La organización mundial de estándares ISO (por sus siglas en inglés), ha venido adelantando una política que ofrece a la 
comunidad mundial normas cada vez más sectoriales. Con el éxito obtenido con la publicación de la norma ISO 9001:1987 y sus versiones posteriores, se vio la necesidad de aplicar este modelo incluyendo requisitos específicos a cada sector, así nacieron normas como ISO 16949 para el sector automotriz e ISO 22000 para el sector de alimentos entre otras.
El enorme avance de la tecnología con el desarrollo de los computadores e internet ha generado la denominada segunda revolución industrial: un gran avance en las tecnologías de la información y la comunicación que han transformado las empresas de manera formidable.
ISO entonces genera varias normas para el sector de Tecnologías de la Información y la comunicación Tic´s, las principales de ellas que son certificables, son:
|
Norma |
Nombre |
Alcance |
| ISO 20000-1 | Tecnología de la información.
Gestión del servicio. parte 1: requisitos del sistema de gestión del servicio |
Sistema de gestión del servicio incluye el diseño, transición, prestación y mejora de servicios de TI |
| ISO 27001 | Tecnología de la información.
Técnicas de seguridad. Sistemas de gestión de la seguridad de la información. Requisitos. |
El sistema de gestión de la seguridad de la información preserva la confidencialidad, la integridad y la disponibilidad de la información. |
| ISO 22301 | Continuidad del Negocio.
Sistemas de gestión de continuidad del negocio. Requisitos. |
Sistema de gestión documentado para protegerse, reducir la capacidad de ocurrencia, preparar, responder y recuperarse de los incidentes perjudiciales que puedan surgir. |
| ISO 29110 | Ingeniería de Software – Perfiles del Ciclo de Vida en Pequeñas Entidades. Requisitos. | Sistema de gestión orientado a la calidad del desarrollo y mantenimiento de software. |
Según el informe de ISO a diciembre de 2015, algunas de las empresas certificadas a nivel mundial en los modelos Tic´s son:
Número de empresas certificadas por país.
|
País |
ISO 27001 | ISO 20000-1 | ISO 22301 |
| Japón |
5245 |
109 |
62 |
| Reino Unido | 2818 |
197 |
305 |
| India |
2309 |
170 |
142 |
| China |
8356 |
3746 |
66 |
| EEUU |
757 |
200 |
30 |
| México |
252 |
102 |
25 |
| Colombia |
189 |
18 |
4 |
| Brasil |
133 |
63 |
12 |
| Argentina |
38 |
32 |
10 |
| Chile |
77 |
13 |
15 |
| Perú |
79 |
17 |
5 |
| Ecuador |
9 |
1 |
2 |
| Uruguay |
19 |
5 |
0 |
Datos survey de ISO a diciembre de 2019
No se tienen registros oficiales de la ISO 29110
ISO 20000-1:2018 Gestión del servicio. parte 1: requisitos del sistema de gestión del servicio
La ISO 20000-1 es una aplicación de la norma ISO 9001 a los servicios de tecnología. Su primera versión fue en el año de 2005, teniendo una revisión en el año 2011. Esta norma aún no se acogió a lo establecido en el anexo SL, por lo que no tiene la misma numeración de ISO 9001:2015 o ISO 27001:2013 o ISO 22301:2018.
La norma ISO 20000-1 incluye dentro de sus requisitos a las normas ISO 27001 e ISO 22301:
El campo de aplicación de la norma ISO 20000-1 es:
“Esta parte de la norma es sobre sistemas de gestión del servicio (SGS). Se especifican los requisitos para que un prestador del servicio planifique, establezca, implemente, opere, monitoree, revise, mantenga y mejore un SGS. Los requisitos incluyen el diseño, transición, prestación y mejora de los servicios para cumplir con los requisitos de servicio. Esta parte de la norma puede ser utilizada:
- a) por una organización que busca servicios de prestadores de servicios y exige la garantía de que se cumplirán sus requisitos de servicio;
- b) por una organización que exige un enfoque consistente por parte de todos sus prestadores de servicios, incluyendo aquellos en la cadena de suministro;
- c) por un prestador de servicios que pretende demostrar su capacidad para el diseño, transición, prestación y mejora de servicios que cumplen con los requisitos de servicio;
- d) por un prestador de servicios para monitorear, medir y revisar sus procesos y servicios en la gestión del servicio;
- e) por un prestador de servicios para mejorar el diseño, la transición y la prestación de los servicios a través de la implementación y la operación eficaces de un SGS;
- f) por un evaluador o auditor, como criterio para una evaluación de la conformidad del
SGS de un prestador de servicios con los requisitos de esta parte de la norma.”
Requisitos de ISO 20000-1-2018
Contenido
Prefacio
Introducción
1 Objeto y Campo de aplicación
2 Referencias normativas
3 Términos y definiciones
4 4Contexto de la organización
4.1 Comprensión de la organización y su contexto.
4.2 Comprender las necesidades y expectativas de las partes interesadas
4.3 Determinar el alcance del sistema de gestión de servicios
4.4 Sistema de gestión de continuidad del negocio
5 Liderazgo
5.1 Liderazgo y compromiso
5.2 Política
5.3 Roles, responsabilidades y autoridades
6 Planificación
6.1 Acciones para abordar riesgos y oportunidades
6.2 Objetivos de continuidad del negocio y planificación para alcanzarlos
6.3 Planificación el sistema de gestión de servicios
7 Soporte
7.1 Recursos
7.2 Competencia
7.3 Conciencia
7.4 Comunicación
7.5 Información documentada
7.6 Conocimiento
8 Operación
8.1 Planificación y control operacional
8.2 Portafolio de servicios
8.3 Relación y acuerdo
8.4 Oferta y demanda
8.5 Diseño, construcción y transición de servicios
8.6 Resolución y ejecución
8.7 Aseguramiento de servicios
9 Evaluación de desempeño
9.1 Monitoreo, medición, análisis y evaluación.
9.2 Auditoría interna
9.3 Revisión de la gerencia
9.4 Informes de servicios
10 Mejora
10.1 No conformidad y acción correctiva
10.2 Mejora continua
ISO 27001: 2013 Técnicas de seguridad. Sistemas de gestión de la seguridad de la información.
La primera norma de sistema de gestión de la seguridad de la información fue la ISO 17799:2005 Código de buenas prácticas para la gestión de la seguridad de la información.
La ISO 27001 versión 2013 fue una de las primeras normas en acogerse al anexo SL, (anexo que normaliza todas las normas) y que tiene 10 capítulos principales. La norma define su ámbito de la siguiente forma:
“Esta Norma ha sido elaborada para suministrar requisitos para el establecimiento, implementación, mantenimiento y mejora continua de un sistema de gestión de la seguridad de la información. La adopción de un sistema de gestión de seguridad de la información es una decisión estratégica para una organización. El establecimiento e implementación del sistema de gestión de la seguridad de la información de una organización están influenciados por las necesidades y objetivos de la organización, los requisitos de seguridad, los procesos organizacionales empleados, y el tamaño y estructura de la organización. Se espera que todos estos factores de influencia cambien con el tiempo.”
“Es importante que el sistema de gestión de la seguridad de la información sea parte de los procesos y de la estructura de gestión total de la información de la organización y que esté integrado con ellos, y que la seguridad de la información se considere en el diseño de procesos, sistemas de información y controles. Se espera que la implementación de un sistema de gestión de seguridad de la información se difunda de acuerdo con las necesidades de la organización.”
Requisitos de ISO 27001
- OBJETO Y CAMPO DE APLICACIÓN
2. REFERENCIAS NORMAIVAS
3. TERMINOS Y DEFINICIONES
4. CONTEXTO DE LA ORGANIZACIÓN
4.1 CONOCIMIENTO DE LA ORGANIZACIÓN Y DE SU CONTECTO
4.2 COMPRENSIÓN DE LAS NECESIDADES Y EXPECTATIVAS DE LAS PARTES INTERESADAS
4.3 DETERMINACIÓN DEL ALCANCE DEL SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
4.4 SISTEMA DGESTIÓN DE LA SEGURIDAD DE LA INFORMAICÓN
- LIDERAZGO
5.1 LIDERAZGO Y COMPROMISO
5.2 POLÍTICA
5.3 ROLES, RESPONSABILIDADES Y AUTORIDADES EN LA ORGANIZACIÓN
- PLANIFICACIÓN
6.1 ACCIONES PARA TRATAR RIESGOS Y OPORTUNIDADES
6.2 OBJETIVOS DE SEGURIDAD DE LA INFORMACIÓN Y PLANES PARA LOGRARLOS
- SOPORTE
7.1 RECURSOS
7.2 COMPETENCIA
7.3 TOMA DE CONCIENCIA
7.4 COMUNICACIÓN
7.5 INFORMACIÓN DOCUMENTADA
- OPERACIÓN
8.1 PLANIFICACIÓN Y CONTROL OPERACIONAL
8.2 VALORACIÓN DE RIESGOS DE LA SEGURIDAD DE LA INFORMACIÓN
8.3 TRATAMIENTO DE RIESGOS DE LA SEGURIDAD DE LA INFORMACIÓN
- EVALUACIÓN DEL DESEMPEÑO
9.1 SEGUIMIENTO, MEDICIÓN, ANÁLISIS Y EVALUACIÓN
9.2 AUDITORÍA INTERNA
9.3 REVISIÓN POR LA DIRECCIÓN
- MEJORA
10.1 NO CONFORMIDADES Y ACCIONES CORRECTIVAS
10.2 MEJORA CONTINUA
ISO 22301:2019 Sistemas de gestión de continuidad del negocio.
British Standards Institution, publicó la norma BS 25999 partes 1 y 2 para establecer la gestión de la continuidad de negocio en las organizaciones, con base en esta norma en el año de 2012 se publicó la ISO 22301.
Continuidad de Negocio. Capacidad de la organización para continuar con la entrega de productos o servicios a los niveles predefinidos aceptables después de un evento perjudicial.
“Esta norma especifica los requisitos para la creación y gestión de un Sistema de Gestión de
Continuidad de Negocio (BCMS, por sus siglas en inglés) efectivo.
Un BCMS hace énfasis en la importancia de:
Entender las necesidades de la organización y la necesidad de establecer una gestión de Continuidad de Negocio, sus objetivos y política.
Implementar y operar los controles y medidas para administrar la capacidad general de una organización en responder a incidentes.
Hacer el seguimiento y revisión de la eficacia del BCMS Mejorar continuamente basado en mediciones objetivas.
El BCMS, como todos los sistemas de gestión, contiene los siguientes componentes claves:
a) Una política;
b) Personas con responsabilidades definidas;
c) Gestión de los procesos relativos a:
1) Política,
2) Planeación,
3) Implementación y operación,
4) Evaluación de desempeño,
5) Análisis de la gestión, y
6) Mejoramiento.
d) Documentación que proporcione evidencia auditable; y
e) Cualquier proceso de gestión de la continuidad de negocio pertinente para la organización.
La Continuidad de Negocio contribuye a una sociedad con mayor resiliencia. La comunidad en general y el impacto del ambiente organizacional en la organización y en otras organizaciones, podrían estar involucrados en el proceso de recuperación.”
Requisitos de ISO 22301-2019
Contenido
Prefacio
Introducción
1 Alcance
2 Referencias normativas
3 Términos y definiciones
4 Contexto de la organización
4.1 Comprensión de la organización y su contexto.
4.2 Comprender las necesidades y expectativas de las partes interesadas
4.2.1 General
4.2.2 Requisitos legales y reglamentarios
4.3 Determinar el alcance del sistema de gestión de continuidad del negocio
4.3.1 General
4.3.2 Alcance del sistema de gestión de continuidad del negocio
4.4 Sistema de gestión de continuidad del negocio
5 Liderazgo
5.1 Liderazgo y compromiso
5.2 Política
5.2.1 Establecer la política de continuidad del negocio
5.2.2 Comunicación de la política de continuidad del negocio.
5.3 Roles, responsabilidades y autoridades
6 Planificación
6.1 Acciones para abordar riesgos y oportunidades
6.1.1 Determinar riesgos y oportunidades
6.1.2 Abordar riesgos y oportunidades
6.2 Objetivos de continuidad del negocio y planificación para alcanzarlos
6.2.1 Establecer objetivos de continuidad del negocio
6.2.2 Determinar objetivos de continuidad del negocio
6.3 Planificación de cambios en el sistema de gestión de continuidad del negocio
7 Soporte
7.1 Recursos
7.2 Competencia
7.3 Conciencia
7.4 Comunicación
7.5 Información documentada
7.5.1 General
7.5.2 Crear y actualizar
7.5.3 Control de información documentada
8 Operación
8.1 Planificación y control operacional
8.2 Análisis de impacto empresarial y evaluación de riesgos
8.2.1 General
8.2.2 Análisis de impacto empresarial
8.2.3 Evaluación de riesgos
8.3 Estrategias y soluciones de continuidad empresarial
8.3.1 General
8.3.2 Identificación de estrategias y soluciones.
8.3.3 Selección de estrategias y soluciones.
8.3.4 Requisitos de recursos
8.3.5 Implementación de soluciones
8.4 Planes y procedimientos de continuidad comercial
8.4.1 General
8.4.2 Estructura de respuesta
8.4.3 Advertencia y comunicación
8.4.4 Planes de continuidad del negocio
8.4.5 Recuperación
8.5 Programa de ejercicios
8.6 Evaluación de la documentación y las capacidades de continuidad del negocio.
9 Evaluación de desempeño
9.1 Monitoreo, medición, análisis y evaluación.
9.2 Auditoría interna
9.2.1 General
9.2.2 Programas de auditoría
9.3 Revisión de la gerencia
9.3.1 General
9.3.2 Aporte de revisión de la gerencia
9.3.3 Resultados de la revisión de gestión
10 Mejora
10.1 No conformidad y acción correctiva
10.2 Mejora continua
BILIOGRAFIA
NORMA TÉCNICA COLOMBIANA
NTC-ISO/IEC 20000-1: 2018 TECNOLOGÍA DE LA INFORMACIÓN.
GESTIÓN DEL SERVICIO. PARTE 1: REQUISITOS DEL SISTEMA DE GESTIÓN DEL SERVICIO
INTERNACIONAL STANDARD
ISO/IEC 20000-1 2005-12-15
INFORMATION TECHNOLOGY – SERVICES MANAGEMENT. PART 1: SPECIFICATION.
NORMA TÉCNICA COLOMBIANA
NTC IEC 27001:2013-12-11 TECNOLOGÍA DE LA INFORMACIÓN.
TÉCNICAS DE SEGURIDAD. SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN. REQUISITOS
NORMA TÉCNICA PERUANA
NTP-ISO/IEC 17799:2007
EDI. TECNOLOGÍA DE LA INFORMACIÓN. CÓDIGO DE BUENAS
PRÁCTICAS PARA LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
NORMA TÉCNICA COLOMBIANA
NTC 5722: 2012-10-31 CONTINUIDAD DE NEGOCIO.
SISTEMAS DE GESTIÓN DE CONTINUIDAD DE NEGOCIO. REQUISITOS
INFORME SURVEY DICIEMBRE DE 2015 DE ISO. NÚMERO DE EMPRESAS CERTIFICADAS POR MODELO Y PÁIS.