PDF de programación - Modelo para el gobierno de las TIC basado en las normas ISO

Modelo para el gobierno de las
TIC basado en las normas ISO

Carlos Manuel Fernández Sánchez
y Mario Piattini Velthuis (Coords.)

Título: Modelo para el gobierno de las TIC basado en las normas ISO
Coordinadores de la obra: Carlos Manuel Fernández Sánchez y Mario Piattini Velthuis

© AENOR (Asociación Española de Normalización y Certificación), 2012
Todos los derechos reservados. Queda prohibida la reproducción total o parcial en cualquier soporte,
sin la previa autorización escrita de AENOR.

ISBN: 978-84-8143-764-6
Impreso en España - Printed in Spain

Edita: AENOR
Maqueta y diseño de cubierta: AENOR
Imprime: AENOR

Nota: AENOR no se hace responsable de las opiniones expresadas por los autores en esta obra.

Génova, 6. 28004 Madrid • Tel.: 902 102 201 • Fax: 913 103 695

[email protected] • www.aenor.es

Índice

Prólogo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
1 . El gobierno y la gestión de las tecnologías y sistemas de la información . . . . . . . . . . . 19
1.1. Definición de gobierno de las tecnologías y sistemas de la información . . . . . . . . . . 19
1.2. Diferencia entre gobierno y gestión de las TSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
1.3. Marcos para el gobierno y la gestión de las TSI . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
1.4.
Las normas y el gobierno y la gestión de las TSI . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
1.5. Conclusiones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
1.6. Bibliografía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
2 . Normas y estándares para el gobierno y la gestión de las TIC . . . . . . . . . . . . . . . . . . 29
3 . El gobierno corporativo de tecnologías de la información (ISO/IEC 38500) . . . . . . . . . 39
3.1.
Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
3.2. ¿Qué es el buen gobierno corporativo? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
3.3. Antecedentes de gobierno de las TIC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
3.4.
La Norma ISO/IEC 38500:2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
3.4.1. Alcance, aplicación y objetivos de ISO/IEC 38500:2008 . . . . . . . . . . . . . 42
3.4.2. Definiciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
3.4.3. Principios de ISO/IEC 38500:2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
Responsabilidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
3.4.3.1.
3.4.3.2.
Estrategia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
3.4.3.3. Adquisición . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
3.4.3.4.
Rendimiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
3.4.3.5. Conformidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
3.4.3.6.
Factor humano . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
3.4.4. El modelo ISO/IEC 38500:2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
Evaluar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48

3.4.4.1.

4

3.5.

3.4.4.2. Dirigir . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
3.4.4.3. Monitorizar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
3.4.5. Orientaciones y prácticas de ISO/IEC 38500:2008 . . . . . . . . . . . . . . . . . 50
Implementación de un buen gobierno TIC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
3.5.1. Alineación estratégica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
3.5.2. Gestión de riesgos (preservación de valor) . . . . . . . . . . . . . . . . . . . . . . . . 54
3.5.3. Gestión de recursos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
3.5.4. Medición del desempeño . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
3.5.5. Ciclo de vida del gobierno TIC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
3.5.6. Entorno de gobierno TIC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
3.5.7. Partes interesadas en el gobierno TIC . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
3.5.8. Hoja de ruta de implementación del gobierno TIC . . . . . . . . . . . . . . . . . . 61
3.6. Gobierno TIC y mejores prácticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
3.7. Gobierno corporativo. Resumen y tendencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
3.8. Caso práctico: experiencia de una empresa piloto que implanta la Norma

ISO 38500:2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
3.8.1. Presentación de la organización . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
3.8.2. Problemática, necesidades y estrategia . . . . . . . . . . . . . . . . . . . . . . . . . . 65
3.8.3. Soluciones adoptadas y hoja de ruta . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
3.8.4. Gobierno TIC: timón de procesos, personas, tecnologías e infraestructuras 70
3.8.5.
Lecciones aprendidas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
3.9. Bibliografía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
81
Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
La familia de normas ISO 27000 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
4.2.1.

ISO/IEC 27000:2009 Information technology – Security techniques –
Information security management systems – Overview and vocabulary . . . . 84

4 . Sistema de gestión de seguridad de la información (UNE-ISO/IEC 27001) . . . . . . . . .

4.1.
4.2.

4.2.2. UNE-ISO/IEC 27001:2007 Tecnología de la información. Técnicas de

seguridad. Sistemas de Gestión de la Seguridad de la Información (SGSI).
Requisitos (ISO/IEC 27001:2005) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85

4.2.4.

4.2.5.

4.2.3. UNE-ISO/IEC 27002:2009 Tecnología de la Información. Técnicas de
seguridad. Código de buenas prácticas para la gestión de la seguridad
de la información (ISO/IEC 27002:2005) . . . . . . . . . . . . . . . . . . . . . . . . . 85
ISO/IEC 27003:2010 Information technology – Security techniques –
Information security management system implementation guidance . . . . . . 86
ISO/IEC 27004:2009 Information technology – Security techniques –
Information security management – Measurement . . . . . . . . . . . . . . . . . . . 86
ISO/IEC 27005:2008 Information technology – Security techniques –
Information security risk management . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
ISO/IEC 27006:2011 Information technology – Security techniques –
Requirements for bodies providing audit and certification of information
security management systems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87

4.2.6.

4.2.7.

Modelo para el gobierno de las TIC basado en las normas ISO 5

4.2.8.

4.2.9.

ISO/IEC 27011:2008 Information technology – Security techniques –
Information security management guidelines for telecommunications
organizations based on ISO/IEC 27002 . . . . . . . . . . . . . . . . . . . . . . . . . . 87
ISO 27799:2008 Health informatics – Information security management in
health using ISO/IEC 27002 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
4.3. Otras normas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
Implantación de la gestión en esta área . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
4.4.
4.5.
La información en la organización . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
4.5.1. El sistema de información . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
4.5.2. Niveles de información . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
4.5.3.
La seguridad de la información . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
4.6. Sistema de gestión de la seguridad de la información . . . . . . . . . . . . . . . . . . . . . . 93
4.7. El sistema de gestión de la seguridad de la información de acuerdo a la Norma

UNE-ISO/IEC 27001:2007 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
La organización. Compromiso de la dirección . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
4.8.
4.9. Creación del SGSI (planificar) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
4.9.1. Alcance del sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
4.9.2.
La política del SGSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
4.9.3. Requisitos de seguridad de la informaci