COMPILACIN BIBLIOGRFICA: ISO/IEC 20000 (ESTNDAR BRITNICO 15000), NORMAS IEEE SOBRE SOFTWARE E INGENIERA DE SOFTWARE

LUISA FERNANDA ARANGO VLEZ

UNIVERSIDAD DE CALDAS FACULTAD DE INGENIERAS PROGRAMA DE INGENIERA DE SISTEMAS Y COMPUTACIN MANIZALES, 26 DE MARZO DE 2010

COMPILACIN BIBLIOGRFICA: ISO/IEC 20000 (ESTNDAR BRITNICO 15000), NORMAS IEEE SOBRE SOFTWARE E INGENIERA DE SOFTWARE

Presentado por: LUISA FERNANDA ARANGO VLEZ

Presentado a: CARLOS HERNN GOMEZ GOMEZ

Asignatura: AUDITORA DE SISTEMAS

UNIVERSIDAD DE CALDAS FACULTAD DE INGENIERAS PROGRAMA DE INGENIERA DE SISTEMAS Y COMPUTACIN MANIZALES, 26 DE MARZO DE 2010

NDICE

1. INTRODUCCIN ......................................................................................................................... 5 2. MARCO TERICO ...................................................................................................................... 6 3. ISO/IEC 20000 ............................................................................................................................. 7 3.1 HISTORIA Y EVOLUCIN ........................................................................................................... 8 3.2 DESCRIPCIN GENERAL DE LA TEMTICA .......................................................................... 10 3.2.1 QU ES ISO/IEC 20000? ................................................................................................ 10 3.3 DESARROLLO DE LA TEMTICA ............................................................................................ 12 3.3.1 Contenido de ISO/IEC 20000 ............................................................................................ 12 3.3.1.1 El Sistema de Gestin de Servicios TI (SGSTI) ............................................................. 13 3.3.1.2 Planificacin e Implementacin de la Gestin del Servicio ............................................ 13 3.3.1.3 Planificacin e Implementacin de Servicios, Nuevos o Modificados ............................ 14 3.3.1.4 Procesos de Provisin de Servicio................................................................................. 14 3.3.1.4.1 Gestin de Nivel de Servicio ...................................................................................... 14 3.3.1.4.2 Generacin de informes del servicio .......................................................................... 14 3.3.1.4.3 Gestin de la continuidad y disponibilidad del servicio .............................................. 14 3.3.1.4.4 Elaboracin de presupuesto y contabilidad de los servicios de TI ............................. 15 3.3.1.4.5 Gestin de la Capacidad. ........................................................................................... 15 3.3.1.4.6 Gestin de Seguridad de la Informacin .................................................................... 15 3.3.1.5 Procesos de Relaciones ................................................................................................ 16 3.3.1.5.1 Gestin de las Relaciones con el Negocio ............................................................... 16 3.3.1.5.2 Gestin de suministradores ...................................................................................... 16 3.3.1.6 Procesos de Resolucin................................................................................................ 17 3.3.1.6.1 Gestin del incidente ................................................................................................. 17 3.3.1.6.2 Gestin del problema ................................................................................................. 17 3.3.1.7 Procesos de Control ...................................................................................................... 18 3.3.1.7.1 Gestin de la Configuracin ....................................................................................... 18 3.3.1.7.2 Gestin del Cambio ................................................................................................... 18 3.3.1.8 Procesos de Entrega ..................................................................................................... 18 3.3.1.8.1 Gestin de la entrega................................................................................................. 18 3.3.2 Implantar ISO/IEC 20000 .................................................................................................. 19 3.3.2.1 Conocer la documentacin ............................................................................................ 19 3.3.2.2 Analizar la situacin actual ............................................................................................ 19 3.3.2.3 Programa para la mejora del servicio ............................................................................ 19 3.3.2.4 Seguimiento y mejora continua ...................................................................................... 20 3.3.3 La certificacin ISO/IEC 20000 .......................................................................................... 21 3.3.3.1 Determinar el alcance de la certificacin ....................................................................... 22 3.3.3.2 Solicitud de certificacin ................................................................................................ 23 3.3.3.3 Anlisis de documentacin ............................................................................................ 23 3.3.3.4 Visita previa ................................................................................................................... 23
Auditora de Sistemas ISO/IEC 20000 Pgina 3 de 42

3.3.3.5 Auditoria Inicial............................................................................................................... 23 3.3.3.6 Evaluacin y decisin .................................................................................................... 23 3.3.3.7 Concesin del certificado ............................................................................................... 23 3.3.3.8 Auditora de seguimiento ............................................................................................... 24 3.3.3.9 Auditora de renovacin ................................................................................................. 24 3.4 COMPARATIVO CON COBIT .................................................................................................... 25 4. NORMAS IEEE SOBRE SOFTWARE E INGENIERA DE SOFTWARE ................................... 26 4.1 HISTORIA Y EVOLUCIN ......................................................................................................... 27 4.2 DESCRIPCIN GENERAL DE LA TEMTICA .......................................................................... 29 4.2.1 Normas de la IEEE ............................................................................................................ 29 4.3 DESARROLLO DE LA TEMTICA ............................................................................................ 31 4.3.1 610 - IEEE Standard Glossary of Software Engineering Terminology ............................... 31 4.3.2 1002 - IEEE Standard Taxonomy for Software Engineering Standards ............................. 31 4.3.3 1058.1: IEEE Plan para la Gestin de Proyectos de Software........................................... 32 4.3.4 12207 - ISO/IEC/IEEE Standard for Systems and Software Engineering Software Life Cycle Processes ........................................................................................................................ 32 4.3.5 Standard for Software Engineering Software Life Cycle Processes Maintenance .... 33 4.3.6 15939 - IEEE Standard adoption of ISO/IEC 15939:2007 systems and software engineering measurement process ............................................................................................ 33 4.3.7 16326 - Systems and software engineering - Life cycle processes - Project management 33 4.3.8 1633 - IEEE Recommended Practice on Software Reliability ............................................ 34 4.3.9 14471 - IEEE Draft Guide Adoption of ISO/IEC TR14471 Information technology Software engineering - Guidelines for the adoption of CASE tools ............................................ 34 4.3.10 26513 - IEEE Draft Standard Adoption of ISO/IEC 26513:2009 - Systems and Software Engineering - Requirements for Testers and Reviewers of User Documentation .......... 34 4.3.11 26514 - IEEE Draft Standard Adoption of ISO/IEC 26514:2008 - Systems and Software Engineering - Requirements for Designers and Developers of User Documentation .. 35 4.4 COMPARATIVO CON COBIT .................................................................................................... 36 5. RESUMEN ................................................................................................................................. 37 5.1 ISO/IEC 20000 ........................................................................................................................... 37 5.2 IEEE ........................................................................................................................................... 39 6. CONCLUSIONES ...................................................................................................................... 40 4 BILIOGRAFA ............................................................................................................................ 41

Auditora de Sistemas ISO/IEC 20000

Pgina 4 de 42

1. INTRODUCCIN

En el pasado las empresas no estaban soportadas por sistemas informticos, pero actualmente cada vez ms los procesos del negocio de las empresas se apoyan ms en los diferentes servicios de TI con el fin de mejorar las prcticas tecnolgicas para poder expandir el negocio y utilizar las mejores tecnologas existentes para sus clientes finales. Actualmente los servicios TI trascienden las fronteras de la compaa, situando a la gestin de los servicios TI como uno de los elementos clave que se debe tener en cuenta en su estrategia del negocio, tanto en las previsiones de ingresos y crecimiento, como en las de contingencia y supervivencia de la compaa ante situaciones crticas. Esto es particularmente importante para las compaas de sectores industriales y del sector financiero, el sanitario y el de servicios pblicos, suministro de agua, electricidad, etc. En estos casos ya no basta con tener unos excelentes servicios TI, si no que es necesario demostrar a sus accionistas y clientes que disponen de una infraestructura tecnolgica y unos servicios fiables y bien gestionados. Adicionalmente las empresas tambin tienen que tener en cuenta las implicaciones relacionadas con el cumplimiento de las normativas locales de los pases. Cada vez existen ms normas y leyes cuyo cumplimiento es preciso demostrar. Normas como la ley Sarbanes-Oxley o la ley de portabilidad y responsabilidad de seguros mdicos de 1996 (Health Insurance Portability and Accountability Act) de EE.UU. contemplan especficamente puntos relacionados con los servicios tecnolgicos y su gestin. En la actualidad, los inspectores no exigen la presentacin de certificaciones como prueba de su cumplimiento, pero podran hacerlo en un futuro. En este contexto nace en Diciembre de 2005 la norma ISO /IEC 20000 que aborda especficamente la calidad de gestin de los servicios TI que, debido a la necesidad del sector y organismos reguladores, podra convertirse en la norma internacional utilizada por los inspectores para comprobar el cumplimiento de determinadas normativas legales y locales, adems de los estndares IEEE que regulan y certifican los procesos de ingeniera del software de las empresas para el correcto funcionamiento de los servicios y productos de TI. El objetivo de este documento ser explicar a grandes rasgos el objetivo de estas normas y qu funcin pueden cumplir en las empresas con un alto o mediano grado de aplicacin de TI.

Auditora de Sistemas ISO/IEC 20000

Pgina 5 de 42

2. MARCO TERICO

ISO/IEC 20000 (International Organization for Standardization) e IEC (International Electrotechnical Commission), es la primera norma de gestin de servicios de TI que funciona en un entorno totalmente integrado para proveer servicios de TI de calidad del negocio para los clientes. La norma proporciona la base para probar que una organizacin de TI ha implantado buenas prcticas para la gestin del servicio y que las est usando de forma regular y consistente. La norma ISO/IEC 20000 est estructurada en dos documentos: ISO/IEC 20000-1: este documento incluye el requisito de las normas obligatorias que el proveedor de TI debe cumplir para asegurar la calidad del servicio que responda a las necesidades de la empresa y los clientes. ISO/IEC 20000-2: este documento pretende ayudar a la organizacin a establecer los procesos de forma que cumplan con los objetivos de la primera parte. ISO/IEC 20000 es una norma internacional que proporciona un marco de referencia para todas las empresas que presten servicios de TI, dando un estndar y una terminologa comn para todos los implicados proveedores, suministradores y clientes. Esta norma solo se otorga a organizaciones que gestionen los servicios de TI y la norma certifica solamente el buen funcionamiento de las operaciones de la empresa y no entra en una competencia de certificacin de productos o de servicios de consultora y va dirigida a organizaciones que busquen mejorar sus servicios de TI, negocios que necesiten un enfoque consistente en la cadena de suministros, organizaciones de TI que precisen demostrar su capacidad y proveedores de servicios que requieran medir sus servicios de TI. El organismo IEEE posee varios nmeros de estndar para el desarrollo de software, cada uno con un mbito diferente. Aunque cabe aclarar que para acceder al contenido de cada uno de estos documentos se debe poseer una membresa de la IEEE de tipo Standars y por esta restriccin no se hablar con mucha profundidad sobre estos estndares a excepcin de algunos que si se encuentran de forma libre. Estas normas son aplicadas en todo mbito ingenieril pero en el desarrollo del documento se enfocar en las normativas y estndares impuestos para el desarrollo de sistemas de informacin en ingeniera de software y para los ingenieros de software en especial.

Auditora de Sistemas ISO/IEC 20000

Pgina 6 de 42

3. ISO/IEC 20000

Auditora de Sistemas ISO/IEC 20000

Pgina 7 de 42

3.1 HISTORIA Y EVOLUCIN

Los antecedentes de la norma se remontan a 1989 cuando la institucin britnica BSI comenz la definicin de un estndar para la gestin de servicio TI, que finaliz con su publicacin como estndar BS 15000 (British Standards) en 1995. A partir de este ao BSI continu con el desarrollo del estndar trabajando en una segunda parte con el objetivo de profundizar en los conceptos de la parte 1 ya publicada. En la realizacin de este trabajo se identific que sera muy beneficioso para el sector TI que las publicaciones BS estuvieran alineadas con las publicaciones ITIL de buenas prcticas, impulsadas por el Gobierno Britnico. Como consecuencia de este inters se formaliz un acuerdo de alineamiento del que BS 15000 se benefici de los contenidos de ITIL, y posteriormente cuando el estndar pas a ser ISO/IEC 20000 fue ste quien ejerci su influencia en los contenidos de la nueva versin 3 de ITIL que se public en Mayo de 2.007.

Figura 1. Historia ISO/IEC 20000

Auditora de Sistemas ISO/IEC 20000

Pgina 8 de 42

La segunda parte del estndar se public en 1998, y posteriormente se sigui evolucionando la norma que vio la luz en su versin final en el ao 2000 como BS 15000 parte 1 y 2. Como complemento a los documentos core de la norma se desarrollaron unos contenidos adicionales para facilitar su adopcin, publicndose un esquema de autoevaluacin y una gua para los gestores del servicio. Gracias a la temprana adopcin de esta norma por las compaas del sector, se pudo realizar una retroalimentacin con la que se realiz una revisin y evolucin de la primera versin de la norma BS 15000, publicando una segunda versin en el ao 2002, que incluy principalmente nuevas clusulas en los apartados de responsabilidades de la gestin y la mejora continua con el ciclo de Deming Plan-Do-Check-Act. Desde su publicacin en el ao 2000 este estndar despert un rpido inters, y un elevado nivel de adopciones en otros pases, por lo que en el mes de Octubre del ao 2004 se solicit a ISO/IEC la elevacin de este estndar britnico a estndar internacional. Como consecuencia de la madurez del estndar se utiliz una va de fast track en la que se procedi a realizar todas las actividades marcadas para la evaluacin del estndar: anlisis, debate, comentarios, votaciones de los diferentes organismos de normalizacin nacionales, cambios finales y creacin de las estructuras necesarias para la adopcin y evolucin de la norma dentro de los organismos ISO/IEC. Tras 14 meses de trabajos el 15 de Diciembre de 2005 se publico el estndar ISO/IEC 20000 1 y 2, retirndose en ese momento el estndar BS 15000. A partir de este momento se inicia el plan para la gestin y futura evolucin del estndar ISO/IEC 20000, acordndose en Marzo de 2006 por el JTC-1, la creacin de un nuevo grupo de trabajo, el WG 25, que se encuadra dentro del subcomit 7 de este organismo (JTC-1 SC7) iniciando sus actividades en Abril 2006. En Espaa, impulsado por itSMF (Information Technology Service Management Forum) se realiza en el ao 2006 la traduccin de la norma al espaol, y posteriormente AENOR (Asociacin Espaola de normalizacin y certificacin) procede a su localizacin y publicacin, que se realiza en el mes de Junio del 2007; y un mes ms tarde se certifican en la norma UNE-ISO/IEC 20000-1 las dos primeras compaas espaolas, Telefnica Soluciones y el Corte Ingles.

Auditora de Sistemas ISO/IEC 20000

Pgina 9 de 42

3.2 DESCRIPCIN GENERAL DE LA TEMTICA

3.2.1 QU ES ISO/IEC 20000? ISO/IEC 20000 es el primer estndar especfico para la Gestin de Servicios de TI, y su objetivo es aportar los requisitos necesarios, dentro del marco de un sistema completo e integrado, que permita que una organizacin provea servicios TI gestionados, de calidad y que satisfagan los requisitos de negocio de sus clientes. La norma proporciona la base para probar que una organizacin de TI ha implantado buenas prcticas para la gestin del servicio y que las est usando de forma regular y consistente. La norma ISO/IEC 20000 est estructurada en dos documentos: ISO/IEC 20000-1. Este documento de la norma incluye el conjunto de los requisitos obligatorios que debe cumplir el proveedor de servicios TI, para realizar una gestin eficaz de los servicios que responda a las necesidades de las empresas y sus clientes. ISO/IEC 20000-2. Esta parte contiene un cdigo de prcticas para la gestin de servicios (Code of Practice for Service Management) que trata cada uno de los elementos contemplados en la parte 1 analizando y aclarando su contenido. En sntesis este documento pretende ayudar a las organizaciones a establecer los procesos de forma que cumplan con los objetivos de la parte 1. ISO/IEC 20000 proporciona al sector una norma internacional para todas las empresas que ofrezcan servicios de TI tanto a clientes internos como externos", creando un marco de referencia y una terminologa comn para todos los actores implicados: los proveedores de servicio, sus suministradores y sus clientes. En este punto es interesante aclarar que la certificacin ISO/IEC 20000 slo se otorga a organizaciones que realizan operaciones de gestin de servicios TI, y que la norma slo certifica el buen funcionamiento de esas operaciones, por lo tanto no entran en su mbito de competencia la certificacin de productos, ni servicios de consultora relativos a la aplicacin de buenas prcticas. Esta norma va dirigida a: Organizaciones que busquen mejorar sus servicios TI, mediante la aplicacin efectiva de los procesos para monitorizar y mejorar la calidad de los servicios. Negocios que solicitan ofertas para sus servicios. Negocios que requieren de un enfoque consistente por parte de todos sus proveedores de servicio en la cadena de suministro.

Auditora de Sistemas ISO/IEC 20000

Pgina 10 de 42

Organizaciones TI que necesiten demostrar su capacidad para proveer servicios que cumplan con los requisitos de los clientes. Proveedores de servicio TI para medir y comparar la gestin de sus servicios mediante una evaluacin independiente.

Figura 2. mbito de actuacin de la norma ISO/IEC 20000

Auditora de Sistemas ISO/IEC 20000

Pgina 11 de 42

3.3 DESARROLLO DE LA TEMTICA

3.3.1 Contenido de ISO/IEC 20000 La norma ISO/IEC 20000 se estructura en los procesos integrados para la gestin de los servicios TI, donde stos dan cobertura a las necesidades del ciclo de vida de los servicios, contemplandos muchos de ellos en la versin 2 de ITIL, algunos de los cuales fueron posteriormente adoptados por ITIL en su nueva versin 3. La especificacin y los requisitos de ISO/IEC 20000 representan un consenso para la industria en estandarizacin de calidad para la gestin de los servicios TI. La norma ISO/IEC 20000 cubre las siguientes secciones:

Figura 3. Marco de referencia ISO/IEC 20000

Auditora de Sistemas ISO/IEC 20000

Pgina 12 de 42

3.3.1.1 El Sistema de Gestin de Servicios TI (SGSTI) Esta seccin trata de la polticas para realizar una eficiente implantacin y gestin de los servicios TI en una organizacin. SGSTI cubre los aspectos de responsabilidad de la direccin, requisitos de la documentacin, competencia, concienciacin y formacin. 3.3.1.2 Planificacin e Implementacin de la Gestin del Servicio En la actualidad se hace necesario que la calidad de los servicios de TI mejoren continuamente, por este motivo la norma ISO/IEC 20000 utiliza el modelo de mejora de la calidad definido por W. Edwards Deming, para validar la gestin de estos servicios. Esta seccin de la norma cubre los siguientes apartados: La planificacin de la gestin del servicio (Planificar) Implementacin de la gestin del servicio y la provisin del servicio (Hacer) Monitorizacin, medicin y revisin (Verificar) Mejora continua (Actuar)

Figura 4. Mejora continua de la calidad.

Auditora de Sistemas ISO/IEC 20000

Pgina 13 de 42

3.3.1.3 Planificacin e Implementacin de Servicios, Nuevos o Modificados Esta seccin tiene como nico objetivo hacer que la creacin, modificacin e incluso la eliminacin de un nuevo servicio se puedan gestionar y proveer con locon los costes, calidad y plazos acordados, para ello se gestiona todo el ciclo de los servicios todo esto empieza con el cliente y finaliza con la entrega operativa del servicio o su eliminacin, este proceso es inexistente en ITIL tanto en su versin 2 como en la 3. Para lograr que todo funcione adecuadamente se debe sincronizar y coordinar el funcionamiento de los procesos de gestin de los servicio implicados. 3.3.1.4 Procesos de Provisin de Servicio En esta seccin se tratan los requisitos necesarios para cubrir la provisin de los servicios que el cliente necesita, y todo aquello que es necesario en TI para poder prestar estos servicios, para ello ISO/IEC 20000 estructura esta seccin en un conjunto de procesos tales como: 3.3.1.4.1 Gestin de Nivel de Servicio Objetivo: Definir y acordar con las partes los acuerdos de nivel de servicio, para posteriormente registrarlos adecuadamente y gestionar su cumplimiento y evolucin. Adems de controlar si se estn consiguiendo los niveles de servicio acordados, y en caso necesario determinar los motivos y promover las acciones de mejora adecuadas. 3.3.1.4.2 Generacin de informes del servicio Objetivo: Generar los informes de servicio acordados, fiables, precisos y a plazo, de forma que permitan verificar si se estn cumpliendo los requisitos y necesidades de los usuarios, e informar de la toma de decisiones con el fin de lograr una comunicacin eficaz. 3.3.1.4.3 Gestin de la continuidad y disponibilidad del servicio Objetivo: Conseguir que los compromisos de disponibilidad y continuidad puedan cumplirse en la forma en que se han acordado con los clientes, adems debe controlar los riesgos y mantener la continuidad del servicio, tanto en situaciones de fallos o mal funcionamiento (disponibilidad) como en casos de catstrofes o desastres (continuidad).

Auditora de Sistemas ISO/IEC 20000

Pgina 14 de 42

3.3.1.4.4 Elaboracin de presupuesto y contabilidad de los servicios de TI Objetivo: Presupuestar y contabilizar los costes de la provisin del servicio, teniendo en cuenta que la norma no contempla la facturacin de los servicios, esto es debido a que muchos proveedores de servicios no realizan una facturacin formal de los servicios a sus clientes, principalmente las unidades internas de TI de las compaas. 3.3.1.4.5 Gestin de la Capacidad. Objetivo: Asegurar que el proveedor del servicio tiene en todo momento la capacidad suficiente para cubrir la demanda acordada, actual y futura, de las necesidades del negocio del cliente, y para ello es necesario elaborar un plan de capacidad que este dirigido a las necesidades reales del negocio, el cual contiene los requisitos de capacidad de rendimiento, de evolucin prevista tanto por cambios internos como por cambios externos, entre otros. 3.3.1.4.6 Gestin de Seguridad de la Informacin Objetivo: Gestionar la seguridad de la informacin de manera eficaz para todas las actividades del servicio, para esto es necesario establecer, y comunicar a todo el personal, de una poltica de seguridad que contemple los controles adecuados para gestionar los riesgos asociados al acceso a los servicios o a los sistemas. Adicionalmente, y para aquellas organizaciones que requieran un alto nivel en la gestin de la seguridad de la informacin existe una norma especfica, ISO/IEC 27001, que proporciona un cdigo de prcticas para la gestin de la seguridad de la informacin.

Figura 5. Procesos de la provisin del servicio.

Auditora de Sistemas ISO/IEC 20000

Pgina 15 de 42

3.3.1.5 Procesos de Relaciones Los proveedores de servicio TI se centran en dos relaciones fundamentalmente, la primera con el negocio y sus clientes a los que da servicio, y la otra con los suministradores o proveedores fundamental para el soporte y evolucin del servicio, con los cuales sera imposible la evolucin y mejoramiento del servicio. Tambin es importante mencionar que esta parte de la norma ISO/IEC 20000 influenci a ITIL v3 en la parte gestin de suministros, pero con la diferencia que esta norma cre dos procesos especficos para gestionar la relacin con los clientes, tales como la Gestin de Relaciones con el Negocio y Gestin de Suministradores.

Figura 6. Procesos de relaciones 3.3.1.5.1 Gestin de las Relaciones con el Negocio Objetivo: Establecer y mantener una buena relacin entre el proveedor del servicio y el cliente, para asi asegurar que todas las partes implicadas en la provisin del servicio estn identificadas para dar respuesta a las demandas del cliente y a l a s necesidades del negocio. 3.3.1.5.2 Gestin de suministradores Objetivo: Gestionar los suministradores para garantizar la provisin, sin interrupciones, de servicios de calidad, para evitar que un solo departamento o compaa no esta en disposicin de poder dominarlo todo en solitario, con el fin de mejorar el rendimiento del negocio, potencindolas internamente y ampliando sus capacidades mediante socios tanto en actividades internas como externas.

Auditora de Sistemas ISO/IEC 20000

Pgina 16 de 42

3.3.1.6 Procesos de Resolucin Los procesos de resolucin son gestin del incidente y gestin del problema, estos procesos tienen un alto grado de relacin aunque tienen objetivos diferenciados. Gestin del incidente se encarga de la recuperacin de los servicios a los usuarios tan pronto como sea posible, y gestin del problema tiene la misin de identificar y eliminar las causas de los incidentes para que no vuelvan a producirse. 3.3.1.6.1 Gestin del incidente Objetivo: Restaurar el servicio acordado con el negocio tan pronto como sea posible o responder a peticiones de servicio, para ello es necesario tratar de forma adecuada los sucesos que provocan la prdida del funcionamiento normal de un servicio y priorizando la atencin de las incidencias de acuerdo a los compromisos de servicio establecidos. 3.3.1.6.2 Gestin del problema Objetivo: Minimizar los efectos negativos sobre el negocio de las interrupciones del servicio, mediante la identificacin y el anlisis reactivo y proactivo de la causa de los incidentes y la gestin de los problemas para su cierre, con el fin de mejorar la calidad global de los servicios TI.

Figura 7. Procesos de control, resolucin y entrega

Auditora de Sistemas ISO/IEC 20000

Pgina 17 de 42

3.3.1.7 Procesos de Control La gestin de la configuracin y del Cambio son dos procesos sobre los que pivotan el resto de procesos de la gestin del servicio TI, gracias a ellos el proveedor de servicios puede controlar adecuadamente los cambios que se producen en los componentes del servicio y la infraestructura que los soporta, y disponer de una base de informacin precisa y actualizada de la configuracin, elemento indispensable para la toma de decisiones de todos los procesos incluido gestin del cambio. 3.3.1.7.1 Gestin de la Configuracin Objetivo: Definir y controlar los componentes del servicio y de la infraestructura, manteniendo informacin precisa y actualizada sobre la configuracin, ademas se ocupa de de los elementos de configuracin (CI-Configuration Item) que componen un servicio, para el apoyo al resto de los procesos de Gestin de TI, garantizando asi que la informacin necesaria para la adecuada gestin de los servicios TI est correctamente registrada y administrada. 3.3.1.7.2 Gestin del Cambio Objetivo: Controlar los cambios de forma eficiente de acuerdo con los compromisos de servicio y con el mnimo impacto en el entorno de produccin, con el fin de obtener al anlisis de los riesgos y la toma de medidas a adecuadas para garantizar el xito del los cambios y minimizar su impacto negativo en el negocio de los clientes. 3.3.1.8 Procesos de Entrega 3.3.1.8.1 Gestin de la entrega Objetivo: Entregar, distribuir y realizar el seguimiento de uno o ms cambios en la entrega en el entorno de produccin real, para garantizar este objetivo el proceso tiene una visin global de todos los servicios y as asegurar la entrega al cliente. El objetivo de este proceso es entregar, distribuir y realizar el seguimiento de uno o ms cambios en la entrega en el entorno de produccin real; adems de realizar la planificacin y gestin de los recursos que permite distribuir correctamente un lanzamiento al cliente. Para garantizar una visin global de todos los servicios y as asegurar la entrega al cliente.

Auditora de Sistemas ISO/IEC 20000

Pgina 18 de 42

3.3.2

Implantar ISO/IEC 20000

Se debe tener claro que ISO/IEC 20000 no es un proyecto con un inicio y un fin, este es ms un cambio de cultura en el cual se centra en la gestin de los servicios orientados al negocio y se basa en una estrategia de mejora continua, por ello las organizaciones que necesiten establecer una gestin de sus servicios de TI debern utilizar esta norma ya sea que despus soliciten o no la certificacin, pues aunque asi no la soliciten formalmente la organizacin podr obtener grandes beneficios. 3.3.2.1 Conocer la documentacin Es el primer paso que deben cumplir los miembros de la organizacin TI, ya que deben conocer y comprender ISO/IEC 20000, adems deben familiarizarse con COBIT como mecanismo de medicin y control, y con ITIL como plataforma para conseguir implantar de forma predecible las practicas necesarias para lograr los objetivos establecidos en la norma. 3.3.2.2 Analizar la situacin actual El siguiente paso es evaluar la situacin actual y determinar en qu situacin se encuentra su gestin del servicio de TI con respecto a los requisitos de ISO/IEC 20000. La evaluacin de la situacin actual no solo cubre al grado de cumplimiento de los procesos de la organizacin respecto a la norma, tambin debera cubrir un estudio de la cultura de trabajo de TI y del negocio, con el fin de establecer la recomendaciones adecuadas en funcin de las caractersticas especificas de la organizacin de TI y los negocios a los que da servicio. Esta actividad aportar una idea clara del grado de adopcin y cumplimiento con el que est trabajando la organizacin. En este anlisis es posible identificar las fortalezas de la compaa as como las reas de mejora necesarias para lograr cumplir los objetivos establecidos en la norma. 3.3.2.3 Programa para la mejora del servicio Una vez cubierta la evaluacin inicial de la situacin y con los datos del gap analysis es posible determinar qu pasos se deben seguir para evolucionar en aquellas reas con mayor potencial de mejora. En este punto hay que disear y desarrollar el programa de mejora para implantar de forma eficaz la estrategia establecida. Aquellas organizaciones que se encuentren en proceso de adopcin de ITIL o COBIT pueden aprovechar su inversin en este proyecto para acelerar las mejoras detectadas.

Auditora de Sistemas ISO/IEC 20000

Pgina 19 de 42

3.3.2.4 Seguimiento y mejora continua Como ya se ha mencionado anteriormente es importante tener presente que la adopcin de ISO/IEC 20000 es un proceso iterativo de mejora continua. La organizacin debe implantar las reas de mejora identificadas en al anlisis de la situacin inicial de forma incremental, midiendo sus progresos respecto a la norma, y utilizando para lograrlo, los elementos de referencia del mercado ms adecuados: ITIL, COBIT, las buenas practicas ya utilizadas en la organizacin, entre otros. La automatizacin, es un factor relevante a considerar en la adopcin de ISO/IEC 20000. Como ya hemos podido observar, la adopcin de la norma requiere el establecimiento de procesos en las diferentes disciplinas de la gestin de los servicios TI, procesos que adicionalmente requieren de una integracin y coordinacin entre ellos muy fuerte. La adopcin efectiva de estos procesos es una tarea difcil de abordar, a la que se suma la dificultad aadida de tener que conseguir una mejora continua. En este contexto tan complejo, los procesos solamente manuales no son viables, por lo que las organizaciones necesitan apoyarse en soluciones y herramientas de automatizacin para facilitar la administracin de estos entornos complejos. La automatizacin aporta una serie de importantes ventajas entre las que podemos mencionar: Facilita la integracin de los procesos y ayuda a su integracin Proporciona el establecimiento de los procesos. Agiliza la implementacin de los procesos facilitando su adopcin. Permite reducir costes. Facilita el seguimiento del cumplimiento de la normativa para su posterior demostracin.

Auditora de Sistemas ISO/IEC 20000

Pgina 20 de 42

3.3.3

La certificacin ISO/IEC 20000

Es importante destacar que la certificacin no es un fin, sino un medio, donde la certificacin declara pblicamente, a las partes interesadas (organizacin, clientes, proveedores, competencia) y a toda la sociedad en general, tanto en el mbito nacional, como en el internacional, que dicho proveedor de servicios TI gestiona sus servicios mediante procesos de acuerdo a este estndar internacional. Esta certificacin permite al proveedor de servicios TI acreditar la calidad en la prestacin de sus servicios, alineada con el negocio y aplicando criterios de eficiencia, as como de control de sus riesgos de operacin del servicio basado en los requisitos contractuales adquiridos con sus clientes y los de contratacin acordados con sus suministradores. Una vez que el proveedor de servicios TI ha implementado la gestin del servicio TI (SGSTI) segn la norma y ha decidido certificar la conformidad de este sistema de gestin con la norma ISO/IEC 20000-1:2005, y por lo tanto su forma de diaria trabajo, es necesario cubrir una serie de actividades. Para iniciar este proceso se necesitan dos actores: el solicitante (empresa u organizacin que aspira a conseguir la certificacin conforme a la norma) y la entidad de certificacin (empresa u organizacin que tras el proceso de auditoria y evaluacin respecto a la norma, concede o deniega la certificacin). Estos dos actores deben cubrir una serie de actividades, que como se puede se puede apreciar en la figura siguiente no constituyen un proceso lineal que empieza y termina. Ms bien es un camino, en el que la primera etapa es la certificacin inicial y, a partir de este punto, no finaliza nunca. Como ya se ha comentado anteriormente el objetivo ltimo de la norma es mantener y mejorar la calidad de la gestin de servicios de la organizacin TI, y este aspecto se convierte en uno de los ejes fundamentales tanto para la realizacin de las auditorias de seguimiento anual, como en las de renovacin del certificado, que se realiza cada 3 aos.

Auditora de Sistemas ISO/IEC 20000

Pgina 21 de 42

En la siguiente figura se muestran las etapas del ciclo de certificacin:

Figura 9. Etapas ciclo de certificacin ISO/IEC 20000 A continuacin se detallan los pasos necesarios para realizar este proceso de la certificacin ISO/IEC 20000, que consiste en lo siguiente: 3.3.3.1 Determinar el alcance de la certificacin En esta etapa se definen los procesos y centros en los cuales se har la certificacin, adems la empresa u organizacin deber hacer una anlisis de su situacin actual con respecto a la norma ISO 20000-1 para determinar el momento ms adecuado para realizar la solicitud.

Auditora de Sistemas ISO/IEC 20000

Pgina 22 de 42

3.3.3.2 Solicitud de certificacin La solicitud de la certificacin a una entidad certificadora para que ella envi una propuesta al proveedor de servicios de TI solicitante para su anlisis y aprobacin. 3.3.3.3 Anlisis de documentacin En esta etapa la entidad de certificacin estudia la documentacin del sistema de gestin de servicios de la empresa solicitante. 3.3.3.4 Visita previa En esta etapa la evaluacin se hace en la empresa del solicitante para saber la idoneidad de la peticin de certificacin, adems de ser el momento propicio para aclarar dudas de ambas partes ya que esta actividad es clave en el proceso de certificacin. Como parte final la entidad certificadora prepara el plan de auditora que se le entrega a la empresa solicitante. 3.3.3.5 Auditoria Inicial Es la etapa ms crtica y compleja ya que se realiza la auditora sobre los procesos solicitados, en caso tal que la empresa solicitante tenga alguna desviacin deber corregirlos en el plazo dado. 3.3.3.6 Evaluacin y decisin En este punto, la actividad a realizar est solamente en el mbito de la empresa certificadora, que mediante un comit de decisin, analiza y valora dichas acciones y en caso de valoracin positiva proceder a la concesin del certificado correspondiente. 3.3.3.7 Concesin del certificado En caso que la decisin del Comit sea positiva se emite el certificado, con el alcance establecido, a favor del proveedor TI solicitante. Por el contrario, si del anlisis se detecta que no se cumplen requisitos graves de certificacin, sera necesaria una visita adicional. Esta nueva visita se denomina auditoria extraordinaria, y normalmente se planifica seis meses despus de la auditoria inicial. Su objetivo es comprobar la correccin de los incumplimientos que motivaron esta auditoria extraordinaria.

Auditora de Sistemas ISO/IEC 20000

Pgina 23 de 42

3.3.3.8 Auditora de seguimiento Durante los dos aos siguientes, la entidad de certificacin debe realizar auditorias de seguimiento del sistema de gestin certificado (AS1 y AS2), normalmente seleccionando partes de dicho sistema y no la totalidad del mismo. Su objetivo es comprobar su funcionamiento, y en caso de encontrar incumplimientos levanta las no conformidades necesarias, que la organizacin ya acreditada debe resolver mediante un nuevo plan de acciones correctivas. 3.3.3.9 Auditora de renovacin Pasados tres aos desde la consecucin del certificado, la entidad de certificacin debe realizar una nueva auditoria, y en este caso su mbito ser muy parecido a la auditoria inicial. Con el resultado de esta nueva auditoria de proceder a prorrogar o cancelar la certificacin concedida. Al igual que en la auditoria inicial, tambin podra darse el caso que fuera necesaria de una visita extraordinaria para estos mantenimientos o renovaciones. A pesar de que la norma es reciente ya existe un buen nmero de compaas certificadas, algunas provienen de la antigua norma BS 15000, pero existen un importante nmero de compaas que ya se han certificado directamente bajo la norma ISO/IEC 20000.

Figura 10. Compaas certificadas en ISO/IEC 20000

Auditora de Sistemas ISO/IEC 20000

Pgina 24 de 42

3.4 COMPARATIVO CON COBIT

El control de los procesos tecnolgicos se est convirtiendo en una parte esencial de las relaciones de negocio prcticamente en toda la industria y son esenciales para implementar las mejores prcticas ITIL y, de esta forma, obtener la certificacin ISO/IEC 20000. ISO/IEC 20000 como se ha dicho antes su objetivo principal es la mejora continua de los servicios de TI adems las organizaciones pueden utilizar COBIT para materializar las medidas de los avances en el logro de nuevos niveles de mejora a medida que la gestin de los servicios gana en madurez. COBIT es ms un mecanismo de medicin y control, mientras ISO/IEC 20000 busca la gestin de los servicios y su integracin con una mejora continua, apoyndose mutuamente en las practicas de ITIL y otros sistemas de mejora de la calidad de TI.

Auditora de Sistemas ISO/IEC 20000

Pgina 25 de 42

4. NORMAS IEEE SOBRE SOFTWARE E INGENIERA DE SOFTWARE

Auditora de Sistemas ISO/IEC 20000

Pgina 26 de 42

4.1 HISTORIA Y EVOLUCIN

El ltimo cuarto del siglo diecinueve fue marcado por un tremendo crecimiento en la tecnologa elctrica. La Pearl Street Station de Thomas Edison estaba brindando el poder para abastecer la iluminacin incandescente, haba numerosas empresas fabricando equipo elctrico. Este gran crecimiento en la actividad elctrica incit al Franklin Institute para patrocinar una Exhibicin Elctrica Internacional en Filadelfia en 1884. Esta exhibicin fue el catalizador que produjo la formacin del Instituto Americano de Ingenieros Elctricos (American Institute of Electrical Engineers, AIEE), el antepasado del actual Instituto de Ingenieros Electrnicos y Electricistas (IEEE). Una de las actividades importantes del AIEE era el desarrollo de normas para la profesin de la ingeniera y la industria elctrica. Los esfuerzos ms tempranos del Instituto se dirigieron hacia regularizar las unidades, definiciones, y nomenclatura que relacionan a la ciencia elctrica bsica. Como fue explicado por Arturo E. Kennelly, presidente de AIEE de 1898 a 1900, el propsito de este comit era el "definir y declarar en un lenguaje simple, la naturaleza, caractersticas, conducta, valuacin, y mtodos para probar maquinarias y aparatos elctricos, particularmente con una vista en preparar las normas de prueba de aceptacin para la industria elctrica." A inicios del siglo 20, el AIEE haba tomado su lugar junto a las sociedades de la ingeniera ms viejas. Como el alcance de ingeniera elctrica se haba extendido, los ingenieros se volvieron ms especializados y se comprometieron a buscar e intercambiar la informacin con otros de las mismas especialidades. As, en 1903, el primer Comit Tcnico, el Comit de Transmisin de Alto Voltaje, se form. Un grupo de ingenieros elctricos especializados, sin embargo, no se senta totalmente en casa en los establecimientos y temas en los que el AIEE estaba fuertemente orientado. Como con el AIEE, uno de las preocupaciones principales de la IRE era la estandarizacin. El crecimiento de la IRE reflej el crecimiento de la industria de la radio en general. Como pas en el AIEE, los miembros de la IRE que comparti una especialidad tcnica comn buscaron maneras de actuar recprocamente ms directamente. Durante los primeros treinta aos de su existencia, la IRE era una de las ms pequeas sociedades de ingeniera. Pero los miembros de IRE eran practicantes de la tecnologa del futuro. Los aos despus de que el Segunda Guerra Mundial trajo los cambios drsticos al campo de ingeniera elctrica y un crecimiento continuo en los miembros de esta sociedad. La fusin era cada vez ms lgica. Ninguna sociedad represent la amplitud total de la ingeniera elctrica de manera adecuada. Hubo duplicacin de personal, publicaciones, y actividades. Las dificultades se superaron primero en los campus de las universidades; en 1950, las directivas de ambas sociedades autorizaron la creacin de Ramas Estudiantiles
Auditora de Sistemas ISO/IEC 20000 Pgina 27 de 42

Unidas. Representantes de las dos sociedades se encontraron y se pusieron en orden para la cita que iba a tratar acerca de la unin de un Comit ad hoc que tratara especficamente de la fusin. El 87 por ciento de los miembros de la votacin de cada sociedad aprobaron la fusin. Donald Fink, un compaero del AIEE y la IRE, fue escogido como el Gerente General del nuevo Instituto de Ingenieros Elctricos y Electrnicos. El 1 de enero de 1963, el IEEE naci. En 1973, el IEEE tom un paso fuera de las tradiciones de sus predecesores. Con la adopcin de una nueva constitucin, el IEEE dej su papel de "sociedad sabia", que slo tena relacin con el avance y diseminacin de conocimiento, y tom el papel de una "sociedad profesional" interesado tanto en lo tcnico como en lo no tcnico de sus miembros. El directorio de Actividades en los Estados Unidos, apoyados por una valoracin anual pagada por los residentes americanos, fue creado para vigilar los funcionamientos no tcnicos del IEEE dentro de los Estados Unidos. Hoy, con ms de un cuarto de milln de miembros, el IEEE es la sociedad profesional ms grande del mundo, y sus actividades se extienden ms all de las visiones iniciales que sus antepasados pudieron prever. Permanece, sin embargo, como hace un siglo, siendo el primer portavoz para el campo tecnolgico ms significante y excitante de su tiempo.

Auditora de Sistemas ISO/IEC 20000

Pgina 28 de 42

4.2 DESCRIPCIN GENERAL DE LA TEMTICA

4.2.1 Normas de la IEEE En la actualidad las normas IEEE para la ingeniera del software son amplias y se encuentran en un grado de madures que les permiten servir como eje de calidad para los proyectos que se realicen en este campo, a continuacin solo se nombraran algunas y ms adelante se describirn las ms relevantes y su importancias para la ingeniera actual, dichas normas son:
610 - IEEE Standard Glossary of Software Engineering Terminology 1002 - IEEE Standard Taxonomy for Software Engineering Standards 1058.1: IEEE Plan para la Gestin de Proyectos Software 1348 - IEEE Recommended Practice for the Adoption of ComputerAided SoftwareEngineering (CASE) Tools 12207 - ISO/IEC/IEEE Standard for Systems and Software Engineering Software Life Cycle Processes 14764 - International Standard - ISO/IEC 14764 IEEE Std 14764-2006 Software Engineering Software Life Cycle Processes - Maintenance 15288 - ISO/IEC/IEEE Systems and Software Engineering - System Life Cycle Processes 15939 - IEEE Standard adoption of ISO/IEC 15939:2007 systems and software engineering measurement process 16085 - Systems and Software Engineering - Life Cycle Processes - Risk Management 16326 - Systems and software engineering - Life cycle processes - Project management 90003 - IEEE Guide--Adoption of ISO/IEC 90003:2004 Software Engineering--Guidelines for the Application of ISO 9001:2000 to Computer Software 1471 - ISO/IEC Standard for Systems and Software Engineering - Recommended Practice for Architectural Description of Software-Intensive Systems 1633 - IEEE Recommended Practice on Software Reliability 42010 - ISO/IEC Standard for Systems and Software Engineering - Recommended Practice for Architectural Description of Software-Intensive Systems 14471 - IEEE Draft Guide Adoption of ISO/IEC TR14471 Information technology Software engineering - Guidelines for the adoption of CASE tools 15289 - Draft Standard X Software and systems engineering -- Content of life-cycle information products (documentation) 23026 - IEEE Standard for Software Engineering - Recommended Practice for the Internet Web Site Engineering, Web Site Management, and Web Site Life Cycle

Auditora de Sistemas ISO/IEC 20000

Pgina 29 de 42

24748 - ISO/IEC Draft IEEE Guide Systems and software engineering-Guide for life cycle processes 24765 - Draft International Standard -- Systems and Software Engineering -- Vocabulary 26512 - IEEE Draft Standard Systems and software engineering - Requirements for acquirers and suppliers of user documentation 26513 - IEEE Draft Standard Adoption of ISO/IEC 26513:2009 -- Systems and Software Engineering -- Requirements for Testers and Reviewers of User Documentation 26514 - IEEE Draft Standard Adoption of ISO/IEC 26514:2008 - Systems and Software Engineering - Requirements for Designers and Developers of User Documentation

Auditora de Sistemas ISO/IEC 20000

Pgina 30 de 42

4.3 DESARROLLO DE LA TEMTICA

4.3.1 610 - IEEE Standard Glossary of Software Engineering Terminology Glosario de Terminologa de Ingeniera de Software Estndar IEEE, que identifica los trminos que se utilizan actualmente en el campo de la ingeniera de software. Definiciones estndar para los trminos establecidos. El campo de la informtica sigue ampliando los trminos y significados que se estn utilizando. El estndar IEEE 610 se llev a cabo para documentar este vocabulario. Su propsito es identificar los trminos que se utilizan actualmente en el campo de la computacin y para establecer definiciones estndar para estos trminos. El diccionario est destinado a servir como referencia til para aquellos en el campo de la computacin y para los que entran en contacto con los ordenadores a travs de su trabajo o en su vida cotidiana. Este diccionario se desarrollando para varias areas que comprenda la ingeniera del software entre ellas la seguridad informtica, las comunicaciones, desarrollo grficos, inteligencia artificial entre otros. Todos los trminos se han introducido segn los criterios anteriores y se han dejado trminos cuyo significado sea ms entendible en el ingles estndar. Las dems normas se han desarrollado con base ha este conocimiento ya que si se presentan confusiones o equivocaciones se podrn resolver mediante la consulta a esta norma. Este glosario es una actualizacin y expansin de la IEEE Std 729-1983 y del anterior glosario de la ANSI cuyos trminos fueron aumentados de 500 a 1300. 4.3.2 1002 - IEEE Standard Taxonomy for Software Engineering Standards Taxonoma de las Normas Estndar de Ingeniera del Software, las aplicaciones no estn restringidas a la ingeniera del software, el tamao, la complejidad, la criticidad, o entorno de hardware. Esta taxonoma se aplica a las normas (de las disciplinas relacionadas con la gestin de la ingeniera, ingeniera de sistemas, ingeniera de hardware, informtica y ciencias de la informacin) con el que un ingeniero de software estara familiarizado. Esta taxonoma es una aplicacin independiente. La norma explica los diferentes tipos de pautas de ingeniera de software, sus relaciones funcionales y externa, y el papel de las distintas funciones que participan en el ciclo de vida del software.

Auditora de Sistemas ISO/IEC 20000

Pgina 31 de 42

4.3.3 1058.1: IEEE Plan para la Gestin de Proyectos de Software Este estndar especifica el formato y contenidos de los planes para la gestin de proyectos de software. No especifica las tcnicas exactas que pueden ser usadas en el desarrollo de los planes de proyectos, ni ofrece ejemplos de los planes de gestin de proyectos. Cada organizacin que usa este estndar debera desarrollar un conjunto de prcticas y procedimientos para proporcionar una gua detallada para la preparacin y actualizacin de los planes de gestin de los proyectos software basada en este estndar. No todos los proyectos de software estn afectados con el desarrollo de cdigo fuente para el desarrollo de un nuevo producto software. Algunos proyectos software consisten en el estudio de viabilidad y definicin de los requisitos del producto software. Este estndar Contiene tres secciones. La Seccin 1 define el alcance de este estndar y proporciona referencias a otros estndares IEEE que deberan ser seguidos cuando se aplique este estndar. La Seccin 2 proporciona la definicin de los trminos que son usados a lo largo de este estndar. La Seccin 3 contiene una visin general y una especificacin detallada del estndar, incluyendo los componentes requeridos que deben ser incluidos, y componentes adicionales que pueden ser incluidos en el plan del proyecto basado en este estndar. En la mayora de los casos, los planes de proyecto basados en este estndar sern desarrollados por la iteracin repetida y refinamiento de varios elementos del plan. Este estndar est destinado a aquellos gestores de proyectos software y a otro personal que prepare o actualice planes de proyectos y estn adheridos a esos planes. 4.3.4 12207 - ISO/IEC/IEEE Standard for Systems and Software Engineering Software Life Cycle Processes ISO/IEC/IEEE estndar de Sistemas e Ingeniera de Software Ciclo de Vida de los Procesos de Software, esta norma establece un marco comn para los procesos del ciclo de vida del software, con una terminologa bien definida, que puede ser referenciado por la industria del software. Se aplica a la adquisicin de sistemas y productos de software y servicios, empezando por los requerimientos, desarrollo, implementacin, mantenimiento y eliminacin de productos de software, ya sea de forma interna o externa a la organizacin. Esta revisin integra la norma ISO/IEC 12207:1995, con sus dos enmiendas y se coordin con la revisin paralela de la norma ISO/IEC 15288:2002 (procesos del ciclo de vida del sistema) para alinear la estructura, trminos, y los correspondientes procesos de organizacin y de proyectos. Esta norma se puede utilizar independiente o conjuntamente con la norma ISO/IEC 15288, y proporciona un modelo de referencia que apoya el proceso de evaluacin, de conformidad con la norma ISO/IEC 15504-2 (evaluacin de procesos). En un anexo proporciona soporte para los usuarios IEEE y describe las relaciones de esta norma internacional para los estndares IEEE.

Auditora de Sistemas ISO/IEC 20000

Pgina 32 de 42

4.3.5 Standard for Software Engineering Software Life Cycle Processes Maintenance Esta Norma Internacional describe en mayor detalle la gestin del proceso de mantenimiento descrito en la norma ISO/IEC 12207, incluidas las enmiendas, tambin establece las definiciones de los diversos tipos de mantenimiento. Proporciona orientacin que se aplica a la planificacin, ejecucin y control, revisin y evaluacin, y el cierre de los procesos de mantenimiento. El mbito de aplicacin de esta norma internacional incluye el mantenimiento de mltiples productos de software con los mismos recursos de mantenimiento. Esta norma tiene por objeto proporcionar orientacin para la planificacin y el mantenimiento de productos o servicios de software, ya sea de forma interna o externa a la organizacin. 4.3.6 15939 - IEEE Standard adoption of ISO/IEC 15939:2007 systems and software engineering measurement process Estndar IEEE para la Adopcin de la Norma ISO/IES 15939:2007 del Sistema de Ingeniera del Software para la Medicin de Procesos, el proceso se describe a travs de un modelo que define las actividades del proceso de medicin que se requieren para especificar la informacin adecuada, como las medidas y los resultados de los anlisis deben aplicarse, y cmo determinar si los resultados del anlisis son vlidos. El proceso de medicin es flexible, modificable, y adaptable a las necesidades de diferentes usuarios. Esta Norma Internacional identifica un proceso que apoya la definicin de un conjunto adecuado de medidas que aborden las necesidades especficas de informacin. Iguala las actividades y tareas que son necesarias para identificar, definir, seleccionar, aplicar y mejorar la medicin dentro de un proyecto global o la estructura de medicin de la organizacin. Tambin proporciona definiciones de los trminos de medicin de uso comn. 4.3.7 16326 - Systems and software engineering - Life cycle processes - Project management Sistemas e Ingeniera del Software Ciclo de Vida de Procesos Gestin de proyectos, ISO/IEC/IEEE 16326:2009 proporciona normativo especificaciones del contenido de los planes de gestin de proyectos que abarcan los proyectos de software. Tambin proporciona una discusin detallada y asesoramiento sobre la aplicacin de un conjunto de procesos de los proyectos que son comunes al software y el ciclo de vida de los sistemas regulados por la norma ISO/IEC 12207:2008 (IEEE Std 12207-2008) e ISO/IEC 15288:2008 (IEEE Std. 152882008), respectivamente. La discusin y asesoramiento destinados a la ayuda en la preparacin del contenido normativo de los planes de gestin de proyectos. La norma ISO/IEC/IEEE 16326:2009 es el resultado de la armonizacin de la norma ISO/IEC TR 16326:1999 y la IEEE Std 1058-1998 previamente explicada.

Auditora de Sistemas ISO/IEC 20000

Pgina 33 de 42

4.3.8 1633 - IEEE Recommended Practice on Software Reliability Practicas Recomendadas en la Fiabilidad del Software, Los mtodos para evaluar y predecir la fiabilidad del software, basado en un enfoque del ciclo de vida de confiabilidad del software, se establecen en estas prcticas. Proporciona la informacin necesaria para la aplicacin de la fiabilidad del software, de medicin a un proyecto, establece las bases para la creacin de mtodos que sean compatibles, y establece el principio bsico para la recoleccin de los datos necesarios para evaluar y predecir la fiabilidad del software. 4.3.9 14471 - IEEE Draft Guide Adoption of ISO/IEC TR14471 Information technology Software engineering - Guidelines for the adoption of CASE tools Gua de Adopcin para la norma ISO/IEC TR14471 de Tecnologas de la Informacin Ingeniera del Software Directrices para la Adopcin de Herramientas CASE, desde la aprobacin de herramientas CASE es un tema de las tecnologas de transicin, el presente informe tcnico se refiere a la adopcin de prcticas adecuadas para una amplia gama de organizaciones de la informtica. Este informe tcnico ni dicta ni defensores de las normas especiales de desarrollo, los procesos de software, mtodos de diseo, metodologas, tcnicas, lenguajes de programacin, o paradigmas de ciclo de vida. 4.3.10 26513 - IEEE Draft Standard Adoption of ISO/IEC 26513:2009 - Systems and Software Engineering - Requirements for Testers and Reviewers of User Documentation Adopcin de la norma ISO/IEC 26513:2009 Sistemas e Ingeniera del Software Requerimientos para Probadores y Revisin de la Documentacin del Usuario, esta norma establece los requisitos para el examen y revisin de la documentacin del usuario, como parte de los procesos del ciclo de vida. Se define el proceso de documentacin desde el punto de vista del probador de documentacin y revisor. Se especifica el proceso para su uso en las pruebas y el examen de la documentacin del usuario, y proporciona los requisitos mnimos para estas actividades. Es pertinente a las funciones implicadas en la evaluacin y desarrollo de software y la documentacin de usuario, incluidos los directores de proyecto, expertos en usabilidad y desarrolladores de la informacin, adems de los examinadores y evaluadores. Se aplica a ambos la documentacin impresa y la documentacin en pantalla, y es aplicable a la documentacin de usuario para los sistemas que incluyen hardware.

Auditora de Sistemas ISO/IEC 20000

Pgina 34 de 42

4.3.11 26514 - IEEE Draft Standard Adoption of ISO/IEC 26514:2008 - Systems and Software Engineering - Requirements for Designers and Developers of User Documentation Se define el proceso de documentacin desde el punto de vista del desarrollador de documentacin. Tambin cubre la documentacin del producto. Se especifica la estructura, contenido y formato de la documentacin del usuario, y tambin proporciona orientacin informativa para el estilo de la documentacin del usuario. Es independiente de las herramientas de software que pueden ser utilizados para producir la documentacin, y se aplica tanto a la documentacin impresa y la documentacin en pantalla.

Auditora de Sistemas ISO/IEC 20000

Pgina 35 de 42

4.4 COMPARATIVO CON COBIT Dicho estndar se enmarca en un contexto complementario para los indicadores de adquirir e implementar del COBIT (AI2-AI6-AI7), ya que ayudan a lograr rpidamente un modelo de madurez, apoyndose en las normas IEEE para lograr la adquisicin de 15 soluciones y aplicaciones de software los cuales ayudaran a la organizacin a llevar proceso ms automatizados para un mejor funcionamiento de la organizacin. Para el tem AI2 (Adquirir y mantener software aplicativo) permite definir un cronograma para el proceso de adquisicin de software (Cabe aclarar que el IEEE 108.1 se encuentra enfocado al desarrollo) o identificar las prioridades del aplicativo que se posee, entre otros. El tem AI6 (Administrar cambios) permite a travs del IEEE 1058.1 implementar nuevas TI enfocadas al desarrollo de software en la cual por medio de una planificacin organizada permite implementar software exitoso. El tem AI7 (Instalar y acreditar soluciones de cambio) es un claro ejemplo del buen acompaamiento que da el IEEE 1058.1, ya que es ms fcil acreditar una solucin en TI la cual se halla desarrollado a travs de un proceso estricto y una buena planificacin. Este estndar puede ser un claro ejemplo del acompaamiento que debe recibir el COBIT para realizar procesos exitosos.

Auditora de Sistemas ISO/IEC 20000

Pgina 36 de 42

5. RESUMEN

5.1 ISO/IEC 20000 La llegada de ISO/IEC 20000, que deriva de la norma britnica BD 15000, es un hito definitivo para el xito y la popularidad de las mejores prcticas en la gestin de servicios de TI por todo el mundo. El reconocimiento como norma oficial supone un empuje decisivo hacia la cultura de servicios en el sector de las TI, al poner los medios para medir y certificar la excelencia de este tipo de servicios. El 15 de diciembre de 2005 ISO, la Organizacin Internacional de Estandarizacin, adapto BS 15000 a una nueva norma internacional ISO: ISO/IEC 20000 va fast track. En ISO se ha creado un grupo de trabajo para la evolucin de esta norma el TTC1/SC7/WG25 Service Management. Si bien ISO/IEC 20000 no incluye formalmente el planteamiento de ITIL, si describe un conjunto integral de procesos de gestin que estn alineados y son complementarios en el enfoque de procesos definido por ITIL. ISO/IEC 20000 se divide en dos partes, la parte 1 de la norma especificaciones (ISO/IEC 20000-1) es una versin levemente adaptada de BS 15000-1. La parte 2 cdigo de prcticas (BS 15000-2) ha sido la base para ISO/IEC 20000-2. El cdigo de prcticas ofrece una descripcin ms detallada de las mejores prcticas, y proporciona guas y recomendaciones. El propsito de ISO/IEC 20000 es proveer una norma de referencia comn para todas las empresas que ofrezcan servicios de TI tanto a clientes externos como internos. Uno de los objetivos ms importantes de la norma es crear una terminologa comn para las organizaciones proveedoras de servicios TI, sus suministradores y sus clientes. La norma promueve la adopcin de un planteamiento de procesos integrados para la gestin de los servicios de TI. Esta norma se establece para definir todo aquello que es obligatorio para la buena gestin de servicios. ISO/IEC 20000 est alineada con el marco de trabajo de la Biblioteca de Infraestructura de TI (ITIL), con la diferencia de que ITIL es un conjunto de mejores prcticas, mientras que ISO/IEC 20000 es un conjunto formal de especificaciones cuyo cumplimiento debera ser perseguido por los proveedores de servicios. Adems de cubrir los procesos explcitos de ITIL y tambin algunos procesos adicionales que estn parcialmente cubiertos por publicaciones actuales de ITIL.

Auditora de Sistemas ISO/IEC 20000

Pgina 37 de 42

Las organizaciones pueden evaluar su conformidad con ISO/IEC 20000 y; si la evaluacin es positiva, pueden ser certificados por entidades acreditadas de certificacin. Las entidades de certificacin necesitan obtener la acreditacin de un organismo de acreditacin en un pas que sea miembro de ISO. La norma ISO/IEC 20000 sigue las reglas internacionales estandarizadas, desacuerdo a ISO. Todos los pases que son miembros de la organizacin ISO tienen organismos nacionales propios de acreditacin y estos cuerpos tienen el poder de dar certificaciones ISO/IEC 20000. La publicacin de la norma internacional ISO/IEC 20000 supone un paso adelante en el reconocimiento de ITIL como buena prctica comn, aceptada por una comunidad global. Se espera que esta certificacin se convierta pronto en un requerimiento por defecto en muchos acuerdos contractuales, especialmente en grandes acuerdos de externalizacin de servicios. Aunque los proveedores de servicios TI pueden afirmar que cumplen con las especificaciones de la norma ISO/IEC 20000, una auditoria y una certificacin formal les darn significativamente ms peso para dar a conocer al mercado dicho cumplimiento. Los proveedores de servicios que quieran certificarse pueden contactar con una entidad de certificacin acreditada en cualquier parte del mundo y solicitarla. Los certificadores son evaluados y aprobados por el propietario del esquema de certificacin. Los certificadores son sometidos a una revisin minuciosa para velar por su independencia y competencia. Los proveedores de servicios certificados tienen derecho a utilizar el logo oficia, de acuerdo a las restricciones y requerimientos especificados, y son incluidos en una lista publica, las empresas certificadas en Colombia son CompuRedes SA e IG INFRAESTRUCTURA SA. Los proveedores de servicio certificados sern evaluados regularmente para confirmar su conformidad con ISO/IEC 20000.

La norma ISO/IEC 20000 como se dijo antes est compuesta de dos partes: Parte 1: especificaciones; esta es la especificacin oficial de la norma. Esta parte es la que se debe cumplir para obtener la certificacin. Parte 2: cdigo de prcticas; esta parte describe las mejores prcticas ms detalladamente. Esta parte es la que se debera tener en cuenta por las personas que desean la certificacin.

Auditora de Sistemas ISO/IEC 20000

Pgina 38 de 42

5.2 IEEE Aunque el inicio de la IEEE fue como una organizacin encargada de regular las comunicaciones y los avances en materia de electricidad, hoy en da se puede decir que este concepto ha cambiado y se ha convertido en un instituto internacional con gran influencia en muchos campos incluyendo la informtica e ingeniera de software. En la actualidad las normas IEEE para la ingeniera del software son amplias y se encuentran en un grado de madures que les permiten servir como eje de calidad para los proyectos que se realicen en este campo, algunas de las normas ms relevantes son: IEEE Std 982.1-1988 IEEE (Diccionario Bsico de Medidas para obtener datos fiables de Software). IEEE Std 730-2002(Norma para la calidad de los planes del software). ISO/IEC 16085:2004 (Tecnologa de la informacin de software del ciclo de vida los procesos de gestin de riesgos). IEEE Std 1540-2001(Norma IEEE sobre los procesos de software del Ciclo de VidaGestin de Riesgos). IEEE Std 1490-2003(Aprobacin de PMI Gua estndar para la Direccin de Proyectos del Conocimiento). IEEE Std 828-2005(IEEE Estndar para el software de configuracin de los planes de gestin). IEEE 1058.1 (Plan para la Gestin de Proyectos Software). Los anteriores estndares presentados regulan las mejores prcticas para enfrentar proyectos de software y les sirve como herramienta y sistema de apoyo a los ingenieros de software que las siguen.

Auditora de Sistemas ISO/IEC 20000

Pgina 39 de 42

6. CONCLUSIONES

A pesar de que la publicacin de la norma ISO/IEC 20000 es muy reciente, la aceptacin por parte del sector ha sido muy importante, tanto por parte de las compaas privadas como publicas, y actualmente se est comenzando a utilizar como requisito en los pliegos de outsourcing/externalizacin de servicios TI en las reas de produccin. Adicionalmente los gobiernos son conscientes de la necesidad de potenciar el incremento de la calidad, y la reduccin de los riesgos de los servicios TI de las compaas, y est considerado esta norma como un factor relevante para la consecucin de estos objetivos. Realmente la norma constituye una completa gua de referencia para conseguir que una organizacin provea servicios TI gestionados, de calidad y que satisfagan los requisitos de negocio de los clientes. ISO/IEC 20000.es un modelo totalmente independiente de los ya existentes en el mercado as que se puede apoyar en los ya implementados por la empresa, ya sea ITIL, COBIT entre otros. Las normativas IEEE ocupan un espacio grande para la correcta elaboracin de productos o servicios de software que pueden servir como gua y apoyo a la certificacin COBIT e ISO/IEC 20000. Los diferentes estndares que existen para regular los procesos de ingeniera de software de la IEEE se encuentran en un estado de madurez que proporcionan confianza para aquellas empresas que los aplican. Se puede utilizar ISO/IEC 20000 como gua para conseguir los objetivos de calidad en la gestin de los servicios TI, independientemente de que la compaa no contemple en su estrategia la certificacin en esta norma.

Auditora de Sistemas ISO/IEC 20000

Pgina 40 de 42

7. BILIOGRAFA

ISO / IEC 20000 - Home Page. (s.d.). . Recuperado Marzo 26, 2010, a partir de http://www.isoiec20000certification.com/ COBIT. (s.d.). . Recuperado Marzo 26, http://www.isaca.org/Template.cfm?Section=COBIT6&T 2010, a partir de

IEEE Xplore - Browse Standards by Title. (s.d.). . Recuperado Marzo 26, 2010, a partir de http://ieeexplore.ieee.org/xpl/standards.jsp?psf_t=software+engineering&psf_isieee=null&psf _isiet=null&psf_isaip=null&psf_istandj=null&psf_ismag=null&psf_isltr=null&psf_rpp=10&psf_i satv=0&psf_rngmin=-1&psf_rngmax=%201&psf_pn=1&psf_scid=&psf_scn=&psf_tarid=&psf_tarn= IEEE SECCION PERU - Historia del IEEE. (s.d.). . Recuperado Marzo 26, 2010, a partir de http://www.ieeeperu.org/index.php?option=com_content&task=view&id=24&Itemid=7 info_isoiec14764{ed2.0}en.pdf - Powered by Google Docs. (s.d.). . Recuperado Marzo 26, 2010, a partir de https://docs.google.com/viewer?url=http%3A%2F%2Fwebstore.iec.ch%2Fpreview%2Finfo_i soiec14764%257Bed2.0%257Den.pdf&pli=1 ISO/IEC 20000 - Wikipedia, la enciclopedia libre. (s.d.). . Recuperado Marzo 26, 2010, a partir de http://es.wikipedia.org/wiki/ISO/IEC_20000#Organizaci.C3.B3n (s.d.). . Recuperado Marzo 26, 2010, a partir de http://www.google.com.co/url?sa=t&source=web&ct=res&cd=5&ved=0CCIQFjAE&url=http%3 A%2F%2Fwww.uc3m.es%2Fportal%2Fpage%2Fportal%2Fcongresos_jornadas%2Fcongres o_itsmf%2FISO%252020000%2520%2520El%2520estandar%2520para%2520la%2520gestion%2520de%2520servicios%2520 TI.pdf&rct=j&q=ISO%2FIEC+20000&ei=tpWqS_65JsXtgeitIS4BQ&usg=AFQjCNGSXn0bwLUDgFfYl4gCuw_mLRwp7g&sig2=HAIJa1lvqY6YmEY Wqxg6bw ISO/IEC 20000 Gestin de servicios de TI. (s.d.). . Recuperado Marzo 26, 2010, a partir de http://www.bsigroup.es/es/certificacion-y-auditoria/Sistemas-de-gestion/estandaresesquemas/ISO20000/ (s.d.). . Recuperado Marzo 26, 2010, http://www.osiatis.es/formacion/formacion_ISO20000_web.pdf a partir de

Auditora de Sistemas ISO/IEC 20000

Pgina 41 de 42

 (s.d.). . Recuperado Marzo 26, 2010, a partir de http://www.uc3m.es/portal/page/portal/congresos_jornadas/congreso_itsmf/ISO%2020000% 20-%20El%20estandar%20para%20la%20gestion%20de%20servicios%20TI.pdf (s.d.). . Recuperado Marzo 26, http://www.ati.es/IMG/pdf/GarzasVol5Num2.pdf 2010, a partir partir de de

(s.d.). . Recuperado Marzo 26, 2010, a http://www.inteli.com.mx/uploads/articulo%20iso%2020000%20v1.pdf

Implementacin de la norma ISO/IEC 20000. (s.d.). . Recuperado Marzo 26, 2010, a partir de http://customercareassociates.com/index.php?option=com_content&view=article&id=39&Ite mid=19

Auditora de Sistemas ISO/IEC 20000

Pgina 42 de 42