Certificaciones ISO para TI
Las Tecnologías de la Información son el núcleo de negocio de muchas empresas. Pero incluso para las que no forman parte de su actividad principal, son un elemento básico que aumenta la productividad y las oportunidades de abrir nuevos mercados y líneas de actividad. Entre las normas ISO hay varias adecuadas para formalizar los procesos, mejorar la calidad y, sobre todo, dar visibilidad a sus clientes. ¿Conoce estas normas certificables?
Este documento es un resumen excelente elaborado por AENOR sobre las normas certificables que más directamente afectan a TI.
Las más relevantes son:
- ISO 20000-1, para certificar un Sistema de Gestión de Servicios de TI
- ISO 27001, para certificar un Sistema de Gestión de Seguridad de la Información
ISO 38500, para certificar el Gobierno Corporativo en TI
- ISO 15504, para certificar la madurez en Ingeniería del Software
- ISO 19770-1, para certificar la Gestión de Activos Software
- UNE 71599-2, para certificar un Sistema de Gestión de la Continuidad de Negocio
La norma ISO 20000-1 es, simplificando, una versión certificable de ITIL v2. Esto, insisto, no es más que una simplificación y los expertos en ISO 20000-1 e ITIL lo negarán, pero en la práctica hay grandes similitudes si aceptamos que la norma ISO establece requisitos mientras que ITIL es un conjunto de buenas prácticas.
La norma ISO 27001, si tiene un alcance solapable con su implantación de ISO 20000-1, le vendrá muy bien para cubrir el proceso de Gestión de la Seguridad que exige ISO 20000-1.
La norma ISO 38500 es, simplificando nuevamente, una versión certificable de COBIT. Aquí se podría debatir cuál es la diferencia entre la Gestión de Servicios de TI (ITIL + ISO 20000-1) y el Gobierno de Servicios de TI (COBIT + ISO 38500). Es una norma con muy poca implantación, a diferencia de ISO 20000-1 e ISO 27001.
La norma ISO 15504 permite certificar la madurez en el desarrollo de software bajo el modelo SPICE. Es interesante que permita certificar niveles de madurez, lo que es distinto a otras normas donde la certificación es todo/nada: se tiene o no se tiene, pero no hay “grados intermedios”. Esta norma le puede resultar especialmente interesante si su empresa o departamento de TI desarrolla software. Si sólo presta servicios entonces deberá acudir a ISO 20000-1.
La norma ISO 19770-1 le ayuda a poner orden en las licencias y los activos software usados por su organización. Puede ser una ayuda interesante para garantizar el cumplimiento legal y el aprovechamiento de los recursos económicos asignados al software. Es una norma con muy poca implantación.
La norma UNE 71599-2 le ayuda a formalizar las actividades y medidas necesarias para garantizar una correcta continuidad de negocio ante un desastre. Tiene poca implantación ya que muchas organizaciones consideran esto dentro de uno de los procesos de ISO 27001.
La lista anterior da una idea de las grandes posibilidades existentes para organizaciones de TI. Con esta visión completa ¿qué va a hacer para mejorar la competitividad de su empresa o departamento de TI?
José Luis Fernández