Avanza2: Sesiones informativas sobre certificaciones en el ámbito TIC

21 04 2009

La Asociación de Empresas de Tecnologías de la Información y Comunicaciones de España (AETIC), concretamente AETIC Cataluña, organiza junto a varias entidades una serie de sesiones informativas sobre las ayudas del Plan Avanza 2 para la obtención de los siguientes modelos de certificación:

  • CMMI – Capability Maturity Model Integration, niveles 2 a 5.
  • ISO 15504 – Tecnologías de la Información. Proceso de valoración del Software (SPICE – Software Process Improvement and Capability Determination), niveles 2 a 5.
  • ISO 9001:2000 – Sistemas de gestión de la calidad.
  • UNE-ISO 20000-1:2005 – Tecnologías de la Información. Gestión del Servicio TI.
  • ISO 27001:2005 – Tecnologías de la Información. Gestión de la Seguridad de la Información.

banner_avanza2separado2

El Plan Avanza 2, en su Subprograma Avanza I+D, contempla ayudas para proyectos de modernización de las PYMEs del sector TIC, destinadas a la obtención de certificaciones en los ámbitos de la calidad del software, la gestión del servicio TI y la seguridad de la información. El objetivo de las sesiones informativas es dar a conocer estas ayudas, así como el procedimiento para acceder a ellas.

logo_aeticAETIC agrupará empresas (mínimo 6 y máximo 20) que soliciten el mismo modelo de certificación, para pedir y gestionar conjuntamente las ayudas del Ministerio.

Calendario de las sesiones:

  • 21 de abril AETIC, Barcelona.
  • 22 de abril 22@Network, Barcelona.
  • 30 de abril Foment del Treball, Barcelona.
  • 30 de abril Aseitec, Barcelona.
  • 6 de mayo Cambra de Comerç, Girona.

Para inscribirse en las sesiones u obtener información adicional contactar con AETIC.


Comentarios : Deja un Comentario »
Etiquetas: , , , , ,
Categorías : Eventos, Normas y estándares, Noticias

Plan Avanza2: Ayudas para la obtención de certificaciones

12 03 2009

Uno de los principales ejes de actuación del Plan Avanza2 (2009-2012) se centra en fomentar los proyectos de Innovación (Subprograma Avanza I+D), en materia de procesos y de organización en la PYME Española. Pará ello se ofrece ayudas a las PYMES en la obtención de certificaciones en las áreas de Calidad del software (ISO 9001, CMMI, SPICE), la Gestión de los Servicios TI (ISO 20000) y la Gestión de la Seguridad (ISO 27001).

Las ayudas se ofrecen a proyectos en cooperación, de entre 6 y 20 PYMES. Cada proyecto debe orientarse a un solo tipo de certificación. La ayuda se consigue antes de empezar el proyecto, pero su concesión definitiva es vinculante a la obtención de la certificación que se haya elegido como objetivo.

Las ayudas orientativas son:

  • ISO/IEC 27001                     19.000 €
  • UNE-ISO/IEC 20000-1          20.000 €
  • ISO 9001                               6.000 €
  • CMMI o SPICE 2                     20.000 €
  • CMMI o SPICE 3                     25.000 €
  • CMMI o SPICE 4                     30.000 €
  • CMMI o SPICE 5                     35.000 €

Toda la información de la convocatoria 2009 puede encontrarse aquí .


Comentarios : Deja un Comentario »
Etiquetas: , , , , ,
Categorías : Calidad, Gestión de servicios TI, Normas y estándares, Organizaciones, Seguridad de la información

Norma BS 25777 sobre Gestión de la Continuidad TI

9 02 2009

En junio del año pasado tuvimos la oportunidad de asistir a la presentación de la traducción al castellano de la norma BS 25999 sobre Gestión de la Continuidad de Negocio (GCN). Desde entonces se han sucedido los eventos y los artículos sobre el tema, lo que ha contribuido a la difusión de esta norma así como a su progresiva implantación y al incremento de las organizaciones certificadas en ella en nuestro entorno.

Sin embargo, aún hoy existe cierta confusión al respecto de lo que significa “Gestión de la Continuidad de Negocio”. Y es que hemos podido constatar cómo a menudo ésta se relaciona directa, incluso exclusivamente, con los planes de continuidad TI. Es evidente que las TI son fundamentales para la continuidad del negocio de muchas organizaciones, sin embargo no lo son en todos los casos, ni la garantía de su continuidad, por sí misma, garantiza siempre la del negocio. La continuidad de éste tiene mucho más que ver con la gestión de la información, el conocimiento, las relaciones, etc.

Pero volvamos a lo esencial, y es que la interrupción de las TI en una organización puede representar un gran riesgo para ésta, pudiendo afectar gravemente a las operaciones, socavar su reputación pública, etc. Así pues, y dadas sus peculiaridades, es preciso disponer de procesos de Gestión de la Continuidad TI (GCTI) que den soporte específico a la GCN, asegurándose de que las infraestructuras y los servicios TI son robustos ante las amenazas y, cuando menos, en caso de interrupción pueden recuperarse en un marco temporal de acuerdo a las necesidades del negocio. Justamente éste es el propósito de la, recién publicada, norma BS 25777:2008. Esto es, proporcionar recomendaciones al respecto de la gestión de la continuidad TI, allí donde la norma BS 25999-1 no proporcionaba el detalle suficiente, dado su enfoque primordial en el negocio.

bsi_business_information

El origen de esta nueva norma se sitúa en 2006 cuando el British Standards Institution (BSI) publicó, en colaboración con diversas empresas del sector TI, un documento denominado PAS 77, como código de buenas prácticas para crear un plan de continuidad de servicios de TI. Originalmente se pensó en desarrollar el estándar BS 25777 a partir de PAS 77 en dos partes entre 2008 y 2009. Por una parte, BS 25777-1, como código de buenas prácticas sobre cómo abordar la gestión de la continuidad de servicios TI en una organización. Por otra parte, BS 25777-2, que especificaría los requisitos para establecer, implementar, operar, supervisar, revisar, probar, mantener y mejorar un sistema de gestión de continuidad de servicios TI, además de permitir auditar y certificar los sistemas de gestión de las organizaciones. La norma publicada el 31 de diciembre de 2008 corresponde a la primera parte, pero, a la vista de la numeración con la que se ha publicado y lo que se comenta en el sector, es posible que la segunda parte no llegue nunca, dando por bueno lo que al respecto ya especifica la norma BS 25999-2.

Así pues, habrá que ver cómo evoluciona esta nueva norma, qué grado de acogida tiene por sí misma, o si sólo la veremos en el contexto de la implementación de su hermana mayor la BS 25999. Por otra parte, será interesante ver hasta qué punto encaja con las buenas práctica recogidas en el proceso de Gestión de la Continuidad del Servicio TI de ITIL o con los objetivos de control de la ISO 27001 al respecto de la Gestión de la Continuidad de Negocio, por ejemplo.


Comentarios : Deja un Comentario »
Etiquetas: , , , ,
Categorías : Continuidad de negocio, Normas y estándares

SOX, J-SOX, EuroSOX, … ¿qué más hace falta?

23 12 2008

A mediados del año 2002 se aprobaba en Estados Unidos la Ley Sarbanes Oxley, también conocida como SOX. Nacía de la voluntad de controlar a las empresas que cotizan en la bolsa de Nueva York y sus filiales, para evitar que los procesos con transacciones económicas pudieran ser alterados de forma fraudulenta, como había ocurrido en el famoso caso Enron.

Hace varios años que la SOX traspasó fronteras y hoy existen ya versiones de la misma normativa fuera de EEUU: existe la J-SOX (desde mediados del 2006) con el mismo propósito para Japón y la EuroSOX para la comunidad europea. Esta última cubre las directivas europeas de Auditoría Estatuaria y Representación de Informes de la Compañía.

La dirección de TI ocupa un importante papel a la hora de ayudar en el cumplimento de la SOX. Mediante el uso de mecanismos de control y gestión tales como los que proporcionan Committee of Sponsoring Organizations of the Treadway Commission (COSO),  Control Objectives for Information and related Technology (CoBIT) e Information Technology Infrastructure Library (ITIL) es posible implementar controles, identificar flujos, responsabilidades, …, que ayuden a monitorizar y mejorar dichos procesos de trabajo.

Dada la coyuntura actual, con una crisis financiera mundial y los numerosos casos de fraude como el de Bernard Madoff, que están apareciendo recientemente, es hora de reflexionar sobre qué está fallando. Lo que sí parece claro, es que disponer de estándares de control no és lo único necesario para garantizar el buen hacer de las empresas y el cumplimiento de las Leyes.


Comentarios : 1 comentario
Etiquetas: , , ,
Categorías : Dirección SI/TI, IT Governance, Normas y estándares

ISO/IEC 38500 y el buen Gobierno de las TI

21 10 2008

El Gobierno de las TI (IT Governance) ya tiene una norma ISO asociada, la ISO/IEC 38500:2008Corporate governance of information technology” publicada el pasado junio y que viene a complementar el conjunto de estándares ISO que afectan a los sistemas y tecnologías de la información, e.g. ISO/IEC 27001, ISO/IEC 20000, etc.

Esta nueva norma fija los estándares para una buena gestión de los procesos y decisiones empresariales relacionados con los servicios de información y comunicación que, suelen estar gestionados tanto por especialistas en SI/TI internos o ubicados en otras unidades de negocio de la organización, como por proveedores de servicios externos.

En esencia, todo lo que esta norma propone puede resumirse en tres propósitos fundamentales:

  • Asegurar que, si la norma es seguida de manera adecuada, las partes implicadas (directivos, consultores, ingenieros, proveedores de hardware, auditores, etc.), puedan confiar en el gobierno corporativo de TI.
  • Informar y orientar a los directores que controlan el uso de los SI/TI en su organización.
  • Proporcionar una base para la evaluación objetiva por parte de la alta dirección de la gestión de las TI.
Marco de gobierno de TI

Marco de gobierno de TI

Así mismo, la norma alienta a adoptar un conjunto de medidas de mínimos para que la organización pueda obtener sus objetivos de TI. Dichos mínimos se traducen en 6 principios básicos:

  1. El establecimiento de responsabilidades
  2. Una buena planificación del apoyo a la mejora de la organización
  3. La adquisición de bienes de TI adecuados
  4. Calidad en el funcionamiento de los sistemas de TI
  5. La garantía de conformidad legal o normativa
  6. La implicación del factor humano así como el respeto al mismo

Cabe destacar dos de ellos.

Por una parte, la conformidad con el entorno legal es una necesidad creciente en el contexto de los SI/TI de organizaciones de cualquier tamaño, ya que existe una gran cantidad de legislación que regula el uso de la información, sus comunicaciones, etc. y que no puede obviarse.

Por otra parte, visto aquí parece obvio, pero el factor humano suele tratarse de manera muy tangencial en muchas estrategias empresariales y, sobre todo, de SI/TI. Por fortuna, esta norma, al igual que la ISO 27001 por ejemplo, lo incorpora como un pilar fundamental más.

Aunque esta norma nace inspirada en normas similares que el gobierno australiano viene impulsando desde hace tiempo, la ISO/IEC 38500:2008 es todavía muy nueva en su forma actual, así que habrá que esperar cierto tiempo para ver qué calado consigue. Estaremos expectantes.


Comentarios : Deja un Comentario »
Etiquetas: ,
Categorías : Dirección SI/TI, IT Governance, Normas y estándares

« Entradas anteriores Entradas siguientes »


Seguir

Get every new post delivered to your Inbox.