José Luis Tejera, director de desarrollo estratégico y corporativo de AENOR
"Las normas ISO son auténticos estándares que permiten al CIO alinear TI y negocio"
Alinear la actividad del área de TI con las necesidades del negocio es una tarea esencial para el CIO de cualquier organización. Para lograrlo, es importante que conozca las normas internacionales relativas a la gestión de los servicios de TI y a su seguridad y, si es posible, adoptar las certificaciones correspondientes de la mano de AENOR . En esta labor está inmersa esta entidad española de normalización y certificación, según su director de desarrollo estratégico.
AENOR está volcada en potenciar normas y certificaciones relacionadas con las TI. En 2004 publicó la norma española UNE 71502, con especificaciones para sistemas de seguridad de la información, y en 2005 publicó la internacional ISO/IEC 27001, sobre esta temática, a la que se están adaptando las empresas certificadas en la anterior. Y han convertido hace pocos meses la norma ISO/IEC 20000, de gestión de servicios de TI, a norma UNE (española). ¿Por qué esta fiebre TI?
- En AENOR queremos posicionarnos en cabeza en todo lo que se refiere a normalización y certificación de las TI, como ya lo estamos en calidad, medio ambiente, gestión forestal y otros temas, como la propia gestión de seguridad de la TI. Para ello, hemos desarrollado un plan estratégico que cubre el periodo 2007-2010, cuyas líneas básicas son el desarrollo de proyectos y de servicios. En este momento, estamos estudiando la posibilidad de certificar la gestión de la continuidad del negocio de las TI con la norma BSI 25999, así como el desarrollo del IT Governance, una norma para certificar el gobierno de las TI. En IT Governance ya contamos con unas certificaciones para proyectos y otras para procesos y servicios. Para esto último ya tenemos las citadas certificaciones en las normas ISO 20000 e ISO 27001.
UNE-ISO/IEC 27001 lleva más tiempo en el mercado, ¿cómo está siendo su adopción?
- Esta norma de seguridad de los sistemas de información es nuestro producto estrella. Ya hay 50 empresas certificadas en ella y habrá unas 100 a finales de año. Y no sólo certificamos en esta norma en España, sino también en el extranjero. Las compañías mexicanas Infonavit y Buró de Crédito son un ejemplo.
El Corte Inglés y Telefónica ya están certificadas en la UNE-ISO/IEC 20000…
- Sí, ambas ya se han certificado en la primera parte de esta norma, relativa a especificaciones (la segunda parte, no certificable, es un código de buenas prácticas). El Corte Inglés lo ha hecho para asegurar la calidad de sus servicios internos de TI, y Telefónica la de sus servicios de TI para clientes. Para finales de año habrá media docena de empresas certificadas en esta norma, todas grandes corporaciones (de energía, transportes y outsourcing). La certificación en ISO 20000 no será tan numerosa ni rápida como la de ISO 27001. Pero es lógico: la segunda tiene mayor alcance. En cualquier caso, también trabajamos en otros proyectos relacionados con las TI.
¿Cómo cuáles?
- Siguiendo uno de los fines del programa gubernamental Avanza, la mejora de las factorías de software en España, estamos certificando en modelos de evaluación y mejora en estas factorías con ISO/IEC 15504 (Spice), y nos basamos en el ciclo de vida del desarrollo de software que es la norma ISO/IEC 12207. Ya hemos certificado a 22 factorías, principalmente pymes.
¿No trabajan con las factorías de las grandes consultoras?
- Ahora no, pero es posible. También tenemos una certificación del sistema de gestión del software como activo, que se une a otras ya tradicionales sobre buenas prácticas en comercio electrónico, en gestión del software original… Y participamos en el proyecto Seguridad 2020, intentando establecer normas y certificaciones que ayuden a garantizar la seguridad de los documentos electrónicos (DNIe...).
¿Cómo explicaría a un CIO que es importante certificarse en estas normas y no en otros estándares de empresas del sector? ¿Y por qué lo debería hacer con AENOR?
- Las normas ISO son auténticos estándares, desarrollados a escala internacional y ampliamente consensuados, que permiten a las organizaciones garantizar aspectos como la calidad de los servicios de TI o la seguridad de los sistemas de información, alineando su política tecnológica con las necesidades del negocio. Muchas veces se habla de estándares refiriéndose a una práctica promovida por una empresa, pero esto no es un estándar real, pues no se ha creado por un organismo de normalización y con unos procedimientos determinados. En AENOR podemos ayudar a los CIO a conocer las normas ISO y certificarse en ellas.
Un cambio cultural que “merece la pena”
---------------------------------------------------------
Para el director de desarrollo estratégico de AENOR, en los departamentos de informática de las empresas españolas escasea el seguimiento de estándares que controlen la calidad de la gestión de las TI, de su seguridad, etc. “Esta problemática es la que pretendemos solventar impulsando el conocimiento y la certificación de las empresas en normas como ISO 20000 e ISO 27001, para las áreas de gestión de servicios de TI y de seguridad de los sistemas de información, respectivamente”. Eso sí, la adopción de estas normas, “los verdaderos estándares del mercado”, según Tejera, supone “un importante cambio cultural, que, por otro lado, merece la pena. No sólo garantizará la calidad de los servicios de TI y la seguridad de los sistemas de las empresas que las adopten, sino que permitirán a éstas, hacer un benchmarking: poder compararse entre sí con unas métricas comunes”.
AENOR está volcada en potenciar normas y certificaciones relacionadas con las TI. En 2004 publicó la norma española UNE 71502, con especificaciones para sistemas de seguridad de la información, y en 2005 publicó la internacional ISO/IEC 27001, sobre esta temática, a la que se están adaptando las empresas certificadas en la anterior. Y han convertido hace pocos meses la norma ISO/IEC 20000, de gestión de servicios de TI, a norma UNE (española). ¿Por qué esta fiebre TI?
- En AENOR queremos posicionarnos en cabeza en todo lo que se refiere a normalización y certificación de las TI, como ya lo estamos en calidad, medio ambiente, gestión forestal y otros temas, como la propia gestión de seguridad de la TI. Para ello, hemos desarrollado un plan estratégico que cubre el periodo 2007-2010, cuyas líneas básicas son el desarrollo de proyectos y de servicios. En este momento, estamos estudiando la posibilidad de certificar la gestión de la continuidad del negocio de las TI con la norma BSI 25999, así como el desarrollo del IT Governance, una norma para certificar el gobierno de las TI. En IT Governance ya contamos con unas certificaciones para proyectos y otras para procesos y servicios. Para esto último ya tenemos las citadas certificaciones en las normas ISO 20000 e ISO 27001.
UNE-ISO/IEC 27001 lleva más tiempo en el mercado, ¿cómo está siendo su adopción?
- Esta norma de seguridad de los sistemas de información es nuestro producto estrella. Ya hay 50 empresas certificadas en ella y habrá unas 100 a finales de año. Y no sólo certificamos en esta norma en España, sino también en el extranjero. Las compañías mexicanas Infonavit y Buró de Crédito son un ejemplo.
El Corte Inglés y Telefónica ya están certificadas en la UNE-ISO/IEC 20000…
- Sí, ambas ya se han certificado en la primera parte de esta norma, relativa a especificaciones (la segunda parte, no certificable, es un código de buenas prácticas). El Corte Inglés lo ha hecho para asegurar la calidad de sus servicios internos de TI, y Telefónica la de sus servicios de TI para clientes. Para finales de año habrá media docena de empresas certificadas en esta norma, todas grandes corporaciones (de energía, transportes y outsourcing). La certificación en ISO 20000 no será tan numerosa ni rápida como la de ISO 27001. Pero es lógico: la segunda tiene mayor alcance. En cualquier caso, también trabajamos en otros proyectos relacionados con las TI.
¿Cómo cuáles?
- Siguiendo uno de los fines del programa gubernamental Avanza, la mejora de las factorías de software en España, estamos certificando en modelos de evaluación y mejora en estas factorías con ISO/IEC 15504 (Spice), y nos basamos en el ciclo de vida del desarrollo de software que es la norma ISO/IEC 12207. Ya hemos certificado a 22 factorías, principalmente pymes.
¿No trabajan con las factorías de las grandes consultoras?
- Ahora no, pero es posible. También tenemos una certificación del sistema de gestión del software como activo, que se une a otras ya tradicionales sobre buenas prácticas en comercio electrónico, en gestión del software original… Y participamos en el proyecto Seguridad 2020, intentando establecer normas y certificaciones que ayuden a garantizar la seguridad de los documentos electrónicos (DNIe...).
¿Cómo explicaría a un CIO que es importante certificarse en estas normas y no en otros estándares de empresas del sector? ¿Y por qué lo debería hacer con AENOR?
- Las normas ISO son auténticos estándares, desarrollados a escala internacional y ampliamente consensuados, que permiten a las organizaciones garantizar aspectos como la calidad de los servicios de TI o la seguridad de los sistemas de información, alineando su política tecnológica con las necesidades del negocio. Muchas veces se habla de estándares refiriéndose a una práctica promovida por una empresa, pero esto no es un estándar real, pues no se ha creado por un organismo de normalización y con unos procedimientos determinados. En AENOR podemos ayudar a los CIO a conocer las normas ISO y certificarse en ellas.
Un cambio cultural que “merece la pena”
---------------------------------------------------------
Para el director de desarrollo estratégico de AENOR, en los departamentos de informática de las empresas españolas escasea el seguimiento de estándares que controlen la calidad de la gestión de las TI, de su seguridad, etc. “Esta problemática es la que pretendemos solventar impulsando el conocimiento y la certificación de las empresas en normas como ISO 20000 e ISO 27001, para las áreas de gestión de servicios de TI y de seguridad de los sistemas de información, respectivamente”. Eso sí, la adopción de estas normas, “los verdaderos estándares del mercado”, según Tejera, supone “un importante cambio cultural, que, por otro lado, merece la pena. No sólo garantizará la calidad de los servicios de TI y la seguridad de los sistemas de las empresas que las adopten, sino que permitirán a éstas, hacer un benchmarking: poder compararse entre sí con unas métricas comunes”.
