las incidencias de acuerdo a los compromisos de servicio
establecidos, y reduciendo el impacto provocado gracias a una resolucin
oportuna.
Gestin del problema
El objetivo de este proceso es minimizar los efectos negativos sobre el negocio
de las interrupciones del servicio, mediante la identificacin y el anlisis
reactivo y proactivo de la causa de los incidentes y la gestin de los problemas
para su cierre. Uno de los aspectos ms relevantes de este proceso es
identificar la causa raz de los fallos que ocurren o que potencialmente pueden
ocurrir, al objeto de asegurar la estabilidad de los servicios, y que los
problemas no ocurran o se vuelvan a repetir. Gracias a su correcta
implantacin es posible mejorar la calidad global de los servicios TI, estabilizar
el entorno de produccin manteniendo el funcionamiento normal del negocio y
acometer proyectos de mejora que permitan erradicar fallos en el servicio.
VII.
Procesos de Control
La gestin de la configuracin y del cambio son dos procesos sobre los que
pivotan el resto de procesos de la gestin del servicio TI, gracias a ellos el
proveedor de servicios puede controlar adecuadamente los cambios que se
producen en los componentes del servicio y la infraestructura que los soporta,
y disponer de una base de informacin precisa y actualizada de la
configuracin, elemento indispensable para la toma de decisiones de todos los
procesos incluido gestin del cambio
Gestin de la configuracin
El objetivo de este proceso es definir y controlar los componentes del servicio
y de la infraestructura, manteniendo informacin precisa y actualizada sobre la
configuracin. Este proceso se ocupa de la identificacin, control y verificacin
de los Elementos de Configuracin que componen un servicio, registrando su
estado y dando informacin para el apoyo al resto de los procesos de Gestin
de TI. Por lo tanto, gestin de la configuracin es el proceso que garantiza que
la informacin necesaria para la adecuada gestin de los servicios TI est
correctamente registrada y administrada.

12
Gestin del cambio
El objetivo de este proceso es asegurar que todos los cambios son evaluados,
aprobados, implementados y revisados de una manera controlada. Este
proceso controla los cambios de forma eficiente de acuerdo con los
compromisos de servicio y con el mnimo impacto en el entorno de produccin.
Para ello implanta una gestin integral de los cambios proporcionando una
visin conjunta que facilita al anlisis de los riesgos y la toma de medidas a
adecuadas para garantizar el xito del los cambios y minimizar su impacto
negativo en el negocio de los clientes.
VIII.

Procesos de Entrega

Gestin de la entrega
El objetivo de este proceso es entregar, distribuir y realizar el seguimiento de
uno o ms cambios en la entrega en el entorno de produccin real. Gestin de
la entrega realiza la
planificacin y gestin de los recursos que permite
distribuir correctamente un lanzamiento al cliente. Para realizar con xito esta
tarea, este proceso tiene una visin global de los servicios, con lo que se
garantiza que todos los aspectos que afecten a las entregas, tanto tcnicos
como no tcnicos, se analizan y tratan globalmente.

13

Comparativo con COBIT

COBIT al igual que la norma ISO/IEC 2000 se ocupan de la garanta de la
continuidad, eficiencia y gestin de los procesos de TI para ponerlos en favor
de la gerencia; estas normas no compiten entre s, en realidad se
complementan mutuamente, mientras COBIT tiende a ser bastante amplio para
cumplir y suplir todas las necesidades y procesos de las organizaciones la
norma ISO/IEC 2000 se centra y profundiza en el mbito de la seguridad.
Para el mapeo de detalle, la ISO/IEC 2000 la informacin se dividi en pedazos
pequeos (requisitos de informacin). Estos requisitos de informacin de la
norma ISO/IEC 2000 fueron asignadas de manera detallada a los objetivos de
control de COBIT. Cerca de 1.000 requerimientos de informacin fueron
asignadas a 316 objetivos de control de COBIT. El documento de mapeo
detallado se describe cmo estas dos normas estn relacionadas entre s y
cmo todos los requisitos detallados de la norma ISO/IEC 17799:2000 se
pueden integrar con COBIT.
Dominios de COBIT

1
1
o

1
2

1
3

1
0
-

Planificar y organizar
Adquirir y aplicar
Entrega y Soporte
Monitorear y evaluar

+
-

+
o
+
o

o
o
-

+
o

+
o
+

+
+
-

(+) Mas de dos objetivos de la ISO/IEC 17799:2000 fueron asignadas a un proceso de

COBIT
(O) Uno o dos objetivos de la ISO/IEC 17799:2000 fueron asignadas a un proceso de
COBIT
(-) Cero o menos objetivos de la ISO/IEC 17799:2000 fueron asignadas a un proceso de
COBIT
Las zonas vacas indican que las normas no coinciden en estos aspectos

El documento de mapeo proporciona una buena visin general de ambas

normas, COBIT, as como la norma ISO/IEC 17799:2000. El documento es una
profunda fuente de informacin para todas las partes interesadas y
responsables del gobierno de TI, gestin de seguridad de la informacin y sus
respectivos controles. Que proporciona una idea clara de cmo COBIT y la
ISO/IEC 2000 se interrelacionan y encajan.

NORMAS IEEE SOBRE SOFTWARE E INGENIERA DE

SOFTWARE

14

Historia y Evolucin
Descripcin general de la temtica
La IEEE como creador y especialista en materia de normas y estndares, no se
ha quedado atrs en la rama de la ingeniera de software y por ello posee una
gran cantidad de estndares de gran reconocimiento y aplicabilidad a todas las
organizaciones que se dedican a desarrollos de software y requieren de las
mejores prcticas en la materia. Entre las ms conocidas de estas normas
estn:
Glosario Estndar de terminologa de la IEEE sobre Ingeniera de
Software
Estndar IEEE sobre la taxonoma de Normas de Ingeniera del Software
IEEE Plan para la Gestin de Proyectos Software
Recomendaciones prcticas para la adopcin de software asistida por
computador para herramientas CASE
Estndar ISO/IEC/IEEE para sistemas de ingeniera de software
Procesos de ciclo de vida del software
Estndar internacional IEEE ISO/IEC 14764 sobre ingeniera de software
Proceso de cicle de vida del software Mantenimiento
ISO/IEC/IEEE Systems and Software Engineering - System Life Cycle
Processes
IEEE Standard adoption of ISO/IEC 15939:2007 systems and
softwareengineering measurement process
Systems and Software Engineering - Life Cycle Processes - Risk
Management
Systems and software engineering - Life cycle processes - Project
management
IEEE Guide--Adoption of ISO/IEC 90003:2004 Software Engineering Guidelines for the Application of ISO 9001:2000 to Computer Software
ISO/IEC Standard for Systems and Software Engineering - Recommended
Practice for Architectural Description of Software-Intensive Systems
IEEE Recommended Practice on Software Reliability
ISO/IEC Standard for Systems and Software Engineering - Recommended
Practice for Architectural Description of Software-Intensive Systems
IEEE Draft Guide Adoption of ISO/IEC TR14471 Information technology
-Software engineering - Guidelines for the adoption of CASE tools
Draft Standard X Software and systems engineering -Content of life-cycle
information products (documentation)
IEEE Standard for Software Engineering - Recommended Practice for the
Internet - Web Site Engineering, Web Site Management, and Web Site
Life Cycle
ISO/IEC Draft IEEE Guide Systems and software engineering-Guide for life
cycle processes

15
Draft International Standard - Systems and Software Engineering Vocabulary
IEEE Draft Standard Systems and software engineering - Requirements
for acquirers and suppliers of user documentation
IEEE Draft Standard Adoption of ISO/IEC 26513:2009 -- Systems and
Software Engineering -- Requirements for Testers and Reviewers of User
Documentation
IEEE Draft Standard Adoption of ISO/IEC 26514:2008 - Systems and
Software Engineering - Requirements for Designers and Developers of
User Documentation

16

Desarrollo de la temtica
A continuacin se describen las temticas de las normas ms conocidas de la
IEEE para el software e ingeniera de software:
Glosario Estndar de terminologa de la IEEE sobre Ingeniera de
Software
Describe el estndar IEEE 610.12-1990, el estndar IEEE, glosario de
terminologa de la ingeniera de software, que identifica los trminos que se
utilizan actualmente en el campo de la ingeniera de software. Definiciones
estndar de los trminos establecidos.
Estndar IEEE sobre la taxonoma de Normas de Ingeniera del
Software
La norma 1002 describe la forma y el contenido de un estndar taxonmico
para la ingeniera de software. La aplicacin no est restringida por la
aplicacin de software, el tamao, la complejidad, la criticidad o el medio
ambiente de hardware. Esta taxonoma se aplica a las normas (de las
disciplinas relacionadas con la gestin de ingeniera, ingeniera de sistemas,
ingeniera de hardware, informtica y ciencias de la informacin), lo que un
ingeniero de software razonablemente debera conocer. Esta taxonoma es una
aplicacin independiente. El documento explica los diferentes tipos de normas
de ingeniera de software, sus relaciones funcionales y externas, y el papel de
las diversas funciones que participan en el ciclo de vida del software.
IEEE Plan para la Gestin de Proyectos Software
Este estndar especifica el formato y contenidos de los planes para la gestin
de proyectos software. No especifica las tcnicas exactas que pueden ser
usadas en el desarrollo de los planes de proyectos, ni ofrece ejemplos de los
planes de gestin de proyectos. Cada organizacin que usa este estndar
debera desarrollar un conjunto de prcticas y procedimientos para
proporcionar una gua detallada para la preparacin y actualizacin de los
planes de gestin de los proyectos software basada en este estndar. Estas
prcticas detalladas y procedimientos deberan tener en cuenta los factores del
entorno, organizacionales y polticos que pueden influenciar en la aplicacin de
este estndar.
Recomendaciones prcticas para la adopcin de software asistida por
computador para herramientas CASE
Una visin general del proceso de adopcin de herramientas CASE dirigidas,
incluyendo el anlisis de las necesidades de la organizacin y la preparacin
para la automatizacin, el uso de un proyecto piloto, y definicin de las
actividades necesarias para integrar las nuevas tecnologas en los estndares
organizacionales de ingeniera de software que en la prctica son
suministradas.

17
Estndar ISO/IEC/IEEE para sistemas de ingeniera de software
Procesos de ciclo de vida del software
Esta Norma Internacional establece un marco comn para los procesos de ciclo de vida
del software, con una terminologa bien definida, que puede hacer referencia a la
industria del software. Se aplica a la adquisicin de sistemas y productos de software y
servicios, con el suministro, desarrollo, operacin, mantenimiento y eliminacin de
productos de software y la parte de software de un sistema, bien sea interna o
externamente a una organizacin. Los aspectos de la definicin del sistema necesarios
para proporcionar el contexto para los productos de software y servicios que estn
incluidos.

Standard for Software Engineering - Software Life Cycle Processes Maintenance

Esta Norma Internacional describe en mayor detalle la gestin del proceso de
mantenimiento descrito en la norma ISO/IEC 12207, incluidas las enmiendas,
tambin establece las definiciones de los diversos tipos de mantenimiento.
Proporciona orientacin que se aplica a la planificacin, ejecucin y control,
revisin y evaluacin, y el cierre de los procesos de mantenimiento. El mbito
de aplicacin de esta norma internacional incluye el mantenimiento de
mltiples productos de software con los mismos recursos de mantenimiento.
Esta norma tiene por objeto proporcionar orientacin para la planificacin y el
mantenimiento de productos o servicios de software, ya sea de forma interna o
externa a la organizacin.
IEEE Standard adoption of ISO/IEC 15939:2007 systems and software
engineering measurement process
Estndar IEEE para la Adopcin de la Norma ISO/IES 15939:2007 del Sistema
de Ingeniera del Software para la Medicin de Procesos, el proceso se describe
a travs de un modelo que define las actividades del proceso de medicin que
se requieren para especificar la informacin adecuada, como las medidas y los
resultados de los anlisis deben aplicarse, y cmo determinar si los resultados
del anlisis son vlidos. El proceso de medicin es flexible, modificable, y
adaptable a las necesidades de diferentes usuarios. Esta Norma Internacional
identifica un proceso que apoya la definicin de un conjunto adecuado de
medidas que aborden las necesidades especficas de informacin. Iguala las
actividades y tareas que son necesarias para identificar, definir, seleccionar,
aplicar y mejorar la medicin dentro de un proyecto global o la estructura de
medicin de la organizacin.
Systems and software engineering - Life cycle processes - Project
management
Sistemas e Ingeniera del Software Ciclo de Vida de Procesos Gestin de
proyectos, ISO/IEC/IEEE 16326:2009 proporciona normativo especificaciones
del contenido de los planes de gestin de proyectos que abarcan los proyectos
de software. Tambin proporciona una discusin detallada y asesoramiento

18
sobre la aplicacin de un conjunto de procesos de los proyectos que son
comunes al software y el ciclo de vida de los sistemas regulados por la norma
ISO/IEC 12207:2008 (IEEE Std 12207-2008) e ISO/IEC 15288:2008 (IEEE Std.
152882008), respectivamente. La discusin y asesoramiento destinados a la
ayuda en la preparacin del contenido normativo de los planes de gestin de
proyectos. La norma ISO/IEC/IEEE 16326:2009 es el resultado de la
armonizacin de la norma ISO/IEC TR 16326:1999 y la IEEE Std 1058-1998
previamente explicada.
IEEE Recommended Practice on Software Reliability
Practicas Recomendadas en la Fiabilidad del Software, Los mtodos para
evaluar y predecir la fiabilidad del software, basado en un enfoque del ciclo de
vida de confiabilidad del software, se establecen en estas prcticas.
Proporciona la informacin necesaria para la aplicacin de la fiabilidad del
software, de medicin a un proyecto, establece las bases para la creacin de
mtodos que sean compatibles, y establece el principio bsico para la
recoleccin de los datos necesarios para evaluar y predecir la fiabilidad del
software.
IEEE Draft Guide Adoption of ISO/IEC TR14471 Information technology
-Software engineering - Guidelines for the adoption of CASE tools
Desde la aprobacin de herramientas CASE es un tema de las tecnologas de
transicin, el presente informe tcnico se refiere a la adopcin de prcticas
adecuadas para una amplia gama de organizaciones de la informtica. Este
informe tcnico ni dicta ni defensores de las normas especiales de desarrollo,
los procesos de software, mtodos de diseo, metodologas, tcnicas,
lenguajes de programacin, o paradigmas de ciclo de vida.
IEEE Draft Standard Adoption of ISO/IEC 26513:2009-Systems and
Software Engineering -Requirements for Testers and Reviewers of
User Documentation
Adopcin de la norma ISO/IEC 26513:2009 Sistemas e Ingeniera del Software Requerimientos para Probadores y Revisin de la Documentacin del Usuario,
esta norma establece los requisitos para el examen y revisin de la
documentacin del usuario, como parte de los procesos del ciclo de vida. Se
define el proceso de documentacin desde el punto de vista del probador de
documentacin y revisor. Se especifica el proceso para suuso en las pruebas y
el examen de la documentacin del usuario, y proporciona los requisitos
mnimos para estas actividades. Es pertinente a las funciones implicadas en la
evaluacin y desarrollo de software y la documentacin de usuario, incluidos
los directores de proyecto, expertos en usabilidad y desarrolladores de la
informacin, adems de los examinadores y evaluadores. Se aplica a ambos la
documentacin impresa y la documentacin en pantalla, y es aplicable a la
documentacin de usuario para los sistemas que incluyen hardware.

19
IEEE Draft Standard Adoption of ISO/IEC 26514:2008 - Systems and
SoftwareEngineering - Requirements for Designers and Developers of
User Documentation
Se define el proceso de documentacin desde el punto de vista del
desarrollador de documentacin. Tambin cubre la documentacin del
producto. Se especifica la estructura, contenido y formato de la documentacin
del usuario, y tambin proporciona orientacin informativa para el estilo de la
documentacin del usuario. Es independiente de las herramientas de software
que pueden ser utilizados para producir la documentacin, y se aplica tanto a
la documentacin impresa y la documentacin en pantalla.

20

Comparativo con COBIT

Ms que relaciones esenciales o derivadas de un comparativo entre COBIT y las
normas IEEE sobre ingeniera de software, se pueden encontrar concordancias
directas e indirectas entre los procesos que se realizan en la ingeniera de
software y los que COBIT controla, aunque pocos en nmero, en su definicin
los procesos de COBIT son bastante amplios para referirse a los procedimientos
de anlisis, diseo, implementacin y post-implementacin de software.
Los procesos relacionados con la ingeniera de software en el marco de trabajo
COBIT, se encuentran en el dominio Adquirir implementar, y especficamente
en los procesos AI2: Adquirir y mantener software aplicativo, AI6: Administrar
cambios, AI7: Instalar y acreditar soluciones de cambio.

21

ISO/IEC 15404: SPICE

Historia y evolucin
En el ao de 1993 se aprueba el programa de trabajo para desarrollar un
estndar que permitiera evaluar los procesos de software; es as como surge la
fase I de la norma ISO/IEC 15404: SPICE en el ao 1995. Para el ao 1996, se
propicia el uso de la herramienta SPICE en las organizaciones con el fin de
determinar qu resultados se obtuvieron y mejorar el modelo para una
publicacin final. La fase III del proyecto SPICE se inicia a finales del ao 1999 y
se perfecciona el modelo que en la actualidad se aplica.

Descripcin general de la temtica

El proyecto SPICE (Software ProcessImprovement and CapabilityDetermination)
es una actividad del WG 10 del Subcomit 7 del ISO/IEC JTC1, un estndar
internacional para procesos de desarrollo de software que provea de un marco
de trabajo uniforme para gestin e ingeniera del software.
SPICE es una norma que trata los procesos de ingeniera, gestin, relacin
cliente-proveedor, de la organizacin y del soporte.
Fue creada por la alta competencia del mercado de desarrollo de software, a la
difcil tarea de identificar los riesgos, cumplir con el calendario, controlar los
costos y mejorar la eficiencia y calidad. Este engloba un modelo de referencia
para los procesos y sus potencialidades sobre la base de la experiencia de
compaas grandes, medianas y pequeas.

Desarrollo de la temtica
Software ProcessImprovement and CapabilityDetermination (SPICE)
Propsito
Estndar de evaluacin de procesos de software para:
Mejora continua
Evaluacin de la capacidad
Como base para el comercio internacional de software
Alcance
Ejecutar, planificar, gestionar, controlar y mejorar los procesos de:

Adquisicin
Suministro
Desarrollo
Operacin

22
Soporte
Dimensin de los procesos

Dimensin de capacidad
Los atributos de proceso estn organizados en niveles de capacidad,
permitiendo una puntuacin nica generada para el proceso, estos niveles de
capacidad representan incrementos en la capacidad del proceso, en una escala
de 6 puntos desde: cero que indican que los procesos estn incompletos: el
proceso no es capaz de conseguir sus objetivos, hasta cinco, en el que el
proceso est en optimizacin: el proceso es capaz de alcanzar sus objetivos y
est continuamente mejorando. Esta escala define un camino para la mejora
individual de cada proceso.

23

Niveles de capacidad
5-En Optimizacin
5.1 Cambio de los procesos
5.2 Mejora continua
4 Predecible
4.1 Medicin de los procesos
4.2 Control de los procesos
3 Establecido
3.1 Definicin de los procesos
3.2 Recursos de los procesos
2 Gestionado
2.1 Gestin del proceso
2.2 Gestin de los productos
1 Realizado
1.1 Ejecucin del proceso
0 Incompleto

Evaluacin del proceso

Preparacin de la evaluacin:
a) Determinacin del propsito
b) Seleccin del modelo
c) Definicin del patrn o perfil objetivo
Seleccin de los procesos a evaluar/mejorar
Determinacin de los niveles de capacidad para cada proceso
Conduccin de la evaluacin
a) Definicin del contexto
Unidad organizativa
Dominio de productos y servicios
Proyectos a evaluar
b) Recogida estructurada de datos
c) Puntuacin
d) Anlisis

24

25

Comparativo con COBIT

Es difcil encontrar las semejanzas entre dos normas con objetos diferentes,
mientras el COBIT es un marco general para todos los procesos
organizacionales, mientras que la norma ISO/IEC 15404 se ocupa de la gestin
e ingeniera del software. Sin embargo se encuentran algunas concordancias
en cuanto a su alcance puesto que se centran en ejecutar, planificar, gestionar,
controlar y mejorar los procesos de adquisicin, suministro, desarrollo y
operacin.

26

ISO/IEC 15408:2005
Historia y evolucin
CommonCriteria (o ISO-IEC 15408) es una estndar internacional de
certificacin de productos TI, resultado de una intensa y larga negociacin
entre 14 pases entre los que figura Espaa como firmante del acuerdo a travs
del Ministerio de Administraciones Pblicas.
Este estndar proporciona unos criterios de evaluacin unificados para la
seguridad de los productos TI y recoge todos los esfuerzos realizados desde
los aos 80 en este campo (TCSEC en Estados Unidos, ITSEC en la Comunidad
Europea, CTCPEC en Canad, Federal Criteria como un primer intento de
acercamiento entre Estados Unidos y Europa, etc.).
Por los aos 90 surgi la necesidad de conocer qu requisitos de seguridad
satisfaca un determinado software, hardware o firmware. Mediante la
combinacin de los criterios aplicados en Inglaterra, Estados Unidos y Canad,
se constituy y adopt por la International OrganizationforStandardization los
Criterios Comunes de Evaluacin de Seguridad para Tecnologas de la
Informacin.
Gracias a CommonCriteria, los usuarios pueden determinar si un producto
proporciona el nivel de seguridad que necesita siguiendo unos criterios
estndar y no simples percepciones personales. CommonCriteria exige a los
fabricantes de los productos certificados publicar una documentacin
exhaustiva sobre la seguridad de sus productos y que los usuarios puedan
tener plena confianza en las evaluaciones de CommonCriteria ya que son
realizadas por laboratorios independientes. De hecho, la evaluacin de
CommonCriteria es cada vez ms utilizada como condicin necesaria para
participar en concursos pblicos.
En definitiva, la existencia de un estndar de este tipo proporciona un lenguaje
comn entre los fabricantes, los usuarios y las administraciones que todos
pueden entender de la misma manera.
Los fabricantes utilizarn este lenguaje para definir las caractersticas de sus
productos, los usuarios tendrn una manera nica de especificar sus
requerimientos, etc.

27

Descripcin general de la temtica

ISO/IEC 15408-1:2005 define dos formas para expresar los requerimientos de
seguridad funcional y seguridad. El perfil de proteccin (PP) la construccin
permite la creacin de sistemas reutilizables generalizada de estos requisitos
de seguridad. El PP puede ser utilizado por los consumidores potenciales para
la especificacin e identificacin de productos con caractersticas de seguridad
de TI que satisfagan sus necesidades. El objetivo de seguridad (ST) expresa los
requisitos de seguridad y especifica las funciones de seguridad de un
determinado producto o sistema a evaluar, llamado el objetivo de la evaluacin
(TOE). El ST es utilizado por los evaluadores como base de las evaluaciones
realizadas de conformidad con la norma ISO / IEC 15408.

Desarrollo de la temtica
ISO/IEC 15408 proporciona un conjunto comn de requisitos para la
funcionalidad de seguridad de los productos y para las medidas de garanta de
calidad aplicados a estos productos de TI durante una evaluacin de la
seguridad. Estos productos de TI pueden ser implementados en el hardware,
firmware o software. El proceso de evaluacin establece un nivel de confianza
en que la funcionalidad de seguridad de estos productos de TI y la garanta de
las medidas aplicadas a estos productos de TI cumple con estos requisitos. Los
resultados de la evaluacin pueden ayudar a los consumidores para determinar
si estos productos de TI cumplen con sus necesidades de seguridad. ISO/IEC
15408 es til como una gua para el desarrollo, evaluacin y / o adquisicin de
productos de TI con funcionalidad de seguridad. ISO/IEC 15408 es
intencionalmente flexible, permitiendo una variedad de mtodos de evaluacin
que se aplica a una gama de propiedades de seguridad de una gama de
productos de TI. En consecuencia, el hecho de que un producto informtico se
ha evaluado slo tiene sentido en el contexto de la seguridad en trminos de
las propiedades que fueron evaluadas y los mtodos de evaluacin que se
utilizaron. A las autoridades se les recomienda comprobar cuidadosamente los
productos, propiedades y mtodos para determinar que una evaluacin
proporcionar resultados significativos. Adems, los compradores de los
productos evaluados se les recomiendan considerar cuidadosamente este
contexto para determinar si el producto evaluado es til y aplicable a su
situacin especfica y necesidades.
ISO/IEC 15408 se enfoca en las direcciones de proteccin de activos, la
divulgacin no autorizada, modificacin o prdida de informacin. Las
categoras de proteccin en relacin con estos tres tipos de fracaso de la
seguridad que comnmente se denomina la confidencialidad, integridad y
disponibilidad, respectivamente. ISO/IEC 15408 tambin puede ser aplicable a
los aspectos de la seguridad informtica fuera de estos tres. ISO/IEC 15408 es
aplicable a los riesgos derivados de las actividades humanas (malintencionados

28
o no) y a riesgos derivados de actividades no humanas. Aparte de la seguridad
de TI, ISO/IEC 15408 puede ser aplicado en otros las reas de TI, pero no puede
asegurarse la aplicacin en estas reas, especialmente porque implican
tcnicas especializadas o porque son algo perifrico a la seguridad informtica,
y por esto se consideran fuera del mbito de aplicacin de la norma ISO/IEC
15408. Algunos de estos se identifican a continuacin.
a) Un ISO/IEC 15408 no contiene criterios de evaluacin de actividades
relativas a la seguridad administrativa y medidas no relacionadas
directamente con la funcionalidad de seguridad de TI. Sin embargo, se
reconoce que aspectos importantes de seguridad a menudo se puede
lograr a travs de o con el apoyo de las medidas administrativas como la
organizacin, personal, fsica, y los controles de procedimiento.
b) La evaluacin fsica de algunos aspectos tcnicos de seguridad de TI,
tales como control
de emanacin electromagntica no est
especficamente cubierto, aunque muchos de los conceptos tratados
sern aplicables al rea.
c) La norma ISO/IEC 15408 no se refiere a la metodologa de evaluacin en
las que los criterios deben aplicarse. Esta metodologa se da en la norma
ISO/IEC 18045.
d) La norma ISO/IEC 15408 no se refiere al marco administrativo y jurdico
en que los criterios pueden ser aplicada por las autoridades de la
evaluacin. Sin embargo, se espera que la ISO/IEC 15408 ser utilizada
para la evaluacin efectos en el contexto de dicho marco.
e) Los procedimientos para el uso de resultados de la evaluacin en la
acreditacin estn fuera del alcance de la norma ISO/IEC 15408. La
acreditacin es el proceso administrativo mediante el cual se otorga
autorizacin para el funcionamiento de un producto informtico (o grupo
de ellos) en su entorno operativo completo. Los resultados del proceso
de evaluacin son un insumo para el proceso de acreditacin. Sin
embargo, como otras tcnicas son ms adecuados para las evaluaciones
de TI relacionados con propiedades y no con su relacin con las partes
de seguridad de TI, acreditadores deben hacer provisiones separadas
para esos aspectos.
f) El tema de los criterios para la valoracin de las cualidades inherentes
de los algoritmos de cifrado no es cubiertos en la norma ISO/IEC 15408.
En caso de evaluacin independiente de las propiedades matemticas
de la criptografa ser necesario, el sistema de evaluacin en virtud del
cual la norma ISO/IEC 15408 es aplicado debe prever tales evaluaciones.
mbito de aplicacin
Esta parte de la norma ISO / IEC 15408 establece los conceptos y principios
generales de evaluacin de la seguridad de TI y especifica el modelo general
de la evaluacin propuesta por varias partes de la Norma Internacional que en
su totalidad es destinado a ser usado como base para la evaluacin de las

29
propiedades de seguridad de productos de TI. Proporciona una visin general
de todas las partes de la norma ISO / IEC 15408. En l se describen las distintas
partes de la norma, define los trminos y abreviaturas que se utilizan en todas
las partes de la Norma Internacional, establece el concepto bsico de un Objeto
de Evaluacin (TOE), el contexto de la evaluacin, y describe a la audiencia a la
que la evaluacin criterios se abordan. Una introduccin a los conceptos de
seguridad bsicos necesarios para la evaluacin de productos de TI se le da. En
l se definen las distintas operaciones en la que l y la garanta de los
componentes funcionales de la Norma ISO/IEC 15408-2 e ISO / IEC 15408-3 se
pueden adaptar mediante el uso de operaciones permitidas. Los conceptos
clave de perfiles de proteccin (PP), los paquetes de requisitos de seguridad y
el tema de la conformidad se especifican y las consecuencias de la evaluacin
y resultados de la evaluacin se describen. Esta parte del ISO / IEC 15408
proporciona directrices para la especificacin de objetivos de seguridad (ST) y
proporciona una descripcin de la organizacin de los componentes de todo el
modelo. Informacin general sobre la metodologa de evaluacin es dada en la
norma ISO/IEC 18045 y el alcance de los sistemas de evaluacin se
proporciona.
Las referencias normativas
Los documentos citados a continuacin son indispensables para la aplicacin
de esta parte de la norma ISO/IEC 15408.
ISO / IEC 15408-2, la tecnologa de la informacin - Tcnicas de seguridad Criterios de evaluacin de la seguridad de TI
Seguridad funcional de los componentes ISO / IEC 15408-3, la tecnologa de la
informacin - Tcnicas de seguridad - Criterios de evaluacin de la seguridad
de TI
Componentes de seguridad de garanta de ISO/IEC 18045, la tecnologa de la
informacin - Tcnicas de seguridad - Metodologa para la evaluacin de la
seguridad TI

30

Comparativo con COBIT

Caractersticas
Gobierno integral de TI
Modelo especfico para el desarrollo
de software
Modelo especfico para polticas de
seguridad de TI
Niveles de capacidad
Listas de chequeo
Objetivos de alto nivel
Alineacin de TI con el negocio
Gestin de recursos
Plan estratgico de TI
Definicin de la arquitectura de la
informacin
Supervisin del funcionamiento del
sistema
Auditoria de la gestin
Audita el control de calidad en el
desarrollo de software
Involucra a todos los usuarios de la
organizacin
Trabaja sobre los dominios de
gobierno de TI
Se interrelaciona con otras normas

ISO/IEC 15408

COBIT

31

ISO/IEC 19770
Historia y evolucin
Es una norma internacional, lanzada en 2006, desarrollada para ayudar a las
organizaciones a colocar procesos y procedimientos para un efectivo control de
activos informticos (Software Asset Management, SAM). Esta norma est
diseada para ayudar a administrar riesgos, conocer los requerimientos para la
administracin de activos TI y mejorar la rentabilidad y efectividad del software
en toda la organizacin.
El estndar lo conforman dos partes:

ISO/IEC 19770-1 enfocado a la importancia de una efectiva

administracin de activos de software (publicada el 9 de mayo de 2006)
ISO/IEC 19770-2 define los requerimientos de datos para dar soporte a
ISO 197770-1

La norma ISO/IEC 19770-1 no aborda nicamente el tema de la conformidad y

auditorias de software. Aunque estos son los componentes ms importantes, el
estndar para el SAM abarca cada aspecto de negocio y la manera en que el
software y la administracin de procesos y procedimientos TI, son manejados
con eficacia por la direccin.

Descripcin de la temtica
Software Asset Management (SAM) fundamentalmente se aplican a los medios
de comunicacin, instalaciones, licencias, documentacin de la licencia, y la
propiedad intelectual relacionados con el software. Hasta ahora la aplicacin de
estos procesos de negocio han sido arbitrarios y relativamente pocas
organizaciones han sido capaces de aplicar una estrategia global. La aplicacin
de la norma ISO/IEC 19770-1:2006 es un marco estndar que permite a las
empresas integrar SAM a cabalidad y otros modelos de mejores prcticas.
"La norma ayudara a las empresas a gestionar mejor sus activos de software y
sus licencias de acompaamiento", explica Roger Wittlock, Coordinador del
grupo de trabajo que elabor el documento. "Las empresas que entienden los
patrones de uso, inventario de activos y los trminos especficos del contrato
pueden ahorrar potencialmente millones en costos de licencias y cuotas de
mantenimiento por cada ao."
ISO/IEC 19770:2006, se divide en dos partes bajo el ttulo general, gestin de
activos de software, permitir a los proveedores de servicios entender la forma
de mejorar la calidad del servicio prestado a sus clientes, tanto internos como
externos.
La parte uno describe los procesos que intervienen en el SAM, mientras la
parte dos define una identificacin del producto que va a simplificar el procesos

32
de inventario de software. En octubre de 2007, los miembros de la ISO/IEC
Grupo de Trabajo 21 (ISO/IEC JTC 1/SC 7/WG 21) se reuni en Montreal y ha
creado un "grupo de trabajo de otros" (OWG) para continuar con el desarrollo
de la norma 19770-2 con el objetivo de finalizar la norma en el tiempo para la
reunin de ISO plenaria que se celebr en mayo de 2008 en Berln. En ese
momento, Steve Klos de Agnitio Asesores, fue designado como el coordinador
del otro grupo de trabajo (OWG). A finales de diciembre de 2007, el OWG se le
permiti reiniciar el trabajo sobre la norma.

Desarrollo de la temtica
ISO/IEC 19770 es una norma internacional sobre Software Asset Management
(SAM) y consta de tres partes.
ISO/IEC 19770-1 es un marco de procedimiento que permita a una organizacin
para demostrar que est realizando la gestin de activos de software a un nivel
suficiente para satisfacer los requisitos de gobierno corporativo y garantizar un
apoyo eficaz para la gestin de servicios en general.
ISO/IEC 19770-2 proporciona un software de gestin de activos (SAM) de datos
estndar para etiquetas de identificacin de software.
ISO/IEC 19770-3 proporcionar un software de gestin de activos (SAM) de
datos estndar para etiquetas de derecho de concesin de licencias de
software.
Procesos de ISO/IEC 19770-1
Es un marco de Software Asset Management (SAM) para permitir que los
procesos de una organizacin para demostrar que est realizando la gestin de
activos de software a una empresa para satisfacer los requisitos de
gobernabilidad y garantizar el apoyo efectivo de TI para el servicio de gestin
suficiente para un nivel general. Esta parte de la norma ISO/IEC 19770-1
describe el ciclo de vida de los procesos para la gestin del software y los
activos relacionados.
ISO/IEC 19770-2: etiquetas de identificacin de software
ISO/IEC 19770-2 proporciona un software de gestin de activos (SAM) de datos
estndar para etiquetas de identificacin de software. Software de etiquetas de
identificacin para proporcionar informacin fidedigna para identificar el
software instalado o elementos licenciables otros (tales como fuentes o
documentos de propiedad).
Este proceso comienza con el fabricante del software que utilice esta norma
para que su software sean identificados con precisin, por lo que el software es
mucho ms manejable desde el punto de vista del software de gestin de
activos. Esta norma proporciona mucho ms que la identificacin de software,
sin embargo, al permitir que otros miembros de la sistema de SAM puedan

33
aadir sus propios atributos que el proceso de identificacin de software
(incluido el que distribuye el software, que pueden tener re-empaquetadas del
software, si el software est siguiendo una norma ISO 20000 o un proceso de
liberacin de ITIL, etc.)
Un borrador de este estndar fue desarrollado inicialmente por un comit de la
Asociacin de Gerentes de Negocios Internacionales de Software (IBSMA). La
ltima versin del proyecto de esta norma fue creada por el comit IBSMA sali
para su revista pblica en mayo de 2007.
ISO/IEC 19770-3: etiquetas derecho de software
ISO / IEC 19770-3 proporcionar un software de gestin de activos (SAM) de
datos estndar para las etiquetas de derecho de concesin de licencias de
software. Las etiquetas de software el derecho son archivos informticos que
proporcionan informacin fidedigna acerca de la identificacin de los derechos
de concesin de licencias de software.

34

ISO 12207
Historia y evolucin
En 1987, en una sesin plenaria del ISO, la delegacin norteamericana solicit
al International Software Engineering Standards Group el desarrollo de una
norma relativa al proceso del ciclo de vida del software. En 1989, se constitu
el Grupo de Trabajo 7 para iniciar el proyecto.Durante 6 aos se reuniones dos
veces por ao en diversos lugares, de Budapest a Tokio, de Londres a
Washington con un tiempo de cerca de 17,000 horas por persona con
aproximadamente 1.5 millones de dlares invertidos en el desarrollo de esta
norma, que posee 60 pginas.

Descripcin de la temtica
Esta norma est orientada a los procesos de ciclo de vida del software de la
organizacin ISO. Establece un proceso de ciclo de vida para el software que
incluye procesos y actividades que se aplican desde la definicin de requisitos,
pasando por la adquisicin y configuracin de los servicios del sistema, hasta la
finalizacin de su uso.
Este estndar tiene como objetivo principal proporcionar una estructura comn
para que
compradores, proveedores, desarrolladores, personal de
mantenimiento, operadores, gestores y tcnicos involucrados en el desarrollo
de software usen un lenguaje comn.
Los procesos en los que se enfoca la norma son los procesos principales, de
apoyo y de gestin.
Esquema de la norma:

35

Desarrollo de la temtica
PROCESOS PRINCIPALES:
PROCESO DE ADQUISICIN
Identificar la necesidad, preparar una solicitud y seleccionar un
proveedor.
Gestionar el proceso.
o Actividades
o Inicio
o Preparacin de solicitud de propuestas
o Preparacin y actualizacin del contrato
o Seguimiento del proveedor
o Aceptacin y finalizacin
PROCESO DE SUMINISTRO
Determinar procedimientos y recursos para gestionar el proyecto.
Actividades
o Inicio
o Preparacin de la respuesta
o Contrato
o Planificacin
o Ejecucin y control
o Revisin y evaluacin

36
o

Entrega y finalizacin

PROCESO DE DESARROLLO
Primera parte
Contiene actividades de anlisis, diseo...para el producto software. Puede
contener actividades a nivel de sistema.
Actividades:
o Implementacin del proceso
o Anlisis de requerimientos del sistema
o Diseo de la arquitectura del sistema
o Anlisis de requerimientos de software
o Diseo de la arquitectura del software
Segunda parte
Actividades
o Diseo detallado del software
o Codificacin y pruebas del software
o Integracin del software
o Pruebas de calificacin del software
o Integracin del sistema
o Pruebas de calificacin del sistema
o Instalacin del software
o Apoyo a la aceptacin de software
PROCESO DE OPERACIN O EXPLOTACIN
Cubre la operacin del producto software y apoyo a los usuarios. Las
actividades y tareas hacen referencia al sistema.
Actividades
o Implementacin del proceso
o Pruebas de operacin
o Operacin del sistema
o Soporte al usuario
PROCESO DE MANTENIMIENTO
Modificar el producto de software preservando su integridad. Incluye la
migracin y retirada del producto.
Actividades
o Implementacin del proceso
o Anlisis de problemas y modificaciones
o Implementacin de las modificaciones
o Revisin/aceptacin del mantenimiento
o Migracin
o Retirada de software

37
Los procesos de Soporte de la norma ISO 12207 incluyen la documentacin,
gestin de la configuracin, aseguramiento de calidad, verificaciones y
validaciones, revisin conjunta, auditoria y resolucin de problemas.

38

PROCESOS DE SOPORTE
Proceso De Documentacin
El propsito de este proceso es obtener y persistir informacin, entre las
actividades a realizar se encuentra la implementacin del proceso, diseo y
desarrollo, produccin y mantenimiento.
Proceso De Gestin De Configuracin
El propsito de este proceso es identificar, definir y versionar, mediante lneas
bases, los elementos del sistema, as como tambin asegurar la completitud y
coherencia de los elementos que pertenecen a la configuracin, de controlar su
manejo, persistencia y entrega de los mismos. Entre los subprocesos de este
proceso se encuentran la implementacin del proceso, identificacin de la
configuracin, control de la configuracin, determinacin del estado de la
configuracin, evaluacin de la configuracin y gestin de liberaciones y
entregas
Proceso De Aseguramiento De La Calidad
El propsito de este proceso es proveer de mecanismos para que de manera
objetives e independientemente asegurar que los productos y/o servicios
cumplan con los estndares y requerimientos establecidos, y que el desarrollo
de otros procesos se apegue lo posible a lo planificado originalmente. Las
actividades de este proceso son: aseguramiento del producto, aseguramiento
del proceso y aseguramiento del sistema de calidad.
Proceso De Verificacin
El propsito de este proceso es proveer las evaluaciones referentes a la
verificacin de un producto o servicio de una actividad dada.
Proceso De Validacin
El propsito de este proceso es determinar si un sistema ya construido cumple
con las especificaciones y requerimientos para los cuales fue realizado.
Revisin Conjunta
El propsito de este proceso es proveer un marco que favorezca la integracin
entre inspector e inspeccionado. Los aspectos a revisar son la gestin del
proyecto y tcnicos.
Proceso De Auditoria
El propsito de este proceso es proveer un marco adecuado para establecer
auditorias formales y contractuales sobre un determinado producto o servicio
provisto. Hay que considera cuando se deben llevar a cabo, precondiciones del
auditor y auditado, los recursos, elementos participantes, desarrollo de la
misma, la etapa de finalizacin y post condiciones.

39
Proceso De Solucin De Problemas
El propsito de este proceso es proveer mecanismos para la creacin de
procesos capaces de resolver problemas y tomar acciones correctivas para
remover nuevos problemas detectados.

PROCESOS DE GESTIN NORMA ISO 12207

Los procesos de gestin de la norma ISO 12207 son los siguientes:
GESTIN
El propsito de este proceso es proveer actividades y tareas genricas que
pueden emplearse y ajustarse para gestionar otros procesos, incluye: inicio y
definicin de alcance, planificacin, ejecucin y control, revisin y evaluacin y
su etapa de terminacin.
INFRAESTRUCTURA
El propsito de este proceso es definir las actividades necesarias para
establecer y mantener las infraestructura (hardware, software, estndar,
herramientas, etc.) necesaria por otros procesos. Este proceso se ocupa del
establecimiento y mantenimiento de dicha infraestructura
MEJORA
El propsito de este proceso es proveer de actividades bsicas y de alto nivel
para establecer, evaluar, medir, controlar y mejorar un proceso de ciclo de vida
del software. ISO a determinado que se debe establecer, evaluar y mejorar los
procesos para pasar este tem.
FORMACIN RECURSOS HUMANOS
El propsito de este proceso es proporcionar y mantener al personal
capacitado, esto se logra desarrollando el material de formacin e implementar
dichos planes de formacin.

Comparativo con COBIT

Revisando la estructura de la norma ISO 12207 se encuentra que la mayora de
los procesos all planteados se encuentran contenidos dentro de los procesos
considerados por COBIT, aunque desde una perspectiva diferente, ya que la
ISO 12207 se enfoca en la parte tcnica de TI y COBIT en la gerencial de TI.
Hablando del modelado de procesos no hay una congruencia entre estos dos
marcos, la norma ISO 12207 realiza su agrupacin de procesos de acuerdo a su
relevancia en la organizacin entre procesos principales, de soporte y de la
organizacin mientras que COBIT lo realiza entre procesos semejantes de
acuerdo a su naturaleza dentro de la organizacin: planear y organizar, adquirir
e implementar, monitorear y evaluar, y por ltimo entregar y soporte.

40

Bibliografa
Caldas, U. d. (s.f.). Blog de auditoria Universidad de Caldas. Obtenido de
http://ingenieria.ucaldas.edu.co/auditoria/index.php/ISO/IEC_15404:SPICE,_ISO/I
EC_15408:2005,_ISO/IEC_19770:2006_ISO_12207
fing. (s.f.). Obtenido de
http://www.fing.edu.uy/inco/cursos/gestsoft/ppts/GS04.PPT
hazloxl. (s.f.). J.C's WEBLOG Modelos de Gestin de la Calidad del Software.
Obtenido de http://hazloxl.wordpress.com/2008/01/13/spice-isoiec-15504/
ISO. (s.f.). International Organization for Standarization. Obtenido de
http://www.iso.org/iso/pressrelease.htm%3Frefid
%3DRef1006&ei=ZzeTTazdCcHLgQe04ZQZ&sa=X&oi=translate&ct=result&res
num=1&ved=0CBsQ7gEwAA&prev=/search%3Fq%3DISO/IEC
%2B19770:2006%26hl%3Des%26biw%3D1280%26bih%3D912%26prmd
%3Divnsb
ISO. (s.f.). Wikipedia. Recuperado el Marzo de 2011, de
http://en.wikipedia.org/wiki/ISO_19770
itescam. (s.f.). Instituto Tecnolgico de Calkini. Obtenido de
http://www.google.com.co/url?
sa=t&source=web&cd=10&ved=0CEYQFjAJ&url=http%3A%2F
%2Fwww.itescam.edu.mx%2Fprincipal%2Fsylabus%2Ffpdb%2Frecursos
%2Fr52854.PPT&ei=a0STTdbFIMbXgQezzJgZ&usg=AFQjCNF7PSCiC96889lnLAk
04lvbXYnMiQ&sig2=pIyJJ3ogEoYUKp09BeVauw
ITIL. (s.f.). ISO 2000 en espaol. Recuperado el Marzo de 2011, de
http://iso20000enespanol.com/
Prez Snchez, A. M. (s.f.). Obtenido de
http://www.uc3m.es/portal/page/portal/congresos_jornadas/congreso_itsmf/ISO
%2020000%20-%20El%20estandar%20para%20la%20gestion%20de
%20servicios%20TI.pdf
Web Store. (s.f.). Recuperado el Marzo de 2011, de
http://webstore.iec.ch/preview/info_isoiec15408-2%7Bed3.0%7Den.pdf