Documente Academic
Documente Profesional
Documente Cultură
ISO 12207
Esta norma ISO se encarga de ver el ciclo de vida del software, consta de procesos para la
adquisición y suministros de proyectos y servicios del software, estableciendo pautas para el
control y mantenimiento. El objetico de esta ISO es proporcionar una estructuracomún para los
miembros involucrados en el desarrollo del software utilicen un lenguaje en común.
PROCESOS:
PROCESO PRIMARIO:
Conduce la mejora de funciones dentro del ciclo de vida; está compuesto por cinco procesos:
1. Adquisición:
Se encarga de la organización que adquiere un producto, servicio o software.
2. Suministro:
Se encarga de proveer el producto, servicio o sistema software. es un complemento del proceso
de adquisición.
3. Procesos de desarrollo:
Define y organiza el software.
Tiene distintas actividades como:
Implementación
Análisis de requerimiento
Diseño de la arquitectura
Codificación
Pruebas
Integración del software
Pruebas de calidad
Instalación
Aceptación
4. Operación
Opera el sistema de cómputo en el ambiente de los usuarios.
5. Mantenimiento
Provee el servicio de mantener el software, conservándolo incluye la migración y retiro del
software.
PROCESOS DE SOPORTE:
Auditoria y seguridad en software -3266 - Informe ISOS Sánchez Saavedra, Giancarlo – 138646 – 27-03-2018
Esta actividad da el soporte y coordinan el desarrollo y el ciclo de vida de las actividades primarias,
apoya otros procesos que van a cabo una función especializada.
Está compuesta por ocho procesos:
1. Proceso de Documentación:
Define las actividades necesarias para registrar la información producida por los procesos del ciclo
de vida.
2. Administración de la configuración:
Incorpora actividades de identificación, control, estadística y evaluación de las configuraciones.
3. Proceso de aseguramiento de la calidad:
Aseguran que los objetivos se cumplan y que el producto satisfaga los requerimientosespeciados y
se adhieren a los planes establecidos.
4. Verificación:
Verifican los productos y servicios del software.
5. Validación:
Valida los productos del software del proyecto de software.
6. Revisiones conjuntas:
Consta en evaluar el estado de lo producido y las actividades realizadas.
7. Auditorias:
Determina el cumplimiento de los requerimientos, planes y contratos.
8. Resolución del problema:
Analiza y eliminar todos los problemas, sin importar su naturaleza u origen.
PROCESOS ORGANIZACIONALES
Administración y apoyo en general para todo el ambiente de desarrollo. Está comprometido en
seguir cuatro procesos:
1. Administración
Se encarga de administrar todos los demás procesos del proyecto, incluyendo administración del
producto y administración del proyecto.
2. Infraestructura
Establece y mantiene el Hardware, software, herramientas, técnicas y estándares que se requieren
para la ejecución de los otros procesos.
3. Mejoras
Se realiza para establecer, medir, controlar y mejorar los procesos de su ciclo de vida.
Auditoria y seguridad en software -3266 - Informe ISOS Sánchez Saavedra, Giancarlo – 138646 – 27-03-2018
4. Entrenamiento
Proveer personal entrenado adecuado.
CONEXIÓN CON OTRAS NORMAS:
Se relaciona con normas de calidad, especialmente la “ISO 9001: Sistemas de calidad – modelos
para la garantía de calidad en la concepción, desarrollo, producción, instalación y prestación de
servicios”.
Tiene una gran relación con la segunda parte de la norma “ISO/IEC 15504: Tecnologías de la
información – Evaluación de los procesos de software”.
VENTAJAS
ISO/IEC 15504
Determina la capacidad de mejora del Proceso de Software o SPICE nos propone un modelo para
la evaluación de la capacidad en los procesos de desarrollo de productos software.
La norma ISO 15504 se caracteriza por:
Ser aplicable a cualquier organización o empresa.
Ser independiente de la organización, el modelo del ciclo de vida, la metodología y la tecnología.
Ser un marco para métodos de evaluación, no un método o un modelo en sí.
Cubrir diferentes objetivos para la evaluación de procesos:
Determinación de la capacidad
Mejora de procesos
Evaluar el cumplimiento de determina dos requisitos del ciclo de vida de desarrollo de
software
Ventajas de implantar ISO 15504
Para cada nivel existen unos atributos de procesos estándar que ayudan a evaluar los niveles de
capacidad.
Dimensión procesos
Procesos Primarios:
ACQ: Procesos de Cliente
SPL: Procesos de Proveedor
ENG: Ingeniería
OPE: Procesos de operación
Procesos de soporte
SUP: Soporte
Procesos de organización
MAN: Procesos de Gestión
REU: Procesos de Recursos humanos
RIN: Procesos de Infraestructura
PIM: Procesos de mejora de procesos
Auditoria y seguridad en software -3266 - Informe ISOS Sánchez Saavedra, Giancarlo – 138646 – 27-03-2018
ISO 27001
Es una norma internacional que permite el aseguramiento, la confidencialidad e integridad de los
datos y de la información, así como de los sistemas que la procesan.
El estándar ISO 27001:2013 para los Sistemas Gestión de la Seguridad de la Información permite a
las organizaciones la evaluación del riesgo y la aplicación de los controles necesarios para
mitigarlos o eliminarlos.
La aplicación de ISO-27001 significa una diferenciación respecto al resto, que mejora la
competitividad y la imagen de una organización.
La Gestión de la Seguridad de la Información se complementa con las buenas prácticas o controles
establecidos en la norma ISO 27002.
Estructura de la norma ISO 27001
Objeto y campo de aplicación: La norma comienza aportando unas orientaciones sobre el uso,
finalidad y modo de aplicación de este estándar.
Referencias Normativas: Recomienda la consulta de ciertos documentos indispensables para la
aplicación de ISO27001.
Términos y Definiciones: Describe la terminología aplicable a este estándar.
Mejora: Por último, en la sección décima vamos a encontrar las obligaciones que tendrá una
organización cuando encuentre una no conformidad y la importancia de mejorar continuamente la
conveniencia, adecuación y eficacia del SGSI.
Entre las actividades propias a desarrollar al abordar una implantación a ISO27001 se encuentran:
Definición del alcance del SGSI
Definición de una Política de Seguridad
Definición de una metodología y criterios para el Análisis y Gestión del Riesgo
Identificación de riesgos
Evaluación de los posibles tratamientos del riesgo
Elaboración de un Declaración de Aplicabilidad de controles y requisitos
Desarrollo de un Plan de Tratamiento de Riesgos
Definición de métricas e indicadores de la eficiencia de los controles
Desarrollo de programas de formación y concienciación en seguridad de la información
Gestión de recursos y operaciones
Gestión de incidencias
Elaboración de procedimientos y documentación asociada
ISO 27002
es un estándar para la seguridad de la información que ha publicado la organización internacional
de normalización y la comisión electrotécnica internacional.La norma ISO 27002 proporciona
diferentes recomendaciones de las mejores prácticas en la gestión de la seguridad de la
información a todos los interesados y responsables para iniciar, implementar o mantener sistemas
de gestión de la seguridad de la información. La seguridad de la información se define en el
estándar como “la preservación de la confidencialidad, integridad y disponibilidad.
La estructura típica de los documentos de políticas puede ser:
Resumen: se establece una visión general de una extensión breve, uno o dos frases y que pueden
aparecer fusionadas con la introducción.
Introducción: se establece una pequeña explicación del asunto principal de la política.
Ámbito de aplicación: es la descripción de los departamentos, áreas o actividades de una empresa
a las que afecta la política. Cuando es relevante en este apartado se mencionan otras políticas
relevantes a las que se pretende ofrecer cobertura desde ésta.
Responsabilidades: descripción de quién es el responsable de qué acciones pueda cumplir con los
requisitos de la política. En algunos casos, esto puede incluir una descripción de los mecanismos
organizativos, además de las responsabilidades de las personas que tienen sus roles asignados.
Resultados clave: describe todos los resultados relevantes para las actividades de la empresa que
se obtienen cuando se cumplen los objetivos.
Políticas relacionadas: se describen las políticas relevantes para cumplir con los objetivos, se
indican detalles adicionales en relación con los temas específicos.
Actividades de control del riesgo
La política para la seguridad de la información: se tiene que definir un conjunto de políticas para la
seguridad de la información, esto se aprobó por la dirección de la organización, se publica y
comunica a todos los empleados así como a todas las partes externas relevantes.
Revisión de las políticas para la seguridad de la información: las políticas para la seguridad de la
información se debe planificar y revisar con regularidad o si ocurren cambios significativos para
garantizar su idoneidad, adecuación y efectividad.
Dominios de la ISO 27002
La política de seguridad.
Los aspectos organizativos de la seguridad de la información.
La gestión de activos.
La seguridad ligada a los recursos humanos.
La seguridad física y ambiental.
La gestión de las comunicaciones y de las operaciones.
Los controles de acceso a la información.
La adquisición, desarrollo y mantenimiento de los sistemas de información.
La gestión de incidentes en la seguridad de la información.
La gestión de la continuidad del negocio.
Los aspectos de cumplimiento legal y normativo.