El gobierno y gestión de tecnologías de información

Las tecnologías de información, y su adopción en las organizaciones modernas, han

pasado de ser un instrumento operativo para convertirse en una herramienta estratégica. La
tecnología de manera aislada e independiente es una herramienta que hace aportes parciales
para alcanzar el logro estratégico institucional, pero no constituyen una solución por sí misma
para lograr los objetivos de desempeño, competitividad, retención y aumento de clientes, o
incremento de la cobertura de una organización. El gobierno de Tecnologías de Información
(TI) integra y apoya la institucionalización de buenas prácticas de planificación y organización,
adquisición e implementación, entrega de servicios y soporte, y monitoreo del rendimiento de
TI, para asegurar que la información administrada y las tecnologías empleadas soportan los
objetivos estratégicos organizacionales. Así, el gobierno de TI conduce a la empresa a tomar
total ventaja de su información logrando maximizar sus beneficios, capitalizar sus
oportunidades y obtener ventaja competitiva, mientras se equilibran los riesgos y el retorno
de inversión sobre TI y sus procesos. Los esfuerzos para lograr un buen gobierno de TI tienen
como fin consolidar organizaciones exitosas y perdurables en el tiempo, generando valor a
accionistas, clientes, proveedores y empleados. Los esfuerzos para consolidar un buen
gobierno de TI se deben realizar con el mínimo riesgo posible mediante la implementación de
controles e indicadores efectivos y que estén alineados con las necesidades de la
organización y sus objetivos estratégicos. Existen diferentes marcos de trabajo, estándares o
modelos ampliamente difundidos y exitosamente usados para integrar gobierno de TI en las
organizaciones. Algunos ejemplos representativos son COBIT (ITGI, 2007), IS0-38500 [1], y
Calder-Moir

La TI (tecnología de la información) es imprescindible en las empresas de hoy en día. Sin

embargo, las preocupaciones en torno a los servicios de TI tanto internos como
subcontratados crecen debido a que estos servicios no se ajustan a las necesidades de
empresas y clientes. Una solución reconocida a este problema es utilizar un sistema de
gestión de servicios de TI (SGSTI) basado en ISO 20000, la norma internacional para gestión
de servicios de TI. La ISO 20000, ofrece a las compañías la oportunidad de demostrar a
sus clientes y accionistas la integridad y seguridad de sus operaciones, y promueve
una cultura de mejora continua de la calidad en materia de gestión de servicios
tecnológicos.

La certificación ISO 20000 proporciona a las organizaciones un planteamiento estructurado

para desarrollar servicios de tecnología de la información fiables. Es un reto, pero también es
una oportunidad que tienen las empresas para salvaguardar sus sistemas de gestión de
tecnología de la información. La norma ISO 20000 se concentra en la gestión de problemas
de tecnología de la información mediante el uso de un planteamiento de servicio de asistencia
- los problemas se clasifican, lo que ayuda a identificar problemas continuados o
interrelaciones. La norma considera también la capacidad del sistema, los niveles de gestión
necesarios cuando cambia el sistema, la asignación de presupuestos financieros y el control
y distribución del software.
 Norma ISO/IEC 27001 - Gestión de la Seguridad de la Información

La información es un activo valioso que puede impulsar o destruir su empresa. Si se

gestiona de forma adecuada, le permite trabajar con confianza. La gestión de la Seguridad
de la Información le ofrece la libertad para crecer, innovar y ampliar su base de clientes
sabiendo que toda su información confidencial seguirá siéndolo.

Los Sistemas de Gestión de Seguridad de la Información (SGSI) son el medio más

eficaz de minimizar los riesgos, al asegurar que se identifican y valoran los activos y sus
riesgos, considerando el impacto para la organización, y se adoptan los controles y
procedimientos más eficaces y coherentes con la estrategia de negocio

¿Cuáles son los beneficios de la norma ISO/IEC 27001 de Gestión de la

Seguridad de la Información?

● Identificar los riesgos y establecer controles para gestionarlos o eliminarlos

● Confidencialidad, asegurando que sólo quienes estén autorizados puedan acceder a
la información
● Flexibilidad para adaptar los controles a todas las áreas de su empresa o solo a
algunas seleccionadas
● Conseguir que las partes interesadas y los clientes confíen en la protección de los
datos
● Demostrar conformidad y conseguir el estatus de proveedor preferente
● Alcanzar las expectativas demostrando conformidad

¿Se integra un SGSI con otros sistemas de gestión?

Un SGSI es, en primera instancia, un sistema de gestión, es decir, una herramienta

de la que dispone la gerencia para dirigir y controlar un determinado ámbito, en este caso, la
seguridad de la información. La gestión de las actividades de las organizaciones se
realiza, cada vez con más frecuencia, según sistemas de gestión basados en
estándares internacionales: se gestiona la calidad según ISO 9001, el impacto medio-
ambiental según ISO 14001 o la prevención de riesgos laborales según OHSAS 18001.
Ahora, se añade ISO 27001 como estándar de gestión de seguridad de la información. Las
empresas tienen la posibilidad de implantar un número variable de estos sistemas de gestión
para mejorar la organización y beneficios sin imponer una carga a la organización. El objetivo
último debería ser llegar a un único sistema de gestión que contemple todos los aspectos
necesarios para la organización, basándose en el ciclo PDCA de mejora continua común a
todos estos estándares. Las facilidades para la integración de las normas ISO son evidentes
mediante la consulta de sus anexos. ISO 27001 detalla en su Anexo C, punto por punto,
la correspondencia entre esta norma y la ISO 9001 e ISO 14001. Ahí se observa la alta
correlación existente y se puede intuir la posibilidad de integrar el sistema de gestión
de seguridad de la información en los sistemas de gestión existentes ya en la organización.
Algunos puntos que suponen una novedad en ISO 27001 frente a otros estándares son la
evaluación de riesgos y el establecimiento de una declaración de aplicabilidad (SOA), aunque
ya se plantea incorporar éstos al resto de normas en un futuro.

En relación a los controles de seguridad, el estándar ISO 27002 (antigua ISO 17799)
proporciona una completa guía de implantación que contiene 133 controles, según 39
objetivos de control agrupados en 11 dominios. Esta norma es referenciada en ISO
27001, en su segunda cláusula, en términos de “documento indispensable para la
aplicación de este documento” y deja abierta la posibilidad de incluir controles
adicionales en el caso de que la guía no contemplase todas las necesidades
particulares.

ISO 27000: En fase de desarrollo; su fecha prevista de publicación es Noviembre de

2008. Contendrá términos y definiciones que se emplean en toda la serie 27000. La aplicación
de cualquier estándar necesita de un vocabulario claramente definido, que evite distintas
interpretaciones de conceptos técnicos y de gestión. Esta norma está previsto que sea
gratuita, a diferencia de las demás de la serie, que tendrán un coste. ISO 27001: Publicada
el 15 de Octubre de 2005. Es la norma principal de la serie y contiene los requisitos del
sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 y
es la norma con arreglo a la cual se certifican por auditores externos los SGSI de las
organizaciones. Sustituye a la BS 7799-2, habiéndose establecido unas condiciones de
transición para aquellas empresas certificadas en esta última. En su Anexo A, enumera en
forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005
(nueva numeración de ISO 17799:2005 desde el 1 de Julio de 2007), para que sean
seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no ser
obligatoria la implementación de todos los controles enumerados en dicho anexo, la
organización deberá argumentar sólidamente la no aplicabilidad de los controles no
implementados. Desde el 28 de Noviembre de 2007, esta norma está publicada en España
como UNE-ISO/IEC 27001:2007 y puede adquirirse online en AENOR. WWW.ISO27000.ES
Otros países donde también está publicada en español son, por ejemplo, Colombia,
Venezuela y Argentina. El original en inglés y la traducción al francés pueden adquirirse en
ISO.org. ISO 27002: Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005,
manteniendo 2005 como año de edición. Es una guía de buenas prácticas que describe los
objetivos de control y controles recomendables en cuanto a seguridad de la información. No
es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios.
Como se ha mencionado en su apartado correspondiente, la norma ISO27001 contiene un
anexo que resume los controles de ISO 27002:2005. En España, aún no está traducida
(previsiblemente, a lo largo de 2008). Desde 2006, sí está traducida en Colombia (como ISO
17799) y, desde 2007, en Perú (como ISO 17799; descarga gratuita). El original en inglés y
su traducción al francés pueden adquirirse en ISO.org. ISO 27003: En fase de desarrollo; su
fecha prevista de publicación es Mayo de 2009. Consistirá en una guía de implementación de
SGSI e información acerca del uso del modelo PDCA y de los requerimientos de sus
diferentes fases. Tiene su origen en el anexo B de la norma BS7799-2 y en la serie de
documentos publicados por BSI a lo largo de los años con recomendaciones y guías de
implantación. • ISO 27004: En fase de desarrollo; su fecha prevista de publicación es
Noviembre de 2008. Especificará las métricas y las técnicas de medida aplicables para
determinar la eficacia de un SGSI y de los controles relacionados. Estas métricas se usan
fundamentalmente para la medición de los componentes de la fase “Do” (Implementar y
Utilizar) del ciclo PDCA. • ISO 27005: Publicada el 4 de Junio de 2008. Establece las
directrices para la gestión del riesgo en la seguridad de la información. Apoya los conceptos
generales especificados en la norma ISO/IEC 27001 y está diseñada para ayudar a la
aplicación satisfactoria de la seguridad de la información basada en un enfoque de gestión
de riesgos. El conocimiento de los conceptos, modelos, procesos y términos descritos en la
norma ISO/IEC 27001 e ISO/IEC 27002 es importante para un completo entendimiento de la
norma ISO/IEC 27005:2008, que es aplicable a todo tipo de organizaciones (por ejemplo,
empresas comerciales, agencias gubernamentales, organizaciones sin fines de lucro) que
tienen la intención de gestionar los riesgos que puedan comprometer la organización de la
seguridad de la información. Su publicación revisa y retira las normas ISO/IEC TR 13335-
3:1998 y ISO/IEC TR 13335-4:2000. En España, esta norma aún no está traducida. El original
en inglés puede adquirirse en ISO.org. • ISO 27006: Publicada el 13 de Febrero de 2007.
Especifica los requisitos para la acreditación de entidades de auditoría y certificación de
sistemas de gestión de seguridad de la información. Es una versión revisada de EA-7/03
(Requisitos para la acreditación de entidades que operan certificación/registro de SGSIs) que
añade a ISO/IEC 17021 (Requisitos para las entidades de auditoría y certificación de sistemas
de gestión) los requisitos específicos relacionados con ISO 27001 y los SGSIs. Es decir,
ayuda a interpretar los criterios de acreditación de ISO/IEC 17021 cuando se aplican a
entidades de certificación de ISO 27001, pero no es una norma de acreditación por sí misma.
En España, esta norma aún no está traducida. El original en inglés puede adquirirse en
ISO.org. WWW.ISO27000.ES © 5 • ISO 27007: En fase de desarrollo; su fecha prevista de
publicación es Mayo de 2010. Consistirá en una guía de auditoría de un SGSI. • ISO 27011:
En fase de desarrollo; su fecha prevista de publicación es finales de 2008. Consistirá en una
guía de gestión de seguridad de la información específica para telecomunicaciones,
elaborada conjuntamente con la ITU (Unión Internacional de Telecomunicaciones). • ISO
27031: En fase de desarrollo; su fecha prevista de publicación es Mayo de 2010. Consistirá
en una guía de continuidad de negocio en cuanto a tecnologías de la información y
comunicaciones. • ISO 27032: En fase de desarrollo; su fecha prevista de publicación es
Febrero de 2009. Consistirá en una guía relativa a la ciberseguridad. • ISO 27033: En fase de
desarrollo; su fecha prevista de publicación es entre 2010 y 2011. Es una norma consistente
en 7 partes: gestión de seguridad de redes, arquitectura de seguridad de redes, escenarios
de redes de referencia, aseguramiento de las comunicaciones entre redes mediante
gateways, acceso remoto, aseguramiento de comunicaciones en redes mediante VPNs y
diseño e implementación de seguridad en redes. Provendrá de la revisión, ampliación y
renumeración de ISO 18028. • ISO 27034: En fase de desarrollo; su fecha prevista de
publicación es Febrero de 2009. Consistirá en una guía de seguridad en aplicaciones.

Gestión de servicios
¿En qué consiste la norma 20000?

La ISO 20000-1 fue creada por la International Organization for Standardization (ISO)
y es la norma utilizada para la certificación. Ha reemplazado a la norma BS 15000 y
proporciona una norma internacionalmente reconocida de sistema de gestión de servicios de
TI. Comprende gran parte del contenido de la BS 15000, pero el material se ha reorganizado
para alinearlo y armonizarlo con otras normas internacionales.

A norma también ha tenido en cuenta y ha utilizado otros documentos públicos incluyendo la

norma ISO/IEC 20000-2 el Código de Buenas Prácticas de la gestión de servicios de TI y la
ampliamente aceptada guía de la Librería de Infraestructura de TI (ITIL®, por su siglas en
inglés, IT Infraestructura Library) elaborada a partir de sectores públicos y privados.

La ISO 20000 utiliza un enfoque exhaustivo de la gestión de servicios de TI y define un

conjunto de procesos necesarios para ofrecer un servicio efectivo. Recoge desde procesos
básicos relacionados con la gestión de la configuración y la gestión del cambio hasta procesos
que recogen la gestión de incidentes y problemas. La norma adopta un enfoque de proceso
para el establecimiento, la implementación, operación, monitorización, revisión,
mantenimiento, y mejora del sistema de gestión de servicios de TI.

Alineación con otras normas de sistemas de gestión

La ISO 20000 está alineada con otras normas de sistemas de gestión y esto facilita la
implementación y funcionamiento en las empresas en las que se necesitan sistemas
integrados. Esto tiene como resultado:

● Armonización con las normas de sistema de gestión, como son la ISO 9001 y la ISO
27001
● Énfasis en la mejora continua del proceso de su sistema de gestión de servicios de TI
● Aclaración de requisitos mínimos de planes, documentación y registros
● Uso efectivo del modelo Planear, Hacer, Comprobar, Actuar (PDCA por sus siglas en
inglés, Plan, Do, Check, Act).

Gestión de activos de software

 ISO 19770 Esta norma consta de dos partes. La primera explica los procesos de
Gestión de Activos de Software y la segunda, la metodología y procedimiento de identificación
de productos, orientada a facilitar la labor de inventario. La ISO 19770 es un caso especial
de norma, puesto que combina la descripción de procesos y las versiones de software. Una
implementación correcta de esta norma en una organización no obliga a hacerlo de ambas
partes, ya que son independientes.

Procesos del ciclo de vida del software

ISO/IEC 12207 Information Technology / Software Life Cycle Processes, es el

estándar para los procesos de ciclo de vida del software de la organización ISO
La estructura del estándar ha sido concebida de manera que pueda ser adaptada a las
necesidades de cualquiera que lo use. Para conseguirlo, el estándar se basa en dos principios
fundamentales: modularidad y responsabilidad. Con la modularidad se pretende conseguir
procesos con un mínimo acoplamiento y una máxima cohesión. En cuanto a la
responsabilidad, se busca establecer un responsable para cada proceso, facilitando la
aplicación del estándar en proyectos en los que pueden existir distintas personas u
organizaciones involucradas, no importando el uso que se le dé a este.
La ISO 14024 recomienda considerar las siguientes fases del ciclo de vida de un producto:

- Extracción de recursos
- Producción
- Distribución
- Utilización
- Recogida de desechos

Mejora de la calidad del desarrollo de software

La norma ISO/IEC 15504 ha sido denominada como Determinación de la Capacidad

de Mejora del Proceso de Software o SPICE nos propone un modelo para la evaluación de la
capacidad en los procesos de desarrollo de productos software.
La norma ISO/IEC 15504 establece requisitos para una evaluación de procesos y los modelos
de evaluación pretendiendo que dichos requisitos pueden ser aplicados en cualquier modelo
de evaluación en una empresa.
Todos los requisitos para la evaluación de procesos comprenden:

- Evaluación de procesos
- Mejora los procesos
- Evaluar la capacidad y la madurez de los procesos

ISO 33000 La familia de normas ISO/IEC 33000 proporciona un marco de trabajo

coherente para la evaluación de procesos software que sustituye las diferentes partes de la
norma ISO/IEC 15504. El propósito de la serie de estándares ISO/IEC 33000 es proporcionar
un enfoque estructurado para la evaluación de procesos
ISO 9126 es un estándar internacional para la evaluación de la calidad del software. Está
reemplazado por el proyecto SQuaRE, ISO 25000:2005, el cual sigue los mismos conceptos.
- Funcionalidad - Un conjunto de atributos que se relacionan con la existencia de un
conjunto de funciones y sus propiedades específicas. Las funciones son aquellas que
satisfacen las necesidades implícitas o explícitas.
- Adecuación - Atributos del software relacionados con la presencia y aptitud de un
conjunto de funciones para tareas especificadas.
- Exactitud - Atributos del software relacionados con la disposición de resultados o
efectos correctos o acordados.
- Interoperabilidad - Atributos del software que se relacionan con su habilidad para la
interacción con sistemas especificados.
- Seguridad - Atributos del software relacionados con su habilidad para prevenir acceso
no autorizado ya sea accidental o deliberado, a programas y datos.
- Fiabilidad - Un conjunto de atributos relacionados con la capacidad del software de
mantener su nivel de prestación bajo condiciones establecidas durante un período
establecido.
- Madurez - Atributos del software que se relacionan con la frecuencia de falla por fallas
en el software.
- Tolerancia a fallos - Atributos del software que se relacionan con su habilidad para
mantener un nivel especificado de desempeño en casos de fallas de software o de
una infracción a su interfaz especificada.
- Cumplimiento de Fiabilidad - La capacidad del producto software para adherirse a
normas, convenciones o legislación relacionadas con la fiabilidad.
- Usabilidad - Un conjunto de atributos relacionados con el esfuerzo necesario para su
uso, y en la valoración individual de tal uso, por un establecido o implicado conjunto
de usuarios.
- Aprendizaje- Atributos del software que se relacionan al esfuerzo de los usuarios para
reconocer el concepto lógico y sus aplicaciones.
- Comprensión - Atributos del software que se relacionan al esfuerzo de los usuarios
para reconocer el concepto lógico y sus aplicaciones.
- Operatividad - Atributos del software que se relacionan con el esfuerzo del usuario
para la operación y control del software.
- Eficiencia - Conjunto de atributos relacionados con la relación entre el nivel de
desempeño del software y la cantidad de recursos necesitados bajo condiciones
establecidas.
- Comportamiento en el tiempo - Atributos del software que se relacionan con los
tiempos de respuesta y procesamiento y en las tasas de rendimientos en desempeñar
su función.
- Comportamiento de recursos - Usar las cantidades y tipos de recursos adecuados
cuando el software lleva a cabo su función bajo condiciones determinadas.
- Mantenibilidad - Conjunto de atributos relacionados con la facilidad de extender,
modificar o corregir errores en un sistema software.
- Estabilidad - Atributos del software relacionados con el riesgo de efectos inesperados
por modificaciones.
- Facilidad de análisis - Atributos del software relacionados con el esfuerzo necesario
para el diagnóstico de deficiencias o causas de fallos, o identificaciones de partes a
modificar.
- Facilidad de cambio - Atributos del software relacionados con el esfuerzo necesario
para la modificación, corrección de falla, o cambio de ambiente.
 - Facilidad de pruebas - Atributos del software relacionados con el esfuerzo necesario
para validar el software modificado.
- Portabilidad - Conjunto de atributos relacionados con la capacidad de un sistema de
software para ser transferido y adaptado desde una plataforma a otra.
- Capacidad de instalación - Atributos del software relacionados con el esfuerzo
necesario para instalar el software en un ambiente especificado.
- Capacidad de reemplazamiento - Atributos del software relacionados con la
oportunidad y esfuerzo de usar el software en lugar de otro software especificado en
el ambiente de dicho software especificado.
- Calidad en uso - Conjunto de atributos relacionados con la aceptación por parte del
usuario final y Seguridad.
- Eficacia - Atributos relacionados con la eficiencia del software cuando el usuario final
realiza los procesos.
- Productividad - Atributos relacionados con el rendimiento en las tareas cotidiana
realizadas por el usuario final.
- Seguridad - Atributos para medir los niveles de riesgo.

Ciclo de vida de desarrollo de software para pequeñas empresas

ISO 29110 La actividad económica desarrollada por la industria del software está
tomando cada vez más importancia a nivel mundial. La cantidad de empresas dedicadas al
desarrollo software está experimentado un fuerte crecimiento, en línea con el incremento de
la demanda de productos del sector. Según los últimos datos publicados en (INTECO, 2008),
el sector del desarrollo de software español ha experimentado un alza del 8% en 2006 para
situarse en unas cifras de facturación global de cerca de 1.600 millones.

Pruebas de software

ISO 29119 Son varias las normas que las principales organizaciones de normalización
(ISO, IEEE, BSI, etc.) han publicado a lo largo de los últimos años relacionadas directa o
indirectamente con la verificación y validación del software. Sin embargo, es en mayo de 2007
cuando ISO creó un grupo de trabajo (WG26) para desarrollar un nuevo “Estándar de Pruebas
Software”. El objetivo principal de esta norma, actualmente en desarrollo, es que sirva de
referente internacional en el ámbito de las pruebas software y que permita tanto eliminar las
inconsistencias existentes entre las actuales normas, así como cubrir aquellas áreas del
“testing” que simplemente no habían sido tratadas hasta ahora en el resto de normas
publicadas. Esta futura norma se conoce como “ISO/IEC 29119 Software Testing”, cuya
publicación en versión FIS (Final International Standard) está prevista para mediados del año
2012.
La norma ISO/IEC 14598 es un estándar que proporciona un marco de trabajo para evaluar
la calidad de todo tipo de producto software e indica los requisitos para los métodos de
medición y el proceso de evaluación, proporcionando métricas y requisitos para los procesos
de evaluación, a través de 6 etapas.

Gestión de la continuidad del negocio.

 ISO 22301 Todas las empresas, a lo largo de su trayectoria, es muy posible que se
hayan encontrado con alguna situación que le haga temblar poniendo en peligro la
supervivencia. Muchas empresas, optan por implantar Sistemas de Gestión de Continuidad
de Negocio con la ISO 22301, de forma rápida ante perturbaciones que alteren sus
operaciones diarias.
Los Sistemas de Gestión de Continuidad de Negocio permiten que las empresas
reestablezcan su operativa después de que haya ocurrido un accidente, que haya provocado
la interrupción de su negocio, pero además tratará de proteger la reputación, el cumplimiento
de plazos, la satisfacción del cliente y la prevención de posibles pérdidas económicas.
La norma ISO 22301, establece los requisitos a seguir por los Sistemas de Gestión de
Continuidad de Negocio para que sean mucho más eficientes.