Resumen

La ISO / IEC 29110 es un conjunto de normas e informes tcnicos que se ha desarrollado para
entidades muy pequeas (VSE Very Small Entities). Una VSE se define como una entidad
(empresas, organizaciones, departamentos o proyectos) que tiene menos de 25 personas. La
mayora de las PYME de software pertenecen a la categora VSE. La industria reconoce
el valor de las PYME en la contribucin de productos y servicios. Las pequeas empresas
tambin pueden crear y / o mantener el software que se utiliza en sistemas ms grandes, por
lo tanto, el reconocimiento de stas como proveedores de software de alta calidad es
necesario.

Palabras clave: PYME, VSE, ISO, software.

Abstract

The ISO / IEC 29110 is a set of standards and technical reports has been developed for very
small entities (VSE - Very Small Entities). A VSE is defined as an entity (enterprises,
organizations, departments or projects) having less than 25 people. Most PYME belong to the
VSE software category. The industry recognizes the value of PYME in the contribution of
products and services. Small businesses can also create and / or maintain software used in
larger systems, thus recognizing them as providers of high quality software is necessary.

Keywords: PYME, VSE, ISO, software.

Historia.

La ISO 29110 tuvo su origen y desarrollo en Mxico a manos de un pequeo grupo de personas
que invertan su tiempo libre en la bsqueda de un estndar que funcionara en el entorno de
desarrollo de software en Mxico. sta es la historia de Hanna Oktaba, la Asociacin Mexicana
para la

Calidad en Ingeniera de Software

(AMCIS) y su equipo de acadmicos y profesionistas preocupados por la calidad.

Antecedentes.

Cada vez ms, la industria del software representa una actividad econmica de suma
importancia en la mayora de los pases del mundo. En Europa representa el 8% del PIB y el 6%
de los puestos de trabajo; en Espaa esta importancia est creciendo ms an, por la actual
tendencia que se est experimentando hacia modelos de negocio basados en fbricas de
software y nearshoring. A nivel mundial, esta industria est formada por micros, pequeas y
medianas empresas desarrolladoras de software pymes que suponen cerca del 90% de
los negocios formales y que generan entre el 40% y el 50% del empleo total. Estudios muestran
que la mejora de procesos de software (SPI) es una actividad que las pequeas empresas
desean implementar para incrementar la calidad y capacidad de sus procesos y, en
consecuencia, la calidad de sus productos y servicios. Este mismo estudio evidencia que, para
mejorar sus procesos, las pequeas empresas estn utilizando estndares de procesos de
organizaciones como el Software Engineering Institute (SEI) y la International Organization for
Standardization (ISO), entre los que destacan CMMI-DEV, ISO 12207, ISO 15504 e ISO 9001. Sin
embargo, diversos estudios apuntan a que la aplicacin de estos estndares en las pymes es
difcil, ya que supone para ellas una gran inversin en dinero, tiempo y recursos, dado que
estos modelos estn orientados a las grandes organizaciones. Adems, las recomendaciones
de estos modelos son complejas de aplicar y el retorno de la inversin se da a largo plazo.
Asimismo, en las pequeas empresas la aplicacin de estos modelos se agrava an ms, ya que
existe un problema "cultural" importante cuando se quiere "importar" y adoptar, sin ms,
modelos creados para otro tipo de organizaciones; si el proceso no "casa" con la cultura de la
organizacin, ser rechazado por el "cuerpo" organizativo, como sucede en los trasplantes de
rganos. Un problema parecido se expuso en la investigacin, en la que se destacaron la
importancia de las diferencias culturales en el xito de la mejora de procesos de software
entre las empresas de EEUU y Europa.

Adems, las empresas pequeas necesitan, para la construccin de sus productos, prcticas
eficientes de ingeniera del software adaptadas a su tamao y tipo de negocio.

En este sentido, y para apoyar a las pequeas empresas en sus esfuerzos de mejora de
procesos, ISO ha constituido el grupo de trabajo SC7-WG24, cuyo objetivo es que sus
estndares de procesos de software (o adaptaciones de estos) se puedan aplicar a pequeas
empresas desarrolladoras de software. Este grupo estableci un marco comn para describir
perfiles evaluables del ciclo de vida de software para su uso en Very Small Enterprises (VSE,
una organizacin de menos de 25 empleados). Estos perfiles se publicaron en el ao 2010 con
el nombre ISO/IEC 29110.

DESARROLLO DEL TEMA

El grupo de trabajo WG 24.

ISO naci en 1947 para facilitar la coordinacin internacional de las normas tcnicas en los
diferentes campos de la industria. Pueden ser miembros de ISO todos aquellos pases del
mundo que lo deseen, representados a travs de su organismo nacional de normalizacin, por
ejemplo: ANSI (American National Standards Institute) por EEUU o AENOR

(Asociacin Espaola de Normalizacin y Certificacin) por Espaa. Los trabajos de elaboracin

de normas estn encomendados a los Comits Tcnicos (TC), que suelen subdividirse en
Subcomits (SC) y estos, a su vez, en Grupos de Trabajo (WG) para desarrollar temas
especficos.

En algunas reas, ISO colabora con otras organizaciones; as, en el campo de las tecnologas de
la informacin, forma, junto con la International Electrotechnical Commission (IEC) el Joint
Technical Committee 1 (JTC1), que se divide en varios subcomits, entre ellos, el SC7 de
Ingeniera del Software y Sistemas, que posee diferentes grupos de trabajo (WG), como el WG
24. El grupo WG 24 naci en la sesin plenaria del SC7 en Finlandia en el ao 2005 con el
propsito de gestionar y desarrollar el trabajo para alcanzar los siguientes objetivos:

Hacer los estndares de ingeniera de software actuales ms accesibles a las pequeas

empresas.

Proporcionar documentacin que requiera un mnimo esfuerzo de adaptacin.

Proveer documentacin armonizada integrando estndares disponibles, tales como

estndares de proceso, evaluacin, calidad y modelado, y tambin productos de
trabajo, entregables y herramientas.
 Tener en cuenta, si es preciso, las nociones de niveles de madurez y capacidad
presentadas en ISO/IEC 15504 y CMMI.

A partir de los trabajos del grupo WG 24, orientados a satisfacer estos objetivos, se ha
desarrollado un conjunto de informes tcnicos preliminares que son la base sobre la cual
se estructura el estndar ISO/IEC 29110.

La Norma Tcnica Peruana (2011), enfatiza que la NTP describe la arquitectura de los procesos
del ciclo de vida del software, pero no especifica los detalles de cmo implementar o llevar a
cabo las actividades y tareas incluidas en los procesos.

Entonces surge la necesidad de usar un modelo que pueda guiar a

las instituciones del Sistema Nacional de Informtica el cumplimiento de la Norma Tcnica
Peruana en sus proyectos de desarrollo de Software.

CASOS DE XITO

Sistemas MIG es la primera empresa es Amrica latina de tecnologas de la informacin

especializada en atender necesidades de las agencias de viaje y Operadoras mayoristas
de turismo.

Empresa @magia digital recibi oficialmente su Certificado de Conformidad de la certificacin

sobre Ingeniera de Software, Modelos de procesos y evaluacin para desarrollo
y mantenimiento de software, tienen la certificacin de calidad en sus desarrollos y procesos.
Ahora en pinera en desarrollo de sistemas de la informacin.

APORTES

Innovacin: Con la Certificacin de esta Norma la empresa llega a innovar con la

Calidad, Investigacin y Desarrollo de sus procesos en su software. As mismo son reconocidas
por servicios y tener acceso al mercado con mayor facilidad.

Tecnolgico: Ayuda a las empresas a tener software de calidad y servicios informticos, es

especialmente formado para los programas de mejora de los procesos de software.

Social: cuando una empresa es certificada con la iso 29110 da seguridad que sus servicios son
de calidad y sus productos siguen un estndar.

Espiritual: Pues Mucho nos regocijamos cuando vinieron los hermanos y dieron testimonio de
tu verdad y como andar en la verdad.

Conclusiones

Los objetivos que ISO pretende alcanzar con la creacin del estndar internacional

ISO/IEC 29110 abordaran el problema que rodea a las pequeas empresas del sector del
desarrollo software en la implementacin de los modelos de mejora de proceso actuales. Este
estndar puede ser la solucin a multitud de pequeas empresas, ya que el propsito del
mismo es, como se ha expuesto anteriormente, hacer las normas actuales de ingeniera del

Software ms accesible a este tipo de empresas, adaptndolas a su tamao y necesidades de

negocio, lo cual es importante para su supervivencia en los mercados y para
lograr competitividad, enfrentndose a problemas como la globalizacin creciente de los
mercados y los cambios tecnolgicos que se estn produciendo.
Estructura del estndar NTP-ISO/IEC 17799

25 marzo, 2015

ISO 27001:2013, PMG SSI, SGSI

ISO 27001

Estructura del estndar NTP-ISO/IEC 17799 contiene 11 clusulas diferentes que permiten
controlar la Seguridad y que contienen a su vez 39 categoras de seguridad y una clusula
introductoria en la que se tratan temas relacionados con la evaluacin y el tratamiento del
riesgo. La norma ISO 27001 realiza una funcin muy parecida, pero la diferencia que
encontramos es que esta norma es internacional, es decir, se puede utilizar en cualquier parte
del mundo mientras que la ISO/IEC 17799 es una norma tcnica peruana.

Las 11 clusulas de las que hemos hablado son:

Poltica de seguridad

Organizando la Seguridad de la Informacin

Gestin de activos

Seguridad en recursos humanos

Seguridad fsica y ambiental

Gestin de comunicaciones y operaciones

Control de acceso

Adquisicin, desarrollo y mantenimiento de Sistema de Informacin

Gestin de incidentes de los Sistemas de Informacin

 Gestin de la continuidad de negocio

Cumplimiento

Cada categora principal de seguridad contiene:

a) Un objetivo de control declarando lo que se debe alcanzar

b) Uno o ms controles que pueden ser aplicados para alcanzar los objetivos de control

Las descripciones de control se pueden estructurar de la siguiente forma:

Control

Se tiene que definir de una forma especfica de control con el que satisfacer el objetivo de
control.

Gua de implementacin

Se provee de informacin ms detallada para apoyar la implementacin del control y conocer

el objetivo de control. Algunas de las guas utilizadas pueden no ser del todo convenientes
para todos los casos, por lo que algunas otras formas de implementar el control pueden ser
ms apropiadas.

Otro tipo de informacin

Se provee de informacin adicional que puede ser necesaria, como pueden ser las
consideraciones legales y referencias de otros estndares.

Evaluar y tratar el riesgo

Para poder evaluar el riesgo se tiene que identificar, cuantificar y priorizar todos los riesgos
que existe contra el criterio para aceptar este riesgo y los objetivos relevantes para la empresa.

Los resultados pueden guiar y determinar la accin apropiada para la gestin y las prioridades
para manejar la informacin de los riesgos de seguridad y para implementar controles
seleccionados a la hora de proteger de ciertos riesgos. El proceso de evaluacin de riesgos y
seleccionar diferentes controles que puede requerir que sea utilizado cierto nmero de veces
con el principal fin de cubrir todas las partes de la organizacin o Sistemas de
Informacinindividuales.

La evaluacin de riesgo tiene que incluir un alcance sistemtico sobre la estimacin de la

magnitud del riesgo y el proceso de comparar el riesgo estimado con el criterio suficiente para
determinar el significado de los riesgos.

Las evaluaciones del riesgo tienen que realizarse de forma peridica, ya que se deben incluir
todos los cambios necesarios para alcanzar los requerimientos del sistema y en la situacin del
riesgo, podemos poner el siguiente ejemplo, los activos, las amenazas, las vulnerabilidades, los
impactos, la valoracin del riesgo y los cambios ms significativos sucedan. Las evaluaciones de
riesgo se emprenden con de una manera establecida gracias a una metodologa, con la que se
puede producir los resultados comparables y reproducirlos despus.

La evaluacin de la informacin en cuanto al riesgo de seguridad tiene que tener un claro

alcance y que ste sea muy definido para que se realice de forma efectiva y se incluya en todas
las evaluaciones del riesgo.
El alcance de la evaluacin del riesgo se puede ver en toda la organizacin, ya que un sistema
individual de informacin, diferente componentes especficos del Sistema de Seguridad de la
Informacin o los servicios que pueden ser utilizados, siempre desde un punto de vista
provechoso y realista.

La empresas tiene que decidir el criterio que van a utilizar para determinar si los riesgos se
pueden aceptar o no. Los riesgos pueden aceptarse si, se evala que el riesgo es menor o que
el costo de tratamiento no es rentable para la organizacin.

Por cada riesgo identificado se necesita realizar una decisin de tratamiento del riesgo. Las
posibles opciones para el tratamiento incluyen:

Aplicacin de controles apropiados para disminuir los riesgos.

Los riesgos aceptados satisfacen el criterio para la aceptacin del riesgo y la poltica de
la empresa.

Evitar riesgos no se permita para realizar acciones que puedan causar que estos
riesgos sucedan.

Se transfieren los riesgos asociados a terceros como son los proveedores y las
aseguradoras.

Los controles tomados para asegurar que los riesgos se reducen a un nivel aceptable son los
siguientes:

Exigencias y coacciones de la legislacin y regulacin, tanto nacional como

internacional.

Conseguir los objetivos adoptados por la organizacin.

Aumentar las exigencias y coacciones operacionales.

Disminuir los costos de la implementacin y operacin en relacin con los riesgos que
se reducen y son proporcionales a las exigencias y a las coacciones de la empresa.

Existe una gran necesidad de tener en cuenta la inversin a la hora de implementar y

operar con los diferentes controles contra el dao que se pueda realizar en las fallas de
seguridad.

Los controles se seleccionan en este estndar o de otro conjunto de controles o de nuevos

controles que se pueden designar para poder conocer las necesidades especficas de la
organizacin.

Software para Sistema de Seguridad de la Informacin

El Software ISO 27001 para la Seguridad de la Informacin se encuentra compuesta por

diferentes aplicaciones que, al unirlas, trabajan para que la informacin que manejan las
empresas no pierda ninguna de sus propiedades ms importantes.
Historia[editar]

La cultura chanca se desarroll en este territorio. Durante la conquista, perteneci a la

provincia de Antabamba. La explotacin minera dio origen a la creacin de pueblo de Haquira.
Durante la colonia, entre los aos 1689, la intendencia del Cuzco estaba formado por la
provincia de Cotabambas. Adems, se form los hacendados formados alrededor de 300
colonos entre ellos Cotabambas.

Mapa de Cuzco en 1865

Cotabambas fue creado en el gobierno de Simn Bolvar, el 21 de julio de 1825, como parte
integrante del departamento de Cuzco siendo la capital Cotabambas entre 1825-1857. Junto
con la provincia de Cotabambas tambin se crearon cuatro distritos: Cotabambas,
Chuquibamba, Cotaneras, Yanaguaras.

El 2 de enero de 1852, por Decreto Ley, Chuquibamba es elevado a la categora de Villa,

denominndolo como "Chuquibambilla". En 1919 bajo la ley N 4008 cambia de nombre a
Grau siendo capital Chuquibambilla. En el 1857, recin se crean oficialmente los 7 distritos,
entre ellos el distrito de Tambobamba, Haquira y Mara. El 19 de noviembre de 1964 se crea el
distrito de Coyllurqui.

En 1960, por Ley 13407 del 10 de marzo, se aprueba crear la provincia de Cotabambas con su
capital Tambobamba. La provincia fue creada el 30 de agosto. El 18 de noviembre de 1994 se
crea el distrito de Chalhuahuacho.

Geografa[editar]