12/10/15

1

Tema 1 Calidad TI y Gobierno TI

Sistema de Gestión de Seguridad de la Información ISO 27001:2013. Octubre 2015. TMA

Gobierno TI

§  GOBIERNO TI o IT Governance, consiste en una estructura de relaciones y procesos destinados a dirigir y controlar la empresa, con la finalidad de alcanzar sus objetivos y añadir valor mientras se equilibran los riesgos y el retorno sobre TI y sus procesos.

§  El Gobierno de TI, es una metodología de trabajo, no una solución en sí. Está orientado a proveer las estructuras que unen los procesos de TI, recursos de TI e información con las estrategias y los objetivos de la empresa. Además, el Gobierno de TI integra e institucionaliza las mejores prácticas de planificación y organización, adquisición e implementación, entrega de servicios y soporte, y monitoriza el rendimiento de TI para asegurar que la información de la empresa y las tecnologías relacionadas soportan los objetivos del negocio.

§  El Gobierno de TI conduce a la empresa a tomar total ventaja de su información logrando con esto maximizar sus beneficios, capitalizar sus oportunidades y obtener ventaja competitiva

12/10/15

2 Sistema de Gestión de Seguridad de la Información ISO 27001:2013. Octubre 2015. TMA

12/10/15

2

Gobierno TI. 10 keys

Gobierno TI 1.  Enfoque a Negocio 2.  Enfoque por procesos 3.  Orientación multi-tecnología 4.  Calidad Cloud 5.  Satisfacción al cliente/usuario 6.  Gestión diferenciada 7.  El factor humano. Do IT 360 8.  Integración tecnológica y agilidad 9.  Código 2.0. Cumplimiento legal y

Normativo 10.  Mejora contínua y Auditoría

PRINCIPIOS DE LA CALIDAD 1.  Enfoque al cliente 2.  Liderazgo 3.  Participación del personal 4.  Enfoque basado en procesos 5.  Enfoque de sistema para la

gestión 6.  Mejora contínua 7.  Enfoque basado en hechos

para la toma de decisiones 8.  Relaciones mutuamente

beneficiosas con el proveedor

Sistema de Gestión de Seguridad de la Información ISO 27001:2013. Octubre 2015. TMA

¿Por qué GOBIERNO TI?

§  Enfoque en la empresa -  Tengo un departamento de informática y “quiero que lo haga bien” -  Ofrezco productos y servicios IT y quiero tener “calidad”, implantarla , demostrarla

y que me ayude a ser más competitivo frente a mis competidores, mejorando el servicios a mis clientes.

-  Ofrecer innovación (MCIT PLAN AVANZA) -  Me lo exige el mercado, me lo exigen mi(s) cliente(s) -  Me lo exige mi proveedor.. Mi propietario -  Es mandatory, (proveedor en la nube vs exigir a mis proveedores) -  Hasta que le ve las orejas lobo

§  Otros enfoques -  Lo tienen los demás…mi competencia -  Ayuda a ganar concursos públicos -  Me vino una consultor hablándome de un tal Plan Avanza I+D ..

Sistema de Gestión de Seguridad de la Información ISO 27001:2013. Octubre 2015. TMA

12/10/15

3

¿Por dónde me decanto?

•  Gestión satisfacción cliente, calidad en procesos, ISO 9001

•  Protección activos, Seguridad de la información ISO 27001

•  Prestación servicios IT, ISO 20000 •  Desarrollo de software: SCRUM-Agile, SPICE

ISO 15504, CMMI (USA) •  I+D+I ISO 16601 •  Excelencia de calidad, enfoque a resultados,

EFQM •  SISTEMAS DE GESTIÓN INTEGRADOS,

Pass 99

Sistema de Gestión de Seguridad de la Información ISO 27001:2013. Octubre 2015. TMA

Sistemas de gestión

§  Sistemas de gestión -  ISO 14001 -  ISO 9001 -  ISO 27001 -  ISO 20000-1 -  Modelo PDCA

Sistema de Gestión de Seguridad de la Información ISO 27001:2013. Octubre 2015. TMA

12/10/15

4

ISO  38500  gobierno  TI  

ISO  20K   ISO  27K   ISO  9K  

Gobierno TI. Normas

Sistema de Gestión de Seguridad de la Información ISO 27001:2013. Octubre 2015. TMA

Buenas prácticas

§ Buenas prácticas - ISO 27002

- ITIL v3.

- ISO 20000-2

Sistema de Gestión de Seguridad de la Informaciión ISO 27001:2013. Octubre 2015. TMA

12/10/15

5

Procesos/Producto…

Sistema de Gestión de Seguridad de la Información ISO 27001:2013. Octubre 2015. TMA

La familia ISO 27001

Sistema de Gestión de Seguridad de la Información ISO 27001:2013. Octubre 2015. TMA

12/10/15

6

Proceso gestión servicios

ISO/IEC 20000-1:2005

Sistema de Gestión de Seguridad de la Información ISO 27001:2013. Octubre 2015. TMA

Contexto y partes interesadas

Sistema de Gestión de Seguridad de la Información ISO 27001:2013. Octubre 2015. TMA

12/10/15

7

ISO/IEC 15504 CMMI e ISO 15504 (conocida también como SPICE) están liderando la certificación de las normativas en organizaciones de tamaño medio-alto que ofrecen servicios en software. ISO 15504 se está convirtiendo como el estándar escogido por las empresas europeas para la evaluación de la capacidad de los procesos (nivel de madurez). Así lo indica el detallado estudio realizado por INTECO en 2010. El alcance de la norma ISO 15504 es el de Ejecutar, planificar, gestionar, controlar y mejorar los procesos de: adquisición, suministro, desarrollo, operación, soporte, mantenimiento yorganización. ISO 15504 es independiente del tipo de organización, modelo de ciclo de vida, metodología de desarrollo y de la tecnología utilizada ISO/IEC 15504 desarrolla un modelo 2-D de evaluación de la capacidad del proceso, donde se valora la organización de desarrollo software en la dimensión del proceso contra los atributos del proceso en la dimensión de capacidad. Desde 2003 se ha ido desarrollando la familia, estando éstas en contínua evolución.

Sistema de Gestión de Seguridad de la Información ISO 27001:2013. Octubre 2015. TMA