NORMA ISO 27001 �SO/IEC-27001 - Casos de Exito

NORMA ISO 27001 SO/IE C -27001

ISO 27001

Requisitos para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI)   .         

Beneficios de la implementación de la norma ISO 27001 Previene o reduce eficazmente el nivel de riesgo, mediante la implantación de los controles adecuados; de este modo, prepara a la organización ante posibles emergencias y garantiza la continuidad del negocio. Diseña una herramienta para la implementación del sistema de gestión de seguridad de la información teniendo en cuenta la política, la estructura organizativa, los procedimientos y los recursos. Incrementa el nivel de concientización del personal respecto a los tópicos de seguridad informática. A la dirección, le ayuda a gestionar las políticas y los objetivos de seguridad en términos de integridad, confidencialidad y disponibilidad.

Descripción de la norma ISO 27001 ISO/IEC 27001 se divide en 11 secciones más el anexo A. Las secciones 0 a 3 son introductorias (y no son obligatorias para la implementación), Las secciones 4 a 10 son obligatorias, lo que implica que una organización debe implementar todos sus requerimientos si quiere cumplir con la norma. Los controles del Anexo A deben implementarse sólo si se determina que corresponden en la Declaración de aplicabilidad.

– – . – .

 –  – .  –  – .  –  –

Pasos para implementación de la Norma ISO 27001 Obtener el apoyo de la dirección. Utilizar una metodología para gestión de proyectos . Definir el alcance del SGSI. Redactar una política de alto nivel sobre seguridad de la información. Definir la metodología de evaluación de riesgos. Realizar la evaluación y el tratamiento de riesgos. Redactar la Declaración de aplicabilidad Redactar el Plan de tratamiento de riesgos Definir la forma de medir la efectividad de sus controles y de su SGSI. Implementar todos los controles y procedimientos necesarios. Implementar programas de capacitación y concienciación. Realizar todas las operaciones diarias establecidas en la documentación de su SGSI. Monitorear y medir su SGSI Realizar la auditoría interna. Realizar la revisión por parte de la dirección. Implementar medidas correctivas

C ó mo se Obtiene la Certificación en ISO 27001? Es posible certificarse como empresa y como persona.

Certificación como Empresa  Las empresas se certifican con el fin de demostrar que cumplen todos los punto obligatorios de la norma.  Para obtener la certificación como Empresa se debe implementar la norma al pie de la letra y aprobar la auditoria que la realiza la entidad de la Norma.  1° paso de la auditoría (revisión de documentación): los auditores revisarán toda la documentación.  2° paso de la auditoría (auditoría principal): los auditores realizarán la auditoría in situ para comprobar si todas las actividades de una empresa cumplen con ISO 27001 y con la documentación del SGSI.  Visitas de supervisión: después de que se emitió el certificado, y durante su vigencia de 3 años, los auditores verificarán si la empresa mantiene su SGSI.

Certificación Como Persona  Las persona se certifican para garantizar que realizaron el curso a cerca de la norma el cual fue evaluado y aprobado.  Los siguiente son Cursos A cerca de la norma. Curso de Auditor Líder en ISO 27001: este curso de 5 días le enseñará cómo realizar auditorías de certificación y está orientado a auditores y consultores. Curso de Implementador Principal de ISO 27001: este curso de 5 días le enseñará cómo implementar la norma y está orientado a profesionales y consultores en seguridad de la información. Curso de auditor interno en ISO 27001: este curso de 2 ó 3 días le enseñará los conceptos básicos de la norma y cómo llevar a cabo una auditoría interna; está orientado a principiantes en este tema y a auditores internos.

ISO-14598

¿QUE ES LA ISO Y LA IEC? Organización Internacional de Normalización (ISO) y Comisión Electrónica Internacional(IEC).Son organismos internacionales encargados de publicar y regir estándares. Para áreas tecnológicas establece normas como marco teórico de trabajo.

Norma ISO/IEC 14598 QUE ES: Los organismos ISO y la IEC de manera conjunta crearon la normas ISO/IEC:9126 y la ISO/IEC:14698. La primera orientada al modelo de calidad del producto del software mientras la otra orientada a la evaluación de esta. Para el año de 1998 se publican las ambas normas, la 1S0/IEC 9126 dividida en 4 series y la ISO/IEC 146958 dividida en 6 series. Para el año de 2004 Son sustituidas por la norma ISO 25000-2005 (SQuaRe- Software Quality Requirements and Evaluation). La ISO/IEC 14598 es una norma para la evaluación de un producto de software. proporciona un marco de trabajo, la relación con las métricas y los requisitos a tener en cuenta al realizar la evaluación. Brinda un conjunto de métodos para la medición y evaluación de la calidad. no evalúa los métodos del desarrollo, solamente el producto como tal.

Relación con ISO/IEC 9126 Se relaciona directamente con la ISO/IEC 9126.se puede decir que la ISO/ISO 9126 proporciona los requisitos para establecer las métricas y la ISO/IEC 14598 proporciona los requisitos del proceso de medición.

División de la norma ISO/IEC 14598 La norma se ha dividido en 6 partes: 1 .Visión General 2. Planeamiento y gestión 3 .Proceso para desarrolladores 4. Proceso para Adquirientes 5 .Proceso para Evaluadores 6. Documentación de módulos de evaluación

División de la norma ISO/IEC 14598 14598-1: Visión General Descripción general de la norma. Definiciones. Resumen de las siguiente etapas. Relación con la ISO/IEC 9126. 14598-2: Planeamiento y gestión Proporciona los requisitos y guías para la planificación y gestión de la evaluación de un producto de software. En esta parte de la norma se muestra los requisitos para la gestión del gerenciamiento en la evaluación de software.

División de la norma ISO/IEC 14598 14598-3: Proceso para desarrolladores Requisitos y guías a tener en cuenta cuando el proceso de evaluación del producto de software lo llevan a cabo los propios desarrolladores. Se debe aplicar en el caso de que la evaluación del producto se realice de manera paralela con la construcción del mismo. Deben evaluarse los productos intermedios. 14598-4: Proceso para Adquirientes Requisitos y guías a tener en cuenta cuando el proceso de evaluación del producto de software lo llevan a cabo empresas que deseen comprarlo. Se debe aplicar en el caso de que el producto haya sido desarrollado previamente.

División de la norma ISO/IEC 14598 14598-5: Proceso para Evaluadores Requisitos y guías a tener en cuenta cuando el proceso de evaluación del producto de software lo llevan a cabo entes independientes. Se debe aplicar por parte de laboratorios evaluadores. Promueve que el proceso de evaluación debe ser: -Repetible -Reproducible -Imparcial -Objetivo

División de la norma ISO/IEC 14598 14598-6: Documentación de módulos Módulo: "Un paquete de tecnología de evaluación para una característica o sub-características de calidad. Este paquete incluye métodos de evaluación y técnicas. "Proporciona los requisitos y guías para documentar los módulos de evaluación. Para cada proceso de evaluación se escogen cuales módulos son los apropiados.

Pruebas de software Qué son: " una actividad en la cual un sistema o componente es ejecutado bajo condiciones específicas, se observan o almacenan los resultados y se realiza una evaluación de algún aspecto del sistema o componente". El objetivo de las pruebas es encontrar errores. Si los encuentra se dice que es una prueba exitosa. Caso de prueba Definición de ciertas condiciones, ciertos datos de entrada y un procedimiento a seguir con el software. En conjunto forma un "ambiente de prueba".

Técnicas de diseño de caso de prueba Caja blanca: Se tiene acceso al código fuente. Se prueba algunos de los posibles combinaciones de seguimiento de código. Caja Negra: No se revisa el código. Se centra en la funcionalidad: datos de entrada y generación de salidas.

Estrategias de aplicación de pruebas Pruebas de unidad: Se hace revisión atómica de las componentes del producto de software. Pruebas de integración: Evalúa cómo se relacionan las funcionalidades con los distintos componentes de software. Pruebas de sistema: Tienen como objetivo ejercitar profundamente el sistema comprobando la integración del sistema de información globalmente, verificando el funcionamiento correcto de las interfaces entre los distintos subsistemas que lo componen y con el resto de sistemas de información con los que se comunica. Pruebas de aceptación: La prueba de aceptación es un tipo de prueba aplicada para comprobar si el software está preparado y lo pueden utilizar los usuarios para realizar las funciones y tareas para las que se diseñó.

Herramientas de Automatización de Pruebas para Interfaces de Usuario Selenium Protactor Appium Winium TAST Unit

Beneficios de hacer una evaluación con ISO/IEC:14598 En los desarrolladores proporciona la facilidad de detectar posibles errores con la finalidad de corregir o tomar decisiones sobre su evolución. En proveedores e software les proporciona un respaldo para demostrar que dicho software cumple con los estándares establecidos por la ISO/IEC que este cumple con los criterios de calidad. En industrias la evaluación sirve para difundir que los productos de software son de calidad con argumentos.

ISO/IEC 25000, conocida como SQuaRE ( System and Software Quality Requirements and Evaluation ), es una familia de normas que tiene por objetivo la creación de un marco de trabajo común para evaluar la calidad del producto software. La familia ISO/IEC 25000 es el resultado de la evolución de otras normas anteriores, especialmente de las normas ISO/IEC 9126, que describe las particularidades de un modelo de calidad del producto software, e ISO/IEC 14598, que abordaba el proceso de evaluación de productos software. Esta familia de normas ISO/IEC 25000 se encuentra compuesta por cinco divisiones. Normas ISO/IEC 25000

ProEducative certificado en ISO/IEC 25000 La plataforma educativa ProEducative ha obtenido la certificación AENOR de la calidad del producto software con la Norma ISO/IEC 25000, convirtiéndose en el primer desarrollo tecnológico en Latinoamérica que lo consigue. Este certificado ha contribuido a garantizar el aprendizaje del alumno a través de la mejora de los módulos desarrollados en la plataforma; mejorar la experiencia del usuario, o reforzar los contenidos que forman parte de los cursos. Todo ello alineado con las últimas tendencias en tecnología para aplicaciones web.

Iso 12207

Definición ISO/IEC 12207 establece un proceso de ciclo de vida para el software que incluye procesos y actividades que se aplican desde la definición de requisitos , pasando por la adquisición y configuración de los servicios del sistema, hasta la finalización de su uso . Esta ISO pretende cubrir la vida completa del Software desde la concepción hasta el retiro. En esta ISO se especifican 3 clases de procesos: Primarios. Organizacionales De Soporte

Objetivo Este estándar tiene como objetivo principal proporcionar una estructura común para que compradores, proveedores, desarrolladores, personal de mantenimiento, operadores, gestores y técnicos involucrados en el desarrollo de software usen un lenguaje común.

Características Proceso estructurado utilizando terminología aceptada. Documento relativamente de alto nivel. No especifica detalladamente como realizar las actividades. No prescribe el nombre, formato o el contenido de la documentación. Pueden utilizarse los estándares o procedimientos adicionales donde se especifican este tipo de detalles.

Versiones de Iso 12207 ISO/IEC 12207:1995. Primera publicación. ISO/IEC 12207:1995/ Amd 1:2002. Primera modificación. ISO/IEC 12207:1995/ Amd 2:2004. Segunda modificación. ISO/IEC 12207:2008. Tercera Modificación ISO/IEC/IEEE 12207:2017.

PROCESOS

Procesos primarios Estos identifican 5 roles que pueden ser llevados a cabo en la organización, de igual manera son los promotores principales para conducir mejor dentro del ciclo de vida de Software.

Procesos primarios I Adquisición: Define las actividades del adquirente, de la organización que adquiere un producto, sistema o software. II Suministro: Define las actividades del suministrador, la organización que provee el servicio, producto o sistema de software. Es un complemento del proceso de adquisición. III Desarrollo: Define las actividades del desarrollador, la organización que define y desarrolla el sistema de software. Está subdividido en 13 actividades las cuales involucran: 1. Implementación 2. Análisis de requerimientos del sistema 3. Diseño de la arquitectura del sistema 4. Análisis de requerimientos de software 5. Diseño de la arquitectura del software 6. Diseño detallado del software 7. Codificación y pruebas 8. Integración del software 9. Pruebas de calidad del software 10. Integración del sistema 11. Pruebas de calidad del sistema 12. Instalación del software 13. Aceptación del software.

Procesos primarios IV. Operación: Define las actividades del operador, la organización que provee el servicio de operar el sistema de cómputo en el ambiente de los usuarios. V. Mantenimiento(correctivo, perfectivo, preventivo y adaptativo) : Define las actividades de la organización que provee el servicio de mantener el software, conservandolo actualizado y utilizable. Este proceso incluye la migración y retiro del software.

Procesos de soporte Estas son las actividades que soportan y coordinan el desarrollo y el ciclo de vida de las actividades primarias. Un proceso de soporte, apoya otros procesos que llevar a cabo una función especializada. Está compuesta por ocho procesos:

Procesos de soporte 1.Documentación: Define las actividades necesarias para registrar toda la información producida por los procesos del ciclo de vida. 2. Administración de la configuración: Incorpora actividades de identificación, control, estadística y evaluación de las configuraciones así como las de la administración de versiones. 3. Aseguramiento de Calidad: Define las actividades para asegurar objetivamente que los productos de software satisfacen los requerimientos especificados y se adhieren a los planes establecidos. Las revisiones conjuntas, auditorías, verificación y validación pueden ser usadas como técnicas de aseguramiento de la calidad. 4. Verificación: Define las actividades (para el adquiriente, el proveedor u organización independiente) para verificar los productos y servicios de software. 5. Validación: Define las actividades (para el adquirente, el proveedor u organización independiente) para validar los productos de software del proyecto de software. 6. Revisión conjunta: Este proceso es para revisiones tanto técnicas como administrativas, para que de esta forma una de las partes evalúe el estado de los productos producidos y las actividades realizadas por la otra parte. 7. Auditoría: Define las actividades para determinar el cumplimiento de los requerimientos, planes y contratos. Este proceso puede ser usado por cualquiera de las dos partes, donde una parte (auditora) audita los productos o actividades de la otra parte (auditada). 8. Resolución de problemas: Define un proceso para analizar y eliminar (resolver) todos los problemas (incluyendo inconformidades), sin importar su naturaleza u origen, que sean descubiertos durante la ejecución del desarrollo, operación, mantenimiento y otros procesos.

Procesos Organizacionales Se refiere a la administración y al apoyo en general para todo el ambiente de desarrollo. Está comprometido en seguir cuatro procesos:

Procesos Organizacionales 1. Administración: La intención de este proceso es la de proporcionar administración a todos los demás procesos del proyecto, incluyendo administración del producto y administración del proyecto. 2. Infraestructura: Establece y mantiene el & quot;hardware , software, herramientas, técnicas y estándares&quot ; que se requieren para la ejecución de los otros procesos. Cualquier estándar utilizado en un proyecto o por una organización se vuelve parte de la infraestructura. 3. Mejoras: Define las actividades básicas que una organización (adquiriente, proveedor, operador, administrador, etc.) realiza para establecer, medir, controlar y mejorar los procesos de su ciclo de vida. 4. Entrenamiento: Define las actividades para proveer personal entrenado adecuado.

Relación con otras normal La ISO 12207 se relaciona con normas de calidad, especialmente la “ISO 9001: Sistemas de calidad – modelos para la garantía de calidad en la concepción, desarrollo, producción, instalación y prestación de servicios”. Tiene una gran relación con la segunda parte de la norma “ISO/IEC 15504: Tecnologías de la información - Evaluación de los procesos de software” ( Software Process Improvement Capability Determination) .

Moprosoft

¿Qué es Moprosoft? Es un Modelo de Procesos para la Industria de Software (MoProSoft) en México que fomente la estandarización de su operación a través de la incorporación de las mejores prácticas en gestión e ingeniería de software. La adopción del modelo permitirá elevar la capacidad de las organizaciones para ofrecer servicios con calidad y alcanzar niveles internacionales de competitividad.

Objetivo de MoProSoft El modelo de procesos MoProSoft está dirigido a las empresas o áreas internas dedicadas al desarrollo y/o mantenimiento de software. Las organizaciones, que no cuenten con procesos establecidos, pueden usar el modelo ajustándolo de acuerdo a sus necesidades. Mientras que las organizaciones, que ya tienen procesos establecidos, pueden usarlo como punto de referencia para identificar los elementos que les hace falta cubrir.

Características de MoProSoft Es un modelo basado en las mejores prácticas internacionales con las siguientes características: Fácil de entender Fácil de aplicar No costoso en su adopción Ser la base para alcanzar evaluaciones exitosas con otros modelos o normas, tales como ISO 9000:2000, ISO 15504 y CMM ®1 V1.1 o

Criterios de MoProSoft Para la elaboración del modelo de procesos MoProSoft, fueron aplicados los siguientes criterios: 1. Generar una estructura de los procesos que esté acorde con la estructura de las organizaciones de la industria de software (Alta Dirección, Gestión y Operación). 2. Destacar el papel de la Alta Dirección en la planificación estratégica, su revisión y mejora continua como el promotor del buen funcionamiento de la organización. 3. Considerar a la Gestión como proveedor de recursos, procesos y proyectos, así como responsable de vigilar el cumplimiento de los objetivos estratégicos de la organización. 4. Considerar a la Operación como ejecutor de los proyectos de desarrollo y mantenimiento de software.

Criterios de MoProSoft 5. Integrar de manera clara y consistente los elementos indispensables para la definición de procesos y relaciones entre ellos. 6. Integrar los elementos para la administración de proyectos en un sólo proceso. 7. Integrar los elementos para la ingeniería de productos de software en un solo marco que incluya los procesos de soporte (verificación, validación, documentación y control de configuración). 8. Destacar la importancia de la gestión de recursos, en particular los que componen la base de conocimiento de la organización tales como: productos generados por proyectos, datos de los proyectos, incluyendo las mediciones, documentación de procesos y los datos recaudados a partir de su uso y lecciones aprendidas. 9. Basar el modelo de procesos en ISO9000:2000 y nivel 2 y 3 de CMM ® V.1.1. Usar como marco general ISO/IEC 15504 - Software Process Assesment e incorporar las mejores prácticas de otros modelos de referencia tales como PMBOK, SWEBOK y otros más especializados.

Enfoque basado en Procesos El desarrollo y mantenimiento de software se lleva a cabo a través de una serie de actividades realizadas por equipos de trabajo. La Ingeniería de Software se ha dedicado a identificar las mejores prácticas para realizar estas actividades recopilando las experiencias exitosas de la industria de software a nivel mundial. Estas prácticas se han organizado por áreas de aplicación, y se han dado a conocer como áreas clave de procesos, en caso de CMMI, o como procesos de software en ISO/IEC 15504. El modelo que se propone está enfocado en procesos y considera los tres niveles básicos de la estructura de una organización que son: la Alta Dirección, Gestión y Operación. El modelo pretende apoyar a las organizaciones en la estandarización de sus prácticas, en la evaluación de su efectividad y en la integración de la mejora continua.

Estructura del Modelo de Procesos El modelo de procesos (MoProSoft) tiene tres categorías de procesos: Alta Dirección, Gerencia y Operación que reflejan la estructura de una organización. La categoría de Alta Dirección contiene el proceso de Gestión de Negocio. La categoría de Gerencia está integrada por los procesos de Gestión de Procesos, Gestión de Proyectos y Gestión de Recursos. Éste último está constituido por los subprocesos de Recursos Humanos y Ambiente de Trabajo, Bienes, Servicios e Infraestructura y Conocimiento de la Organización. La categoría de Operación está integrada por los procesos de Administración de Proyectos Específicos y de Desarrollo y Mantenimiento de Software.

Estructura del Modelo de Procesos En cada proceso están definidos los roles responsables por la ejecución de las prácticas. Los roles se asignan al personal de la organización de acuerdo a sus habilidades y capacitación para desempeñarlos. En MoProSoft se clasifican los roles en: Grupo Directivo Responsable de Proceso Involucrados. Además se considera como roles externos a la organización. Cliente Usuario

Roles

Productos Configuración de Software Es un conjunto consistente de productos de software Producto de Software Es el producto que se genera en el proceso de Desarrollo y Mantenimiento de Softwar e. Los productos de software se clasifican de man era general como Especificación de Requerimientos, análisis y Diseño, Software, Prueba, Registro de Rastreo y Manual. Esta clasificación puede ser especializada según las necesidades, por ejemplo Prueba, puede significar Plan de Pruebas o Reporte de Pruebas o Reporte de Pruebas, Manual puede ser especializado en Manual de Usuario, Manual de Oper a ción o Manual de Mantenimiento, mientras que el Software puede ser un Componente, un Sistema de componentes o un Sistema compuesto de Sistemas.

Clasificación de los Productos

Niveles de Madurez

Categorías de procesos

Categoría de Alta Dirección

Categoría de Gerencia

Categoría de Gerencia GES.3 Gestión de Recursos

Categoría de Operación

Categoría de Alta Dirección (DIR) DIR.1 Gestión de Negocio

Categoría de Alta Dirección El propósito de Gestión de Negocio es establecer la razón de ser de la organización, sus objetivos y las condiciones para lograrlos, para lo cual es necesario considerar las necesidades de los clientes, así como evaluar los resultados para poder proponer cambios que permitan la mejora continua Adicionalmente habilita a la organización para responder a un ambiente de cambio y a sus miembros para trabajar en función de los objetivos establecidos. DIR.1 Gestión de Negocio. Definición

Categoría de Alta Dirección El proceso de Gestión de Negocio se compone de la planificación estratégica, la preparació n para la realización de la estrategia, y la valoración y mejora continua de la organización. Planificación Estratégica: Establece las decisiones sobre qué es lo que más importante para lograr el éxito de la organización, definiendo un pla n estratégico: La Misión , Visión y Valores Los Objetivos de la organización, La forma de medir el logro de los Objetivos , por medio de la definición de Indi cadores y Metas Cuantitativas asociadas a dichos Objetivos Los Procesos Reque ridos con sus indicadores y metas La Cartera de Proyectos que habilite la ejecución de las Estrategias. La Estructura Organizacional y Estrategia de Recursos El Presupuesto, el cual incluye los gastos e ingresos esperados. Periodicidad de valoración del Plan Estratégico. Plan de Comunicación con el Cliente . DIR.1 Gestión de Negocio. Descripción

Categoría de Alta Dirección DIR.1 Gestión de Negocio. Objetivos

Categoría de Alta Dirección Preparación para la Realización : Se define el Plan de Comunicación e Implantación del Plan Estratégico que permi te difundir este a los miembros de la organización, asegurando que lo consideren el vehículo para lograr la satisfacción de las necesidades del cliente. Valoración y Mejora Continua: Analiza los Reportes Cuantitativos y Cualitativos de los proceso y proyectos. Reporte de Acciones Correctivas o Preventivas Relacionadas con Clientes, Reportes Financieros, Propuestas Tecnológicas y considera los Factores Externos a la organización. A partir de este análisis, se generan propuestas de Mejoras al Plan Estratégico. Adicionalmente con base en Plan de Mediciones de Procesos que recibe de Gestion de Procesos, genera el Reporte de Mediciones y Sugerencias de Mejora. DIR.1 Gestión de Negocio. Descripción

Categoría de Alta Dirección Rol Capacitación Grupo Directivo Conocimiento del esfuerzo requerido para llevar a cabo la planificación estratégica, y sobre todo estar comprometido con éste. Responsable de Gestión de Negocio Conocimiento de las actividades necesarias para definir e implantar exitosamente el proceso de Gestión de Negocio. Grupo de Gestión Conocimiento para administrar los proyectos e implantar los procesos definidos DIR.1 Gestión de Negocio. Roles y Flujos

Categoría de Alta Dirección DIR.1 Gestión de Negocio. Procesos PROCESO ENTRADA SALIDA Reporte Cuantitativo y Cualitativo de procesos y proyectos Plan de Procesos Reporte de Acciones Correctivas o Preventivas Relacionadas con Clientes Propuestas Tecnológicas Reportes Financieros Plan Estratégico Plan de Comunicación e implantación Reporte de Mediciones y Sugerencias de Mejora Plan de Adquisiciones y Capacitación Lecciones Aprendidas Propuesta de Mejoras Reporte de Valoración Reporte(s) de Verificación Reporte(s) de Validación PRODUCTOS INTERNOS

Categoría de Gerencia El proceso de Gestión de Procesos se compone de las siguientes actividades: la planificación de procesos, la preparación a la implantación, y la evaluación y control de procesos. Planificación. A partir de los Procesos Requeridos identificados en el Plan Estratégico, en el Plan de Mejora y en el Plan de Acciones , la planificación de procesos establece o actualiza un Plan de Procesos que contiene: Definición de Elementos de Procesos . Calendario para establecer o mejorar procesos relacionando actividades y responsables. Plan de Adquisiciones y Capacitación. Plan de Evaluación de procesos, incluyen evaluaciones internas y externas. Plan de Mediciones de Procesos en el cual se especifican los tipos de mediciones, la periodicidad, la responsabilidad. Plan de Manejo de Riesgos de proces os, contiene la identificación y evaluación de riesgos, así como los planes de contención y de contingencia correspondientes. GES.1 Gestión de Procesos. Descripción

Categoría de Gerencia (GES) GES.1 Gestión de Procesos.

Categoría de Gerencia El propósito de Gestión de Procesos es establecer los procesos de la organización, en función de los procesos requeridos identificados en el plan estratégico. Así como definir, planificar, e implantar las actividades de mejora en los mismos. GES.1 Gestión de Procesos. Definición

Categoría de Gerencia Preparación a la Implantación. Realizar las siguientes tareas: Asignac ión de los responsables de procesos Documentación o actualización de la a Documentación de los Procesos de la organización de acuerdo a la Definición de Elementos de Procesos Establecida. Capacitación a los miembros de la organización en los procesos de acuerdo al Plan de Adquisiciones y Capacitación. Implantación de los procesos en proyectos piloto, en caso de considerarse conveniente. Evaluación y Control. Realizan las siguientes tareas: Seguimiento a las actividades del Plan de Procesos . Recolección de Reportes de Mediciones y Sugerencias de Mejora , generando el Reporte Cuantitativo y Cualitativ o que se entregará al Responsable de Gestión de Negocio. El análisis de las sugerencias de mejora contribuye a la generación del Plan de Mejora. Ejecución del Plan de Evaluación , con la finalidad de verificar la implantación de los procesos, recopilando los hallazgos y oportunidades de mejora. Como resultado se documentarán el Reporte de Evaluación , Plan de Acci ones que den respuesta a los hallazgos y se complementará el Plan de Mejora de acuerdo a las oportunidades de mejora. Seguimiento al Plan de Acciones. Supervisión y control de los riesgos identif icados en el Plan de Manejo de Riesgos. Identificación y documentación de las Leccio nes Aprendidas. GES.1 Gestión de Procesos. Descripción

Categoría de Gerencia GES.1 Gestión de Procesos. Objetivos

Categoría de Gerencia Rol Capacitación Responsable de Gestión de Negocio Conocimiento del esfuerzo requerido para llevar a cabo la Gestión de Procesos y sobre todo estar comprometido con éste. Responsable de Gestión de Procesos Conocimiento de las actividades necesarias para definir e implantar exitosamente el proceso de Gestión de Procesos. Responsable de Proceso Conocimiento del proceso del cual es responsable. Evaluador Conocimiento de la metodología y aplicación de la evaluación. GES.1 Gestión de Procesos. Roles y Flujos

Categoría de Gerencia GES.1 Gestión de Procesos. Procesos PROCESO ENTRADA SALIDA Plan Estratégico Reporte de Mediciones y sugerencias de Mejora Asignación de Recursos Plan de Procesos Documentación de Procesos Reporte Cuantitativo y Cualitativo. Lecciones Apren di das Repor te de Mediciones y Sugerencias de Mejora Plan de Acciones Plan de Mejora Reporte de Evaluación Reporte(s) de Verificación Reporte(s) de Validación PRODUCTOS INTERNOS

Categoría de Gerencia (GES) GES.2 Gestión de Proyectos.

Categoría de Gerencia El propósito de la Gestión de Proyectos es asegurar que los proyectos contribuyan al cumplimiento de los objetivos y estrategias de la organización. GES.2 Gestión de Proyectos. Definición

Categoría de Gerencia La Gestión de Proyectos comprende la planificació n, la realización y la evaluación y control. Planificación : Definir las actividades y recursos requeridos por cada tipo de proyecto a gestionar, los cuales se documentan en el Plan de Gestión de Proyectos . Elaborar el Plan de Adquisiciones y Capacitación . Establecer los Mecanism o s de Comunicación con el Cliente de acuerdo al Plan de Comunicación con el cliente. Para proyectos internos se generan alternativas de realización de proyectos Internos y se elige una alternativa. Realización: Es la ejecución de las actividade s del Plan de Gestión de Proyectos y su seguimiento, así com o el control de los Mecanismos de Comunicación con el Cliente. P ara cada proyecto se genera Registro de Proyecto y la Descripción del Proyecto , se asigna el Responsable de Administración del Proyecto Específico y se entregan las Metas Cuantitativas para el Proyecto . En caso que el proyecto sea externo se elabora un Contrato y a su término se realiza el cierre de és te. Se reciben y aprueban los Planes de Proyecto y se recolectan los Reportes de Seguimiento de los proyectos. Se recaudan los Comentarios y Quejas del Cliente. GES.2 Gestión de Proyectos. Descripción

Categoría de Gerencia Evaluación y Control: Comprende el análisis del Plan de Ventas , de los Reportes de Seguimiento y de los Comentarios y Quejas del Cliente, como consecuencia, se generan las Acciones Correctivas o Preventivas para los proyectos y se les da seguimiento hasta su cierre. Para mantener informado a Gestión de Negocio se genera el Reporte Cuantitativo y Cualitativo y el Reporte de Acciones Correctivas o Preventivas Relacionadas con C lientes y de los proyectos. Adicionalmente con base en Plan de Mediciones de Procesos se genera el Reporte de Mediciones y Sugerencias de Mejora de este proceso. GES.2 Gestión de Proyectos. Descripción

Categoría de Gerencia GES.2 Gestión de Proyectos. Objetivos

Categoría de Gerencia Rol Capacitación Responsable de Gestión de Negocio Conocimiento del esfuerzo requerido para llevar a cabo la planificación de Gestión de Proyectos Responsable de Gestión de Procesos Conocimiento de las actividades necesarias para llevar a cabo la gestión de proyectos. GES.2 Gestión de Proyectos. Roles y Flujos

Categoría de Gerencia GES.2 Gestión de Proyectos. Procesos PROCESO ENTRADA SALIDA Plan Estratégico Plan de Proceso Asignación de Recursos Plan del Proyecto Reporte de Seguimiento D ocumento de Acept ac ión Reporte Cuantitativo y Cualitativo. Reporte de Acciones Correctivas o Preventivas Relacionadas con Clientes Reporte de Mediciones y Sugerencias de Mejora Plan de Adquisiciones y Capacitación Contrato Registro de Proyecto Lecciones Aprendidas Responsable de Administración del Proyecto Específico Descripción del Proyecto Metas Cuantitativas para el Proyecto Acciones Correctivas o Preventivas Plan de Gestión de Proyectos Acciones Correctivas o Preventivas Comentarios y Quejas del Cliente Alternativas de Realización de Proyectos Internos Mecanismos de Comunicación con los Clientes Reporte de Validación PRODUCTOS INTERNOS

Categoría de Gerencia (GES) GES.3 Gestión de Recursos

Categoría de Gerencia El propósito de Gestión de Recursos es conseguir y dotar a la organización de los recursos humanos, infraestructura, ambiente de trabajo y proveedores, así como crear y mantener la Base de Conocimiento de la Organización. La finalidad es apoyar el cumplimiento de los objetivos del Plan Estratégico de la organización GES.3 Gestión de Recursos. Definición

Categoría de Gerencia El proceso de Gestión de Recursos se compone de las siguientes actividades: la planificación, seguimiento y cont r ol de recursos, e investigación de tendencias tecnológicas, apoyadas con tres subprocesos. Planificación de Recursos: Se establece apartir del Plan Estratégico y Plan de Adquisiciones y Capacitación de los procesos y proyectos. Como resultado se obtienen los planes: Plan Operativo de Recursos Humanos y Ambiente de Trabajo, Plan Operativo de Bienes, Servicios e Infraestructura y Plan Operativo de Conocimiento de la Organización. Investigación de Tendencias Tecnológicas: Se lleva a cabo en función del Plan Estratégico , para realizar un análisis prospectivo y de viabilidad dirigido al grupo directivo. Como resultado se obtienen Propuestas Tecnológicas. GES.3 Gestión de Recursos. Descripción

Categoría de Gerencia Seguimiento y Control: Se da seguimiento a la ejecución de los planes operativos de cada uno de los subprocesos considerando el Reporte de Recursos Humanos Disponibles, Capacitación y Ambiente de Trabajo, el reporte de Bienes, Servicios e Infraestructura y el Reporte del Estado de la Base de Conocimiento, en caso de alguna desviación se establecen Acciones Correctivas. También, con base en los reportes antes mencionados, se genera el Reporte Cuantitativo y Cualitativo que incluye información sobre los recursos disponibles y adquiridos de acuerdo al Plan de Comunicación e Implantación. Adicionalmente con base en Plan de Mediciones de Procesos se genera el Reporte de Mediciones y Sugerencias de Mejora. GES.3 Gestión de Recursos. Descripción

Categoría de Gerencia GES.3 Gestión de Recursos. Objetivos

Categoría de Gerencia Rol Capacitación Responsable de Gestión de Negocio Conocimiento del esfuerzo requerido para llevar a cabo la Gestión de Recursos. Responsable de Gestión de Procesos Conocimiento de las actividades necesarias para definir e implantar exitosamente el proceso de Gestión de Recursos Responsable de Recursos Humanos y Ambiente de Trabajo Conocimiento de las actividades necesarias para implantar exitosamente el subproceso de Gestión de Recursos Humanos. Responsable de Bienes, Servicios e Infraestructura Conocimiento de las actividades necesarias para implantar exitosamente el subproceso de Bienes, Servicios e Infraestructura Responsable de Conocimiento de la Organización Conocimiento necesario para garantizar la integridad, seguridad y eficiencia de la Base de Conocimiento. GES.3 Gestión de Recursos. Roles y Flujos

Categoría de Gerencia GES.3 Gestión de Recursos. Procesos PROCESO ENTRADA SALIDA Plan Estratégico Plan de Comunicación e Implantación Plan de Adquisiciones y Capacitación Plan de Procesos Reporte de Recursos Humanos Disponibles, Capacitación y Ambiente de Trabajo. Reporte de Bienes, Servicios e Infraestructura. Reporte del Estado de l a Base de Conocimiento Reporte Cuantitativo y Cualitativo. Propuestas Tecnológicas Reporte de Mediciones y Sugerencias de Mejora Plan Operativo de Recursos Humanos y Ambiente de Trabajo. Plan Operativo de Bienes, Servicios e Infraestructura. Plan Operativo de Conocimiento de la Organización Acciones Correctivas Lecciones Aprendidas Plan de Adquisiciones y Capacitación Reporte(s) de Verificación PRODUCTOS INTERNOS

Categoría de Operación (OPE) OPE.1 Administración de Proyectos Específicos

Categoría de Gerencia El propósito de la Administración de Proyectos Específicos es establecer y llevar a cabo sistemáticamente las actividades que permitan cumplir con los objetivos de un proyecto en tiempo y costos objetivos de un proyecto en tiempo y costo esperados. OPE.1 Administración de Proyectos Específicos. Definición

Categoría de Gerencia La Administración de Proyectos Específicos aplica conocimientos, habilidades, técnicas y herramientas, a cada una de las siguientes actividades del proyecto: Planificación: Conjunto de actividades cuya finalidad es obtener y mantener el Plan del Proyecto y el Plan de Desarrollo que regi rán al proyecto específico, con base en la Descripción del Proyecto. Para la generación de este plan se realizan las siguientes tareas: Definir el Proceso Específico con base en la Descripción del Proyecto y el proceso de Desarrollo y Mantenimiento de Software de la organización o con base en el acuerdo con el cliente. Definir el Protocolo de Entrega con el Cliente Definir Ciclos y Actividades con base en la Descrípción del Proyecto en el Proceso Específico. Determinar el Tiempo Estimado para cada actividad considerando las Metas Cuantitativas para el Proyecto. Elabora r el Plan de Adquisiciones y Capacitación Establecer el Equipo de Trabajo . Establecer el Calendario de Actividades Calcular el Costo Estimado del proyecto De finir el Plan de Manejo de Riesgos Documentar el Plan del Proyecto Documentar el Plan de Desarrollo Formalizar el inicio de un nuevo ciclo del proyecto. OPE.1 Administración de Proyectos Específicos. Descripción

Categoría de Gerencia Realización: Consiste en llevar a cabo las actividades del Plan del Proyecto , de acuerdo a las siguientes tareas: Acordar las tareas del Equipo de Trabajo con el Responsable de Desarrollo y Mantenimiento de Softwa re Acordar la distribución de la información al Equipo de Trabajo Revisar con el Responsabe de Desarrollo y Mantenimiento de Software la Descripción del Producto, el Equipo de Trabajo y el Calendario. Revisar el cumplimiento del Plan de Adquisiciones y Capacitación. Administrar subcontratos. Recolectar los Reportes de Actividades, Reportes de Mediciones y Sugerencias de Mejora y productos de trab ajo Registrar el costo real del proyecto Revisar el Registro de Rastreo en función de los productos de trabajo recolectados R evisar los productos terminados durante el proyecto. Recibir y analizar las Solicitudes de Cambios del Cliente Realizar reuniones con el Equipo de Trabajo con el Cliente. OPE.1 Administración de Proyectos Específicos. Descripción

Categoría de Gerencia Evaluación y Control : Consiste en asegurar que se cumplan los Objetivos del Proyecto. Se supervisa y evalúa el progreso para identificar desviaciones y realizar Acciones Correctivas, cuando sea necesario. Dentro de esta actividad se realizan las siguientes tareas: Evaluar el cumplimiento del Plan del Proyecto y Plan de Desarrollo . Analizar y controlar los riesgos. Generar el Reporte de Seguimiento del proyecto Cierre: Consiste en entregar los productos de acuerdo a un Protocolo de Entrega y dar por concluido el ciclo o proyecto. Como resultado se tiene el Documento de Aceptación del Cliente . Se realizan las siguientes tareas Formalizar la te rminación del proyecto o de un ciclo. Llevar a cabo el cierre del contrato con subcontratistas Genera r el Reporte de Mediciones y Sugerencias de Mejora OPE.1 Administración de Proyectos Específicos. Descripción

Categoría de Gerencia OPE.1 Administración de Proyectos Específicos. Objetivos

Categoría de Gerencia Rol Capacitación Responsable de Gestión de Proyectos Conocimiento sobre las actividades necesarias para llevar a cabo la gestión de proyectos. Responsable de la Administración del Proyecto Específico Capacidad de liderazgo con experiencia en la toma de decisiones, planificación estratégica, manejo de personal, delegación y supervisión, finanzas y desarrollo de software. Cliente Conocimiento en la expedición de Solicitudes de Cambios. Responsable del Subcontrato Conocimiento en la administración de proyectos. Responsable de Desarrollo y Mantenimiento de Software Conocimiento y experiencia en el desarrollo y mantenimiento de software. Equipo de Trabajo Conocimiento y experiencia de acuerdo a su rol. OPE.1 Administración de Proyectos Específicos. Roles y Flujos

Categoría de Gerencia OPE.1 Administración de Proyectos Específicos. Procesos PROCESO ENTRADA SALIDA Plan de Comunicación e Implantación Plan de Procesos Documentación de Procesos Descripción del Proyecto Responsable de Administración del Proyecto Específico Metas Cuantitativas para el Proyecto Acciones Correctivas o Preventivas Asignación de Recursos Reporte de Actividades Reporte de Mediciones y Sugerencias de Mejora Configuración de Software Solicitud de Cambios Reporte de Mediciones y Sugerencias de Mejora Plan del Proyecto Reporte de Seguimiento Documento de Aceptación Plan del Proyecto Lecciones Aprendidas Plan de Desarrollo Acciones Correctivas Minuta(s) Reporte de Verificación Reporte de Validación PRODUCTOS INTERNOS

Categoría de Operación (OPE) OPE.2 Desarrollo y Mantenimiento de Software

Categoría de Gerencia El propósito de Desarrollo y Mantenimiento de Software es la realización sistemática de las actividades de análisis, diseño, constru cción, integración y pruebas de productos de sofrware nuevos o modificados cumpliendo con los requerimientos especificados. OPE.2 Desarrollo y Mantenimiento de Software. Definición

Categoría de Gerencia El proceso de Desarrollo y Mantenimiento de Software se compone de uno o más ciclos de desarrollo. Cada ciclo está compuesto de las siguientes fases: Inicio: Revisión del Plan de Desarrollo por los miembros del Equipo de Trabajo para lograr un entendimiento común del proyecto y para obtener el compromiso de su realización Requerimientos: Conjunto de actividades cuya finalidad es obtener la documentación de la Especificación de Requerimientos y Plan de Pruebas de Sistema, para conseguir un entendimiento común entre el cliente y el proyecto. Análisis y Diseño: Conjunto de actividades en las cuales se analizan los requerimientos especificados para producir una descripción de la estructura de los componentes de software, la cual servirá de base para la construcción. Como resultado se ob tiene la documentación del Análisis y Diseño y Plan de Pruebas de Integración. Construcción : Conjunto de actividades para producir Componente(s) de software que correspondan al Análisis y Diseño, así como la realización de pruebas unitarias. Como resultado se obtienen el (los) Componente(s) de software probados . OPE.2 Desarrollo y Mantenimiento de Software. Descripción

Categoría de Gerencia Integración y Pruebas. Conjunto de actividades para integrar y probar los componentes de software, basadas en los Planes de Pruebas de Integración y de Sistema , con la finalidad de obtener el Software que satisfaga los requerimientos especificados. Se genera la versión final del Manual de Usuario , Manual de Operación y Manual de Mantenimiento. Como re sultado se obtiene el producto de Software probado y documentado. Cierre: Integración final de la Confi gu ración de Software generada en las fases para su entrega. Identificación y documentación de las Lecciones Aprendidas. Generación del Reporte de Mediciones y Sugerencias de Mejora. Para generar los productos de cada una de est as f ases se realizan las siguientes actividades: Distribución de tareas , se asignan las responsabilidades de cada miembro del Equipo de Trabajo de acuerdo al Plan de Desarrollo . Producción, verificación, validación o prueba de los productos, así como su su corrección correspondiente. Generación del Reporte de Actividades OPE.2 Desarrollo y Mantenimiento de Software. Descripción

Categoría de Gerencia OPE.2 Desarrollo y Mantenimiento de Software. Objetivos

Categoría de Gerencia Rol Capacitación Responsable de Administración del Proyecto Específico Capacidad de liderazgo con experiencia en la toma de decisiones, planificación estratégica, manejo de personal y desarrollo de software. Responsable de Desarrollo y Mantenimiento de Software Conocimiento y experiencia en el desarrollo y mantenimiento de software Analista Conocimiento y experiencia en la obtención, especificación y análisis de los requerimientos. Diseñador de Interfaz de Usuario Conocimiento en diseño de interfaces de usuario y criterios ergonómicos. Diseñador Conocimiento y experiencia en el diseño de la estructura de los componentes de software Programador Conocimiento y/o experiencia en la programación, integración y pruebas unitarias Responsable de Pruebas Conocimiento y experiencia en la planificación y realización de pruebas de integración y de sistema. Revisor Conocimiento en las técnicas de redacción y experiencia en el desarrollo y mantenimiento de software. Responsable de Manuales Conocimiento en las técnicas de revisión y experiencia en el desarrollo y mantenimiento de software. Equipo de Trabajo Conocimiento y experiencia de acuerdo a su rol. Cliente Interpretación del estándar de la especificación de requerimientos. Usuario Ninguna OPE.2 Desarrollo y Mantenimiento de Software. Roles y Flujos

Categoría de Gerencia OPE.2 Desarrollo y Mantenimiento de Software. Roles y Flujos

Categoría de Gerencia OPE.2 Desarrollo y Mantenimiento de Software. Procesos PROCESO ENTRADA SALIDA Plan de Desarrollo Especificación de Requerimientos Análisis y Diseño Componente Configuración de Software Manual de Usuario Manual de Operación Manual de Mantenimiento Reporte de Actividades Lecciones Aprendidas Reporte de Mediciones y Sugerencias de Mejora Registro de Rastreo Plan de Pruebas de Sistema Reporte de Pruebas de Sistema Plan de Pruebas de Integración Reporte de Pruebas de Integración Reporte(s) de Verificación Minuta(s) Reporte(s) de Validación PRODUCTOS INTERNOS

Caso de Éxito Moprosoft

Ultrasist Ultrasist es una empresa de desarrollo y consultoría de tecnologías de información, con más de 19 años de experiencia. Desde 2009 está evaluada CMMI 5, primero en la versión 1.2 y actualmente en la versión 1.3. En el año 2004 fue la primer PYME mexicana en obtener el nivel 4 del modelo SW-CMM®, mediante una evaluación formal CBA-IPI (CMM® Based Appraisal for Internal Process Improvement ). En 2006, Ultrasist hizo la transición de sus procesos a CMMI® ( Capability Maturity Model Integrated ).

Productos de ultrasist

Ultrasist y Moprosoft Desde hace varios años, ULTRASIST ha realizado un esfuerzo de mejora incremental al adoptar las mejores prácticas de diferentes modelos internacionales. Como resultado, la Organización alcanzó el nivel de madurez 5 de SW-CMM®, utilizando a MoProSoft® como marco de referencia

NORMA ISO 27001 �SO/IEC-27001 - Casos de Exito

About This Presentation

Slide Content

Tags

Categories

Download

Quick Actions

Statistics

Related Slideshows

NORMA ISO 27001 �SO/IEC-27001 - Casos de Exito

About This Presentation

Slide Content

Slide 1

Slide 2

Slide 3

Slide 4

Slide 5

Slide 6

Slide 7

Slide 8

Slide 9

Slide 10

Slide 11

Slide 12

Slide 13

Slide 14

Slide 15

Slide 16

Slide 17

Slide 18

Slide 19

Slide 20

Slide 21

Slide 22

Slide 23

Slide 24

Slide 25

Slide 26

Slide 27

Slide 28

Slide 29

Slide 30

Slide 31

Slide 32

Slide 33

Slide 34

Slide 35

Slide 36

Slide 37

Slide 38

Slide 39

Slide 40

Slide 41

Slide 42

Slide 43

Slide 44

Slide 45

Slide 46

Slide 47

Slide 48

Slide 49

Slide 50

Slide 51

Slide 52

Slide 53

Slide 54

Slide 55

Slide 56

Slide 57

Slide 58

Slide 59

Slide 60

Slide 61

Slide 62

Slide 63

Slide 64

Slide 65

Slide 66

Slide 67

Slide 68

Slide 69

Slide 70

Slide 71

Slide 72

Slide 73

Slide 74

Slide 75

Slide 76

Slide 77