Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

NORMAS ISO 9000 Auditoria de Sistemas

No description

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of NORMAS ISO 9000 Auditoria de Sistemas

PRESENTADO POR:
Jose Rubert Aldana
Ivonne Tatiana Perdomo
Laura Nataly Zea
Jenny Marcela Gutierrez Organización internacional para la Normalización Diseñar, desarrollar, promover y mantener normas comunes a nivel mundial. MISION: Está representada en ISO a través de Instituto Colombiano de Normas Técnicas - ICONTEC. Fundada en Ginebra (Suiza), en 1946, está integrada por más de cien (130) países. Organización Internacional para la Normalización La naturaleza especial de la Auditoría de Sistemas de Información, y las capacidades necesarias para la realización de dichas auditorías, requieren estándares de aplicación específica a la auditoría de sistemas. Por lo mismo que la información es un activo vital para el éxito y la continuidad en el mercado de cualquier organización.
El aseguramiento de dicha información y de los sistemas que la procesan es, por tanto, un objetivo de primer nivel para la organización.
Para la adecuada gestión de la seguridad de la información, es necesario implantar un sistema que aborde esta tarea de una forma metódica, documentada y basada en unos objetivos claros de seguridad y una evaluación de los riesgos a los que está sometida la información de la organización.
Estándares Internacionales para la Auditoría de Sistemas
Para fines de orden mostramos los Organismos de Normalización de auditoría de sistemas de información:
Internacionales: ISO/IEC/UIT-T
Europeos: CEN/CENELEC/ETSI
Americano: COPANT
Español: AENOR
ISO 27001: Esta norma contiene los requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se certifican por auditores externos los SGSI de las organizaciones. Enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002.
Esta norma internacional (27001) especifica los requisitos para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar un SGSI documentado dentro del contexto global de los riesgos de negocio de la organización. Especifica los requisitos para la implantación de los controles de seguridad hechos a medida de las necesidades de organizaciones individuales o partes de las mismas
ESTÁNDARES ESPECIFICOS Muchas personas habrán advertido la falta de correspondencia entre el supuesto acrónimo en inglés de la Organización y la palabra “ISO”. Así sería, pero ISO no es el acrónimo.

En efecto, “ISO” es una palabra, que deriva del Griego “isos”, que significa “igual”, el cual es la raíz del prefijo “iso” el cual aparece en infinidad de términos.
Desde “igual” a “estándar” es fácil seguir por esta línea de pensamiento que fue lo que condujo a elegir “ISO” como nombre de la Organización ¿De donde proviene el nombre ISO?: La Organización ISO está compuesta por tres tipos de miembros:
Miembros simples, uno por país, recayendo la representación en el organismo nacional más representativo.
Miembros correspondientes, de los organismos de países en vías de desarrollo y que todavía no poseen un comité nacional de normalización. No toman parte activa en el proceso de normalización pero están puntualmente informados acerca de los trabajos que les interesen.
Miembros suscritos, países con reducidas economías a los que se les exige el pago de tasas menores que a los correspondientes. Estructura de la organización PRINCIPALES NORMAS ISO 9000 Principales normas ISO
Algunos estándares ISO 9000 Sistema de Gestion
de Calidad Familias de las ISO
Fundamentos y Vocabulario
La Norma ISO 9000 describe los fundamentos de los sistemas de gestión de la calidad y especifica la terminología para los sistemas de gestión de la calidad.
El vocabulario de la versión ISO 9000:2000 ha sido elaborado para hacerlas más fáciles de entender y de implementar por las organizaciones grandes y pequeñas de manufactura o de servicios, en los sectores público y privado. Hoy, empresas de todo el mundo, grandes y pequeñas, así como organizaciones dedicadas a la educación, a la salud y todo tipo de servicios desarrollan su sistema de calidad en base a las normas ISO serie 9000.   ¿Quiénes usan las normas ISO 9000? Enfoque basado en procesos 8 PRINCIPIOS DEL SGC ISO 9001 versión 2008 ISO 216 Especifica los formatos de papel y es usada actualmente en muchos países del mundo. ISO 9001 Sistemas de Gestión de la Calidad.
Requisitos.
La norma ISO 9001 se orienta más claramente a los requisitos del sistema de gestión de la calidad de una organización para demostrar su capacidad para satisfacer las necesidades de los clientes,
¿ QUE BUSCA LA ISO 9001?
Establecer
Documentar
Mantener
Mejorar e
Implementar un SGC ISO 9001 versión 2008 Identificar los procesos necesarios para el SGC y su aplicación en la Organización, determinando la secuencia e interacción de estos procesos Determinar los criterios y métodos necesarios para asegurarse que tanto la operación como el control de los procesos sean eficaces Asegurar la disponibilidad de la información y recursos para apoyar la operación y el seguimiento de los procesos Hacer seguimiento medir y analizar los procesos e implementar acciones necesarias para alcanzar los resultados planificados y la mejora continua de estos procesos REQUISITOS
SISTEMA DE GESTION DE CALIDAD ISO 9000
CERTIFICACION Y
SGC Certificaciones y normativas de calidad en software Information Technology / Software Life Cycle Processes, es el estándar para los procesos de ciclo de vida del software de la organización. Es la base para ISO 15504-SPICE. ISO/IEC 12207 Ingeniería del software. Guía de aplicación de la ISO 9001:2000 al software (NO es CERTIFICABLE. Es una norma de buenas prácticas para definir con más detalle los conceptos de software sobre los procesos de la organización). ISO/IEC 9003 en el alcance sobre el software y sobre los procesos productivos de la organización. No siempre sobre el desarrollo, puede ser en la identificación de requisitos, en el propio desarrollo y por ejemplo en la entrega y mantenimiento. ISO 9001 Capability Maturity Model Integration (CMMI)
CMMI se ha convertido mundialmente en un requisito para acceder a la exportación de servicios de software. La norma provee una guía para implementar una estrategia de calidad y mejorar los procesos de una organización que se dedica al desarrollo y/o mantenimiento de software. Dispone de un esquema de certificación creado sobre organismos privados. (no normas ISO) Actualmente existen en el mercado “normativo” diversas opciones de las que destacamos: ISO 9000
Certificacion y Calidad de
Software Requisitos ISO ISO 9001 - 1401 ISO 9002 la norma ISO 9002 es un Modelo para el Aseguramiento de la Calidad en Producción e Instalación y servicio asociado.
Esta define los criterios de aseguramiento de calidad a aplicar cuando se produce o se realiza instalaciones.
Las etapas de la producción con ISO 9002 están 100% bajo control, esto quiere decir que una vez supervisadas o inspeccionadas no alterarán la calidad del producto terminado. Para lograr el aseguramiento de la calidad en la producción de acuerdo a la norma ISO 9002 se tiene que seguir las siguientes condiciones:
Reune una serie de documentación en donde se encuentre bien especificadas las instrucciones que demuestren la manera de realizar los procesos de producción.
Utiliza equipo apropiado de producción (alta tecnología).
Monitorea y controla los parámetros de los procesos de producción y características del producto durante la manufactura y montaje.
Los criterios de trabajo se estipulan, al mayor grado práctico posible, a través de normas por escrito o a través de muestras representativas.
Se realiza· mantenimiento del equipo, con el fin de evitar inconformidades. ISO 9003 Modelo para aseguramiento de la calidad en inspección y ensayos finales. Para utilizar cuando el proveedor asegura la conformidad con requisitos especificados, únicamente en inspección y ensayos finales.
Se enfatiza que los requisitos del sistema de calidad especificados en la NTC ISO-9001, en la NTC ISO-9002 y en la NTC ISO-9003 son complementarios(N o alternativos) de los requisitos técnicos del producto o servicio. Estas normas establecen requisitos que determinan que elementos tienen que comprender los sistemas de calidad. El diseño de estas normas permite que estas sean genéricas, independientes de cualquier industria o sector económico concreto.
Por lo tanto el diseño y la implementación de este sistema de calidad será influido por las necesidades variables de la organización de esta empresa, sus objetivos particulares, los productos y servicios suministrados, procesos, prácticas y demás elementos pertenecientes a la empresa.
ESTANDARES APLICABLES A LA AUDITORIA DE SISTEMAS DE INFORMACION A continuación una serie de estándares generales que guían el desarrollo de proyectos de SI:
A. Directrices Gerenciales de COBIT, desarrollado por la Information Systems Audit and Control Association (ISACA):
Las Directrices Gerenciales son un marco internacional de referencias que abordan las mejores prácticas de auditoría y control de sistemas de información. Permiten que la gerencia incluya, comprenda y administre los riesgos relacionados con la tecnología de información y establezca el enlace entre los procesos de administración, aspectos técnicos, la necesidad de controles y los riesgos asociados.
ESTANDARES APLICABLES A LA AUDITORIA DE SISTEMAS DE INFORMACION A continuación una serie de estándares generales que guían el desarrollo de proyectos de SI:
A. Directrices Gerenciales de COBIT, desarrollado por la Information Systems Audit and Control Association (ISACA):
Las Directrices Gerenciales son un marco internacional de referencias que abordan las mejores prácticas de auditoría y control de sistemas de información. Permiten que la gerencia incluya, comprenda y administre los riesgos relacionados con la tecnología de información y establezca el enlace entre los procesos de administración, aspectos técnicos, la necesidad de controles y los riesgos asociados. B. The Management of the Control of data Information Technology, desarrollado por el Instituto Canadiense de Contadores Certificados (CICA):
Este modelo está basado en el concepto de roles y establece responsabilidades relacionadas con seguridad y los controles correspondientes. Dichos roles están clasificados con base en siete grupos: administración general, gerentes de sistemas, dueños, agentes, usuarios de sistemas de información, así como proveedores de servicios, desarrollo y operaciones de servicios y soporte de sistemas. Además, hace distinción entre los conceptos de autoridad, responsabilidad y responsabilidad respecto a control y riesgo previo al establecimiento del control, en términos de objetivos, estándares y técnicas mínimas a considerar. ISO 9000 para Auditoría a sistemas 1. El concepto de auditoría a un sistema de gestión de la calidad.
La norma ISO 9000:2005 Sistemas de gestión de la calidad – Fundamentos y vocabulario, 3ª edición define en la cláusula 3.9.1 el concepto de auditoría de la siguiente manera:
Auditoría: proceso sistemático, independiente y documentado para obtener evidencia de auditoría y evaluarla objetivamente para determinar el grado en el cual se cumplen los criterios de auditoría. 2. El concepto de evidencia de auditoría.
La norma ISO 9000:2005 Sistemas de gestión de la calidad – Fundamentos y vocabulario, 3ª edición define en la cláusula 3.9.4 el concepto de evidencia de auditoría como se muestra a continuación:
Evidencia de auditoría: registros, declaraciones de hechos u otra información que son pertinentes con los criterios de auditoría y es verificable. 3. El concepto de criterios de auditoría.
La norma ISO 9000:2005 Sistemas de gestión de la calidad – Fundamentos y vocabulario, 3ª edición define en la cláusula 3.9.3 el concepto de criterio de auditoría como se muestra a continuación:
Criterio de auditoría: conjunto de políticas, procedimientos o requisitos.
Nota: los criterios de auditorías son empleados como referencias con los cuales se compara la
evidencia de auditoría. 4. Tipos de auditorías.
Las auditorías pueden ser auditorías internas (también conocidas como auditorías de primera parte) o auditorías externas (que pueden incluir auditorías de segunda parte o auditorías de tercera parte).

Las auditorías internas, denominadas algunas veces comoauditorías de primera parte, se realizan por, o en nombre de, la propia organización, para fines internos y puede constituir la base para la auto-declaración de conformidad de una organización. En muchos casos, particularmente en las pequeñas organizaciones, la independencia puede ser demostrada mediante la libertad de responsabilidad en la actividad que está siendo auditada. Las auditorías externas incluyen aquellas denominadas generalmente como auditorías desegunda y tercera parte.
Las auditorías de segunda parte se realizan por partes que tienen un interés en la organización,
tales como clientes, o por otras personas en su nombre.Las auditorías de tercera parte se realizan a través de organizaciones de auditoría independiente, tales como aquellas que proporcionan la certificación de conformidad con ISO 9001

o ISO 14001. Cuando dos o más sistemas de gestión se auditan juntos, la auditoría se denomina auditoría combinada.
Cuando dos o más organizaciones auditoras cooperan para auditar una un auditado, la auditoría se denomina auditoría conjunta.
Si está interesado en aprender como planear y llevar a cabo auditorías a sistemas de gestión de la calidad le recomendamos que visite el siguiente vínculo: 5. Normatividad que deben de cumplir las auditorías a sistemas de gestión de la calidad. Las auditorías a sistemas de gestión de la calidad deben cumplir con lo establecido en la cláusula 8.2.2 Auditoría interna de la norma internacional ISO 9001:2008 Sistemas de gestión de la calidad - Requisitos y la norma ISO 19011:2002 Directrices para auditar sistemas de gestión de la calidad y/o ambiental.
La norma ISO 9000:2005 le proporcionará los fundamentos y vocabulario que debe de conocerpara poder interpretar correctamente las normas ISO 9001:2008 e ISO 19011:2002.Si desea saber más sobre como llevar a cabo auditorías a sistemas de gestión de la calidad emplenado las normas ISO 9001:2008, ISO 9000:2005 e ISO 19011:2002 le recomendamos que visite el siguiente vínculo. Calidad del Producto Software y la norma ISO/IEC 25000 La calidad del producto junto con la calidad del proceso son los aspectos más importantes actualmente en el desarrollo de Software. En calidad del producto recientemente ha aparecido una nueva versión de la norma ISO/IEC 9126: la norma ISO/IEC 25000. Esta proporciona una guía para el uso de las nuevas series de estándares internacionales, llamados Requisitos y Evaluación de Calidad de Productos de Software (SQuaRE). Constituyen una serie de normas basadas en la ISO 9126 y en la ISO 14598 (Evaluación del Software), y su objetivo principal es guiar el desarrollo de los productos de software con la especificación y evaluación de requisitos de calidad. Establece criterios para la especificación de requisitos de calidad de productos software, sus métricas y su evaluación. Calidad del Producto Software y la norma ISO/IEC 25000 Si tu empresa realiza algún proceso de software entregado a terceros, por qué certificarse/evaluarse con una normativa?
Los sistemas de tecnologías de la información desempeñan un papel crítico en la práctica totalidad de las empresas. Si además nuestro negocio representa ofrecerlos a terceros, la garantía de que se está haciendo bien genera directamente negocio. El mundo del desarrollo de software como otro servicio TIC necesita una supervisión constante por parte de profesionales para mantenerlos actualizados y en condiciones de funcionamiento. La certificación en ISO15504 o CMMI proporciona a las organizaciones un planteamiento estructurado para desarrollar servicios de aplicaciones software fiables. Es un reto. Pero también es una oportunidad que tienen las empresas para generar más clientes y abrirse a nuevos mercados. certificación de calidad de software Las normas de calidad otorgan un diferencial para las empresas de software. Pero el proceso para conseguirlas puede prolongarse a casi dos años, y a cambios internos en las compañías que aspiran a certificar los programas que fabrican La certificación y calificación de servicios de software constituyen un diferencial muy importante para las empresas informáticas, en el contexto de fuerte competencia local y mundial.
Los beneficios son indudables: además de dar un valor agregado, la certificación de calidad facilita la comunicación con otras compañías que alcanzaron la misma madurez.
¿Cómo se obtienen estas certificaciones, ya sea las normas ISO o las que emite el Software Engineering Institute (SEI) de la Carnegie Mellon University? Procesos Del Sastre explicó que para el planeamiento y la realización de este proyecto hay que considerar los siguientes pasos:
Identificar en el mercado al que se orienta la organización cuál es el modelo de calidad de software con mayor vigencia y elegirlo.
Evaluar la situación actual de la organización y compararla con las exigencias del modelo de calidad elegido. Se denomina a esta tarea GAP Analysis.
A partir del GAP Analysis se planifica un proyecto de mejoras que busca corregir las debilidades en los procesos de la organización. Del Sastre advirtió que el plan debe cumplir una serie de requisitos:
Un "compromiso fuerte del máximo nivel jerárquico de la organización".
Una asignación específica y firme de los recursos incluidos en el plan.
Revisiones periódicas para medir la reducción y/o eliminación de las debilidades encontradas en el GAP Analysis.
Criterios para medir cómo el proyecto de mejoras impacta en el cumplimiento de los objetivos de la organización.
La realización de una evaluación externa que permita calificar a la organización con respecto al modelo de calidad elegido. Costos Los costos de un proyecto de certificación de calidad del software varía de acuerdo al modelo de calidad elegido, los resultados del GAP Analysis y la calidad de los recursos asignados al proyecto.
En el caso de una certificación de calidad, como las ISO 9000, "los tiempos y costos son muy similares", informó a Infobaeprofesional.com Claudio Costa, gerente de Tecnología de la Información del Instituto Argentino de Normalización y Certificación (IRAM). Tiempos Un proceso de certificación no es un trámite sencillo y veloz. Y puede llegar a superar los dos años. "Varía de acuerdo con el proyecto de mejoras planificado", dijo Del Sastre. Por ejemplo, alcanzar un Nivel de Madurez 2 en el Modelo CMMI del SEI tiene una duración promedio de 20 meses. En el caso de IBM Argentina, Yvorra informó que el proceso de transformación para funcionar en un nivel 5 de madurez, demandó 30 meses, partiendo de una certificación CMM3. El proceso de evaluación tuvo una duración de seis meses. "Los primeros 4 meses en llegar a la revisión previa y dos meses mas para llegar al appraisal definitivo", precisó. Proyectado:

ANDRES MAURICIO ROMERO

EDISON MAURICIO BALLESTEROS RAMIREZ
Full transcript