1. ISO 9011
Esta norma internacional proporciona directrices sobre la auditoria a sistemas de gestión incluyendo los principios de auditoria el manejo de un programa de auditoria y la relación de una auditoria, el sistema de gestión así por directrices sobre la evaluación de competencia de los individuos involucrados en el proceso de auditoría, los auditores y los equipos de auditoria.
Esta norma se enfoca hacia 4 aspectos relativos a la realización de auditoria:
Principio de auditoria
Gestión de un programa de auditoria
Actividades de auditoria
Competencia y evaluación de auditoria
PRINCIPIOS DE AUDITORIA
Es muy importante en este bloque de la norma en el cual se menciona los principios éticos y profesionales que debe regir a la conducta de los auditores. Estos principios son la base de la compatibilidad de cualquier proceso de auditoría y nos permite ver la veracidad de los resultados.
Principios relativos a los auditores.
Se hace referencia a la conducta ética básica.
Se menciona los principios de integridad, confidencialidad y discreción con elementos de referencia de la conducta ética del auditor.
a) Integridad: fundamento del profesionalismo
- Llevar a cabo su trabajo con honestidad, diligencia y responsabilidad
- Observar y cumplir con todos los requisitos legales aplicables.
- Demostrar su competencia durante el desarrollo del trabajo.
- Llevar a cabo su trabajo de manera imparcial, es decir ser justo
- Ser sensible a cualquier influencia ejercida sobre su juicio durante el curso de una auditoria.
b) Confienzabilidad: seguridad de la información, los auditores deben ejercitar la discreción y protección de la información adquirida en ele curso de sus labores. La información de la auditoria no debe ser usada de manera inapropiada para ganancia personal del auditor.
GESTION DE UN PROGRAMA DE AUDITORIA
Una organización que necesita llevar a cabo una auditoria, deberá establecer un programa de auditoria que contribuya a la auditoria de la efectividad del sistema que será auditado. Puede incluir
2. la información y recursos necesarios para organizar y conducir las auditorias de manera eficiente dentro de los tiempos especificados incluyendo los siguientes puntos.
- Objetivos para programa de auditoria
- Alcance-numero-tipos –duración-ubicación-cronograma de auditoria.
- Procedimientos del programa de auditoria.
- Criterios de auditoria.
- Métodos de auditoria
- Selección de equipo de auditoria
- Recursos necesarios (viajes- hospedaje)
- Proceso para manejo de confianzabilidad.
Actividades de auditoria
Proporciona directrices muy concretas para cada una de las tareas especificas a desarrollar durante la planificación y realización de una auditoria inicialmente se consideran las tareas de preparación de las auditorias, de definición de objetivos, recursos, equipo de auditoria, etc.
Un aspecto critico de este aspecto de preparación será la revisión de la documentación de la organización a auditar que se considere necesaria para una buena preparación da la auditoria.
Competencia y evaluación de los auditores
El último bloque de esta norma se dedica a las directrices para el diseño y la implementación de un modelo de gestión para competencia y evaluación de los auditores. Indudablemente la dedicación de un bloque entero de la norma nos da a entender que la disponibilidad de los equipos de la auditoria competentes se considera uno de los pilares fundamentales para el correcto funcionamiento de un programa de auditoria
ISO 9126
Evaluación de la calidad para productos de sw.
Sirve para la evaluación de productos.
Iso 9126 fue desarrollado en 1991 para proporcionar un esquema para la evaluación para la calidad del sw y asi refinarlo.
3. ESQUEMA SIMPLIFICADO DEL ESTANDAR ISO 9126
La norma iso 9126 describe un modelo de dos partes para la calidad de productos de sw.
Parte 1._ métricas de calidad interna y externa.
Parte 2.- métricas de calidad de uso.
ESTÁNDAR ISO 27000
“SEGURIDAD DE LA INFORMACION”
. Garantía de los controles interno y cumplimiento de los requisitos de gestión corporativa y de continuidad de la actividad c omercial.
. Pone de manifiesto el respeto a las leyes normativas que sean de aplicación.
. Fiabilidad de cara al cliente demostrar que la información esta segura.
. Identificación, evaluación, y gestión de riesgos.
. Evaluaciones periódicas que ayudan a supervisar el rendimiento y las posibles mejoras.
. Se integra con otros sistemas de gestión.
. Reducción de costes y mejora de procesos.
. Creada en 1995 para facilitar cualquier empresa.
. Define requisitos para un SGSI.
4. . Garantiza la selección de controles de seguridad.
. Recomendada en seguridad de la información para desarrollar, implementar y mantener especificaciones para los SGSI.
- Necesita un vocabulario claramente definido, que evite distintas interpretaciones de concepto técnico y de gestión.
. Integridad – propiedad que busca mantener los datos libres de modificaciones no autorizadas.
- Familia de estándares para un sistema de gestión de la seguridad de la información.
- Contiene las mejores prácticas de SI para desarrollar, implementar especificaciones para SGSI.
Estándar ISO 27000
“Seguridad de la información”
Garantía de los controles internos y cumplimiento de requisitos de gestión corporativa y de continuidad de la actividad comercial.
Pone de manifiesto el respeto a las leyes normativas que sean de aplicación.
Fiabilidad de cara al cliente para demostrar que la información está segura.
Identificación, evaluación y gestión de riesgos.
Evaluaciones periódicas que ayudan a supervisar el rendimiento y las posibles mejoras.
Se integra con otros sistemas de gestión.
Reducción de costes y mejora de procesos.
Creada en 1995 para facilitarle el trabajo a cualquier empresa.
Define requisitos para un SGSI.
Garantiza la selección de controles de seguridad.
Recomendada en seguridad de la información para desarrollar, implementar y mantener especificaciones para los SGSI.
Necesita un vocabulario clara mente definido que evite distintas interpretaciones de concepto técnico y de gestión.
Integridad: Propiedad que busca mantener los datos libres de modificaciones no autorizadas.
Familia de estándares para un sistema de gestión de la seguridad de la información.
Contiene las mejores prácticas de seguridad de la información para desarrollar e implementa especificaciones para SGSI.
5. Nivel 1.
Manual de seguridad
Nivel 2.
Procedimientos
Nivel 3
Instrucciones (Check List, Formatos)
Nivel 4.
Registro
Nivel I.
Por analogía con el manual de calidad, aunque el termino se usa también en otros ámbitos. Sería el documento que inspira y dirige todo el sistema, el que expone y determina las intenciones, alcance, objetivos, responsabilidades, políticas y directrices principales, etc… del SGSI.
Nivel II.
Documento en el que el nivel operativo, asegura que se realice de forma eficaz la planificación, operación y control de los procesos de Seguridad de la Información.
Nivel III.
Documento que describe como se realizan las tareas y las actividades específicas relacionadas con la seguridad de la información.
Nivel IV.
Documentos que proporcionan una evidencia objetiva del cumplimiento de los requisitos del SGSI. Están asociados a la documentación de los otros tres niveles como OUTPUT que demuestra que se ha cumplido lo indicado en los mismos.
6. ISO 10006
Es una norma de calidad que lleva como título: “Gestión de la Calidad – Directrices para la calidad en la gestión de proyectos”, la cual tiene como objetivo servir de calidad en aspectos relativos a elementos, conceptos y prácticas de sistemas de calidad que pueden implementarse en la gestión de proyectos o que pueden mejorar la calidad de la gestión de proyectos. Un conjunto de pasos con calidad que auxilian en la forma de desarrollar nuestros productos de tal manera que sean de calidad.
La gestión de la calidad ha evolucionado desde planteamientos basados en el control hasta su consideración como una herramienta estratégica de competitividad. Cada etapa ha superado a la anterior sin suplantarla. El proceso proyecto-construcción participa de la evolución que ha seguido la gestión de la calidad.
Esta Norma estandarizar la forma de gestionar todo tipo de proyectos, no sólo los de construcción. Estas normas han supuesto un paso importante para establecer un lenguaje común en la gestión del proceso proyecto-construcción.
¿En qué consiste ISO 10006?
La calidad es un concepto que admite múltiples interpretaciones. Se asocia con aquellas características que otorgan cierto grado de excelencia a un producto o a un servicio. Se interpreta la calidad como el conjunto de características de un producto o de un servicio capaz de satisfacer las necesidades y expectativas presentes y futuras del cliente, siempre que se garantice la rentabilidad a largo plazo del proveedor de dichos productos o servicios.
En la norma ISO 10006 se toman en cuenta los siguientes elementos:
a. Alcance.
b. Plazos.
c. Costes.
d. Calidad.
e. Recursos humanos.
f. Comunicaciones.
g. Riesgos.
h. Aprovisionamientos. Esta Norma hace recomendaciones sobre la Gestión de la información generada por la realización del proyecto. 1. - Identificar la Información crítica. 2. - Organizar el sistema de recogida de esa información, que debe considerar dos
7. aspectos: información contenida dentro del proyecto y la información procedente del entorno y del cliente. 3. - Validar y almacenar esa información. 3.- Organizar un sistema que asegure su uso. Aplicaciones La norma ISO 10006 puede aplicarse en varios campos, por eso se podría aplicar en el diseño algún otro producto. Ventajas y Desventajas de la norma ISO 10006 ISO 10006 también tiene beneficios y algunas deficiencias. Ventajas *Reduce la variedad y tipos de productos. Elimina los productos que verdaderamente no son necesarios, o no cumplen con la calidad deseada para el usuario final. *Reduce inventarios y costos de producción. Al realizar el paso anterior nos permitirá cierto ahorro económico, ya que se utilizaran menos recursos para realizar los inventarios y a la vez la producción disminuirá. *Mejora la gestión y el diseño de productos. Esto nos permite tener una mejor calidad en la cuestión del proceso y nos permite crear mejor diseños de productos. *Mejorar la comercialización de productos. Este punto es muy importante ya que nos ayudará a vende un software de calidad, ya que con esto aumentará nuestro prestigio y al cumplir con las normas establecidas, su comercialización será mucho más rápida y eficaz. *Agiliza los procesos de pedidos. Este punto también es de suma importancia, ya que permite expandir nuestros productos de una manera más rápida, ya que reduce de manera considerable el proceso de hacer un pedido.
8. ISO/IEC 20000 Gestión de servicios de TI
La TI (tecnología de la información) es imprescindible en las empresas de hoy en día. Sin embargo, las preocupaciones en torno a los servicios de TI tanto internos como subcontratados crecen debido a que estos servicios no se ajustan a las necesidades de empresas y clientes.
Una solución reconocida a este problema es utilizar un sistema de gestión de servicios de TI (SGSTI) basado en ISO/IEC 20000, la norma internacional para gestión de servicios de TI. La certificación para esta norma permite demostrar de una forma independiente a los clientes que la entidad cumple con las mejores prácticas.
ISO/IEC 20000 se basa en BS 15000, la norma británica reconocida internacionalmente, y la sustituye.
ISO/IEC 20000
La parte uno es la especificación para la gestión de servicios que abarca la gestión de servicios de TI. Ésta es la parte que se puede auditar y establece unos requisitos mínimos que deben cumplirse para obtener la certificación.
La parte dos es el código profesional para la gestión de servicios, que describe las mejores prácticas para los procesos de gestión de servicios en el ámbito de la especificación.
ISO/IEC 20000 es aplicable a cualquier organización, grande o pequeña, de cualquier sector o parte del mundo, que se base en servicios de TI. La norma es especialmente apropiada para proveedores internos de servicios de TI, como los departamentos de TI, y para proveedores externos de estos servicios, como las organizaciones de subcontratación de TI.
Esta norma ya está repercutiendo positivamente en algunos de los sectores dependientes de la TI más importantes, como los de externalización de procesos de negocio, telecomunicaciones y finanzas, así como el sector público.
9. MoPROSOFT
Modelo de Procesos para el Desarrollo de Software.
Modelo para la evaluación y mantenimiento de software, así como su seguimiento en el desarrollo de esos sistemas de software. Generalmente orientado a pequeñas y medianas empresas que desarrollan software; más del 90% de las organizaciones que desarrollan software son pymes, pues las limitaciones de recursos se les hace más difícil adoptar otros modelos que están orientados a organizaciones grandes.
Desarrollado por la Asociación Mexicana para la Calidad en Ingeniería de Software a través de la Facultad de Ciencias de la UNAM. Moprosoft se ha identificado con la norma técnica NMX-059/01- NYCE2005 que fue declarada Norma Mexicana el 15 de agosto de 2005bajo una publicación en el Diario de la Federación.
Características
Gestiona recursos, procesos así como su mantebilidad que componen el conocimiento de la organización en el desarrollo de su proyecto (productos generados, mediciones, documentación de procesos y datos cosechados a partir del uso y de las lecciones aprendidas sobre el proyecto desarrollado), mediante su definición, planificación, y su implementación.
Basada en los modelos de procesos ISO9001:2000, en las áreas de procesos de los niveles 2 y 3 de CMM-SW: CMM-SWv.1.1., en el marco general ISO/IEC15504 y en prácticas y conceptos de PMBOKYSWEBOK.
Ventajas
Su adopción no es costosa.
Especifico para el desarrollo y mantenimiento del software.
Practico de aplicar en organizaciones pequeñas.
Orientado a mejorar los procesos para contribuir a los objetivos del negocio.
Aplicable como norma Mexicana.
Basada en normas ISO
Facilita la compresión del modelo.
Simplifica la relación entre el modelo de procesos y la organización.
Cuenta únicamente con 9 procesos evitando la fragmentación que se presenta en otros modelos.
Capacidad organizacional de gestión de procesos y proyecto.
Desventajas
Evaluaciones formales constantes
No es práctico ni fácil de usar.
No es compresible para los modelos ISO 9000: 2000
Mejora de procesos orientado al objetivo del negocio.
Proyectos para largos plazos.
10. ** Existen empresas en México que implementaron y se certificaron en MoProSoft han logrado obtener niveles 3 y 5 en CMMI; lo que muestra que puede ser adoptado como un estrategia para crecer.
IEEE 830
Las características de una buena ERS son definidas por el estándar IEEE 830-1998. Una buena ERS debe ser:
Completa. Todos los requerimientos deben estar reflejados en ella y todas las referencias deben estar definidas.
Consistente. Debe ser coherente con los propios requerimientos y también con otros documentos de especificación.
Inequívoca. La redacción debe ser clara de modo que no se pueda mal interpretar.
Correcta. El software debe cumplir con los requisitos de la especificación.
Trazable. Se refiere a la posibilidad de verificar la historia, ubicación o aplicación de un ítem a través de su identificación almacenada y documentada.
Priorizable. Los requisitos deben poder organizarse jerárquicamente según su relevancia para el negocio y clasificándolos en esenciales, condicionales y opcionales.
Modificable. Aunque todo requerimiento es modificable, se refiere a que debe ser fácilmente modificable.
Verificable. Debe existir un método finito sin costo para poder probarlo.
Tipos de requisitos
Existen varios tipos de requisitos como lo son:
1. Requisitos de Usuarios: Necesidades que los usuarios expresan verbalmente
2. Requisitos del Sistema: Son los componentes que el sistema debe tener para realizar determinadas tareas
3. Requisitos Funcionales: Servicios que el sistema debe proporcionar
4. Requisitos no funcionales: Restricciones que afectan al sistema.
Norma Iso Iec 26514:2008
11. ISO, la Organización Internacional de Estandarización acaba de anunciar su nueva norma ISO/IEC 26514:2008 relativa a la Documentación para usuarios de Software.
La Nueva Norma ISO/IEC 26514:2008pretende cubrir las necesidades que cualquier persona que utiliza aplicaciones de software tiene de información precisa sobre la forma en que el software puede ayudar a ese usuario a realizar una tarea. La documentación puede ser el primer elemento tangible que el usuario ve y por lo tanto, las influencias del esas primeras impresiones del nuevo usuario de software son importantes La Norma Internacional ISO / IEC 26514:2008 sobre documentación ayudará a los diseñadores y desarrolladores, ya que define el proceso de catalogación de la documentación del desarrollador. El informe abarca las etapas implicadas en el diseño, especificando, y la producción de documentación para el usuario. Se aplica tanto a la documentación impresa como en pantalla.
La norma (ISO / IEC 26514:2008 – Sistemas y software de ingeniería) recomienda que el desarrollo de la documentación del usuario debe ser parte del desarrollo del producto de software y sigue los mismos procesos como el ciclo de vida del producto. Cualquier persona que utiliza el software de aplicación las necesidades de información precisa acerca de cómo el software ayuda al usuario realizar una tarea. La documentación puede ser el primer elemento tangible que el usuario ve y por lo tanto, influye en la del usuario primeras impresiones del producto de software.
La nueva Norma Internacional ISO / IEC 26514:2008 documentación ayudará a los diseñadores y desarrolladores y apoya el interés de los usuarios de software. La norma define el proceso de documentación de la documentación del desarrollador de vista. Abarca las etapas implicadas en el diseño, especificando, y la elaboración de la documentación de usuario. Se aplica tanto a la documentación impresa y en pantalla la documentación.