i foro de gestión pymes software - aenor
DESCRIPTION
En el marco del I Foro de gestión de pequeñas y medianas factorías de software, José Angel Valderrama Anton, Gerente de Nuevas Tecnologías en Aenor, presenta los dispositivos de calidad que las pequeñas y medianas factorías de software pueden usar. 20_05_2010TRANSCRIPT
Modelos de gestión para las factorías PYME de software
I Foro Gestión de pequeñas y medianas factorías de software
20 de mayo de 2010 – Madrid
José Angel Valderrama AntónGerente de Nuevas TecnologíasAENOR
AENOR
Indice
• AENOR
• Estrategia TIC y Normalización internacional
• Normas técnicas: ISO 27001, ISO 20000, UNE 139803, ISO 15504 (SPICE)
• Certificación de cumplimiento
– Que es, objetivos y ventajas
– El proceso de certificación e IQNET
– El certificado
• La acreditación de ENAC
• Datos
EOI1005_1 2
AENOR
AENOR
• Asociación privada, independiente y sin ánimo de lucro, reconocida en los ámbitos nacional, comunitario e internacional
• Actividades multisectoriales de N+C; formación; publicaciones; información;
• Desde 1986; Veintiún centros operativos en España, además de México, Chile, Italia, Portugal, Brasil, El Salvador, Perú, Bulgaria
• Certificaciones en 45 países; 500 auditores
• Servicios: www.aenor.es, infoAENOR (902.102.201, [email protected]), Biblioteca en sede central y en las delegaciones de AENOR.
EOI1005_1 3
AENOR
AENOR, Misión
Contribuir mediante el desarrollo de las actividades de N+C a mejorar la calidad de las empresas, sus productos y servicios, proteger el medio ambiente y con ello lograr:
El bienestar de la sociedad
– Elaborar normas con la participación abierta de todas las partes interesadas impulsando la aportación española
– Certificar productos, servicios y empresas confiriéndoles un valor competitivo diferencial que contribuya a favorecer intercambios comerciales y la cooperación internacional.
– Orientar la gestión a la satisfacción de nuestros clientes, …
– Impulsar … que nos relacione con la calidad y … busca la excelencia.
4EOI1005_1
AENOR
Situación TIC - Estrategia TIC estándares
Problema, herramienta, solución y negocio.
• Hay Amenazas – Vulnerabilidades (Riesgos)
• Concordancia entre estrategia de negocio y estrategia TIC
• Gestión eficiente y desarrollo sistemático de las TIC
• Mejorar calidad producto, capacidad proceso (defectos, plazos… )
• Entorno cambiante (tecnológico, legal, …), e interconectado– El riesgo de los Ordenadores y las TIC para los negocios ocupa el primer
lugar en 3 países (Japón, Reino Unido y USA), y en el top three de los otros países (World Economic Forums Annual – DAVOS Dic2005)
– Sólo un 21% de las cías gestionan el Dpto. de SI con criterios de negocio. En futuro los CIOS más gestores, menos tecnólogos (Informe Penteo 2006).
– Sólo el 34% de los proyectos de SW tienen éxito (CHAOS report 2003).
– Hasta el 40% de los recursos se dedica a mantenimiento de aplicaciones
5EOI1005_1
AENOR
Normalización … estándares oficiales
Norma: Documento establecido por consenso y aprobado por un organismo reconocido, que proporciona, para un uso común y repetido, reglas, directrices o características para ciertas actividades o sus resultados, con el fin de conseguir un grado óptimo de orden en un contexto dado.
– Resultado de la experiencia
– Voluntarias (o requeridas por legislación)
– Públicas
AENOR,
CEN / CENELEC, ETSI, (COPANT )
ISO / IEC
Gestión interna - Mercado global - Ayuda a AAPP
6EOI1005_1
AENOR
Estándares internacionales en TIC
Normas y certificacion
es TICs
PNE 71599 - BS25999 (1 y 2) Gestión de
continuidad de negocioISO/IEC 38500
Gobierno de las TI
ISO 15504 SPiCE - PRM
SW (parte 2, 5, 7)
ISO 12207 ciclo de vida de desarrollo de SW
ISO 19770 SAM
ISO 20001-1 SG. STI
ISO 20000-2 Guía de buenas prácticas
ISO 27001 SG Seguridad de la Información
ISO 27002 Guía de controles
UNE 139803 Accesibilidad Web
Buenas prácticas en comercio electrónico
Software original,
Auditorías a Operadores de Telecomunicaciones …
ISO 9001 - EFQM; ISO 14001; OHSAS; …
ISO 24762 DRS ICT
EOI1005_1 7
AENOR
La Información:
Activo principal de las organizaciones (confidencialidad, integridad, disponibilidad).
Amenazas - vulnerabilidades (errores, problemas informáticos, ataques, virus, empleados, legislación, cambios tecnológicos, naturaleza … ).
Tiene mucho valor y riesgo.
Requiere evaluar riesgos y establecer controles adecuados; aunque sin un Sistema de Gestión no se asegura la protección.
Seguridad informática ≠ Seguridad de la Información
El SG SI - ISO 27001
EOI1005_1 8
AENOR
El SG SI – ISO 27001
Organiza, simplifica, y gestiona la seguridad de la información en concordancia con los planes estratégicos de la organización, sus políticas de seguridad y la situación.
Herramienta de la Dirección.
En el marco de los riesgos empresariales generales.
Enfoque común con otros SG. ISO (9001, 14001, 20000).
Para todo tipo de organizaciones.
Enfoque por procesos, y para la mejora continua.
Soportado en conocimientos adquiridos (ISO 27002).
Abarca aspectos legales.
9EOI1005_1
AA PP
DDCCMejora Continua
AENOR
– Integrar la gestión de la SI con otros SG empresarial.
– Mejorar la imagen, confianza y competitividad empresarial. Certificación y reconocimiento por terceros.
– Comprobar su compromiso con el cumplimiento de la legislación: protección de datos de carácter personal, servicios sociedad de información, comercio electrónico, propiedad intelectual, etc.
– Dar satisfacción a accionistas y demostrar el valor añadido de las actividades de SI en la empresa.
– Mejora gestión de SI (evalúa riesgos, establece controles adecuados, sistematiza y gestiona recursos y actividades)
ES SOPORTE, APORTA CONFIANZA ES SOPORTE, APORTA CONFIANZA -- CREDIBILIDADCREDIBILIDAD
El SG SI: Ventajas del SGSI para el Negocio
EOI1005_1 10
AENOR
Para que el proveedor de servicios de TI realice una gestión eficaz de los servicios y que responda a las necesidades de sus clientes (responder a requisitos del negocio + clientes).
Herramienta de la Dirección.
En el marco de los riesgos empresariales generales.
Enfoque común con otros SG. ISO (9001, 14001, 20000).
Para quienes prestan servicios de TI (interno /externo).
Enfoque por procesos, y para la mejora continua.
Soportado en conocimientos adquiridos (ISO 20000-2).
Basado en las librerías ITIL.
El SG STI - ISO 20000
EOI1005_1
AA PPDDCC
Mejora Continua
11
AENOR
El SG STI: Beneficios
Maximizar la Calidad del servicio
Alinear los servicios de TI a las necesidades del negocio
Reducir Costes
Aumentar la satisfacción del Cliente
Visión clara de la capacidad del departamento de TI
Minimizar el tiempo de ciclo de cambios y mejorar resultados en base a métricas
Toma de decisiones en base a indicadores de negocio y de TI
12EOI1005_1
AENOR
ISO 15504 - SPICE
• Para organizaciones / áreas de desarrollo de SW.
• Determinación del nivel de madurez de los procesos del ciclo de vida del SW, y de la organización.
• Independiente del tipo de organización, modelo de ciclo de vida, metodología de desarrollo y de la tecnología usada
• Modelo ISO, PMR ISO 12207:2008 : Ciclo de Vida de Desarrollo de Software. Fases en la creación de un software.
• Cada nivel de madurez tiene un conjunto de procesos asociados, definidos en la ISO 12207, y se valora en función de la capacidad de los procesos, medida según los resultados y las actividades, atributos del proceso.
• Mejora continua.
• Es la competencia a CMMI.
13EOI1005_1
AENOR
ISO 15504: Beneficios
• Mejora la:
– Planificación (reduce retrabajos)
– Coordinación de los proyectos (define responsabilidades, actividades).
– Comunicación (establece canales internos, con el cliente)
– Consolidación de conocimiento y experiencias (genera una base de conocimientos sobre procesos y proyectos, reduce tiempos de integración de personas, cualificación).
– Calidad del producto (control proceso / proyecto, y detección temprana de errores).
Mejora de la capacidad
Mejora en la calidad y productividad
Aumenta satisfacción de clientes
Mejora en la competitividad
14EOI1005_1
AENOR
Certificación ¿Qué es?
Acto por el que una tercera parte testifica que ha obtenido la adecuada confianza en la conformidad de un determinado producto, proceso o servicio, debidamente identificado, con una norma u otro documento normativo especificado.
Comprobación de que un SG cumplen con una serie de requisitos especificados … en ISO 27001 / ISO 20000
EOI1005_1 15
AENOR
Certificación … AENOR en logos
EOI1005_1 16
AENOR
Certificación … objetivos
• Demostrar a los clientes el cumplimiento de las normas, mediante las marcas.
• Facilitar la introducción de los productos en otros mercados.
• Facilitar la compra /contratación de productos.
• Demostrar el cumplimiento de la Reglamentación obligatoria (si existe) –ausencia de dolo-.
• Oportunidad de mejora interna (procesos / productos)
17EOI1005_1
AENOR
Certificación … Ventajas para SGSI / SGSTI
• Apoya la actividad del Responsable TI.
• Apoya enfoque de negocio de la Dirección, y demuestra compromiso.
• Demuestra el cumplimiento de los requisitos (LOPD, LSSICE, ENS, …), la calidad.
• Auditores formados, cualificados, y expertos (El análisis del experto, novedades y oportunidades de mejora).
• Genera confianza / credibilidad interna y externa – Aceptación global (clientes, empleados, accionistas / propietarios, administraciones / jueces, …)
• Imagen de marca y diferenciación (AENOR, ENAC, IQNet).
• Diferenciación del mercado.
• Facilita la comercialización / venta, y la exportación
• Apoya la competitividad
18EOI1005_1
AENOR
El proceso de certificación
19EOI1005_1
AUDITORÍA DEL SISTEMA
FASE II
AUDITORÍAS DE SEGUIMIENTO
(Anuales)
AUDITORÍAS DERENOVACIÓN
(Cada tres años)
AUDITORÍA EXTRAORDINARIA
CONCESIÓN DELCERTIFICADO
PLAN DE ACCIONESCORRECTORAS
1 mes
VISITA PREVIAFASE I
ANÁLISIS DE LA DOCUMENTACIÓN
FASE I
INFORME/s
INFORME
CUESTIONARIO PREVIO Y SOLICITUD
PLANIFICACIÓN DE LA AUDITORÍA
AENOR
IQNET: 38 socios de referencia
AENOR España
AFAQ Francia
ANCE Méjico
APCER Portugal
AVI Bélgica
CISQ Italia
CQC China
CQM China
CQS República Checa
Cro Cert Croacia
DQS Alemania
DS Dinamarca
ELOT Grecia
FCAV Brasil
FONDONORMA Venezuela
IHKQAA China (Hong Kong)
CONTEC Colombia
IMNC Méjico
IRAM Argentina
20
JQA Japón
KEMA Holanda
KFQ Corea
MSZT Hungría
NEMKO Noruega
NSAI Irlanda
ÖQS Austria
PCBC Polonia
PSB Singapur
QMI Canadá
RR Rusia
SAI GL Australia
SFS Finlandia
SII Israel
SIQ Eslovenia
SQS Suiza
SRAC Rumania
TEST-St. P. Rusia
YUQS Serbia Montenegro
www.iqnet-certification.com
EOI1005_1
AENOR
La acreditación de ENAC en AENOR
EOI1005_1 21
• Acreditada por ENAC para certificar SGSI
• Miembro español de IQNet.
• Experiencia, cualificación, prestigio
AENOR
El certificado … norma, alcance, validez, número
22EOI1005_1
www.aenor.es
AENORnet
AENOR
Datos: The ISO Survey 2009 (Dec 2008).
SGSI_1 23
AENOR
Datos: los Certificados de AENOR
– SGSI –UNE ISO 27001:• 240 empresas certificadas, en todos los sectores.• España en el top ten.
– SGSTI- UNE-ISO 20000:• 40 empresas certificadas (el 50% PYMES-TIC)• España en el top ten, según ItSMF.
– SPICE – ISO 15504 / ISO 12207: Modelo de madurez del desarrollo de software. Factorías de SW.
• Es la competencia a CMMI.
• 22 empresas certificadas.
– Accesibilidad de sitios WEB - UNE 139803• 28 sitios web certificados
EOI1005_1 24
AENOR
Muchas gracias, estamos a su disposición
José Angel Valderrama AntónGerente Nuevas Tecnologías
AENOR
C/ Génova, 6. 28004 Madrid - Tel. 914 32 60 00
InfoAENOR - 902 102 201
www.aenor.es
EOI1005_1 25