el avance de las normas técnicas peruanas de la gestión de las ti - ing. emigdio alf

AVANCE EN LA IMPLEMENTACIÓN DE LASAVANCE EN LA IMPLEMENTACIÓN DE LASNORMAS TÉCNICAS PERUANAS DE NORMAS TÉCNICAS PERUANAS DE

GESTIÓN DE TECNOLOGÍA DE INFORMACIÓNGESTIÓN DE TECNOLOGÍA DE INFORMACIÓN

SEGUNDA EVALUACIÓNSEGUNDA EVALUACIÓN

NOV 2009

Emigdio Alfaro, Decano de la Facultad de IngenieríaEmigdio Alfaro, Decano de la Facultad de Ingeniería

CONTENIDO

1. Problema.

2. Objetivo de la Investigación.

3. Revisión de Literatura.

4. Diseño Metodológico de la Investigación.

Emigdio Alfaro 2

5. Análisis de Resultados.

6. Discusión.

7. Recomendaciones para investigaciones futuras.

8. Referencias.

9. Contacto.

1. Problema

� R. M. N°179-2004-PCM, 14 Junio 2004. NTP-ISO/IEC 12 207:2004. Procesos del Ciclo de Vida del Software.

� R. M. N°224-2004-PCM, 23 Julio 2004. NTP-ISO/IEC 17 799:2004. Código de Buenas Prácticas de Gestión de la Seguridad de la Información.

� R. M. N° 395-2005-PCM y R. M. N° 396-2005-PCM, 8 Noviembre 2005.

Emigdio Alfaro 3

� R. M. N° 395-2005-PCM y R. M. N° 396-2005-PCM, 8 Noviembre 2005. Modifican plazo hasta el 30 Junio 2006.

� 11 Agosto 2006. D.U. 020-2006 Dictan Normas de Austeridad y Racionalidad en el Gasto Público.

� 18 Agosto 2006. D.U. 021-2006 Dictan Medidas Complementarias al D.U. 020-2006.

1. Problema

� Reducción de Gastos en SNP.

� Reducción de Gastos en Consultorías.

� Ineficiencias en Gestión de TI.

� Auditorías.+

Emigdio Alfaro 4

� Auditorías.+� Sanciones Administrativas.

� Sanciones Legales.

1. Problema

Se ha dado esfuerzos importantes en decenas de entidades del Estado Peruano para el cumplimiento de estas normas; sin embargo, los estudios

publicados en el 2008 reflejan resultados nada alentadores e incluso contradictorios en cuanto al avance en la implementación de las normas

técnicas peruanas de gestión de tecnología de información.

Emigdio Alfaro 5

2. Objetivo de la Investigación

Estimar el avance en la implementación de las normas técnicas peruanas de gestión de tecnología de información: NTP-ISO/IEC 12207 y NTP-

ISO/IEC 17799, en las entidades del Estado Peruano.

Emigdio Alfaro 6

3. Revisión de Literatura

NTP-ISO/IEC 12207 Procesos del Ciclo de Vida del So ftware

A. Procesos Principales . Incluye: (a) Adquisición; (b) Suministro; (c) Desarrollo; (d) Operación; y (e) Mantenimiento.

B. Procesos de Apoyo . Incluye: (a) Documentación; (b) Gestión de la Configuración; (c) Aseguramiento de la Calidad; (d) Verificación; (e)

Emigdio Alfaro 7

Configuración; (c) Aseguramiento de la Calidad; (d) Verificación; (e) Validación; (f) Revisión Conjunta; (h) Auditoría; y (i) Solución de Problemas.

C. Procesos Organizativos . Incluye: (a) Gestión; (b) Infraestructura; (c) Mejora; y (d) Recursos Humanos.

3. Revisión de Literatura

NTP-ISO/IEC 17799 Código de Buenas Prácticas de Ges tión de la Seguridad de la Información

A. Evaluación y Tratamiento del Riesgo.

B. Política de Seguridad.

C. Aspectos Organizativos de Seguridad.

Emigdio Alfaro 8

C. Aspectos Organizativos de Seguridad.

D. Clasificación y Control de Activos.

E. Seguridad en Recursos Humanos.

F. Seguridad Física y del Entorno.

G. Gestión de Comunicaciones y Operaciones.

H. Control de Accesos.

3. Revisión de Literatura

NTP-ISO/IEC 17799 Código de Buenas Prácticas de Ges tión de la Seguridad de la Información

I. Adquisición, Desarrollo y Mantenimiento de Sistemas.

J. Gestión de Incidentes en la Seguridad de la Información.

Emigdio Alfaro 9

K. Gestión de la Continuidad del Negocio.

L. Cumplimiento.

3. Revisión de Literatura

INVESTIGACIONES RELACIONADAS

� Alfaro E. A. (2008). Avance en la Implementación de Normas Técnicas Peruanas de Gestión de las Tecnologías de Información. Arequipa: Congreso Internacional Sudamericano de Ingeniería de Sistemas e Informática CISAISI XII.

Emigdio Alfaro 10

Informática CISAISI XII.

� ONGEI (2008). VI Encuesta Nacional de Recursos Informáticos y Tecnológicos de la Administración Pública 2007. Lima: ONGEI.

3. Revisión de Literatura

Alfaro E. A. (2008). Avance en la Implementación de Normas Técnicas Peruanas de Gestión de las Tecnologías de Informaci ón. Arequipa: Congreso Internacional Sudamericano de Ingeniería d e Sistemas e

Informática CISAISI XII.

� 45 entidades (4.39%) de las 1026 usuarias de T.I., realizaron acciones para la implementación de las normas técnicas de gestión de T.I. a un costo de S/.

Emigdio Alfaro 11

2’760,718.

� 13 entidades (1.27%) habrían logrado implementar la NTP-ISO/IEC 12207. El costo total por esta norma fue S/. 912,457.

� 13 entidades (1.27%) habrían logrado implementar la NTP-ISO/IEC 17799. El costo Total por esta norma fue S/. 1’848,261.

� Haber desarrollado la implementación inicial, no implica que se mantendrá en el futuro, si las oficinas de Auditoría Interna no están alineadas para verificarlas.

3. Revisión de Literatura

ONGEI (2008). VI Encuesta Nacional de Recursos Info rmáticos y Tecnológicos de la Administración Pública 2007. Li ma: ONGEI.

� Directorio de Entidades del Estado Peruano: 2037 entidades.

� Muestra: 628. Respuesta: 587 entidades.

Emigdio Alfaro 12

� Sesgos e Inconsistencias:

� No se determinó el total de entidades usuarias de T.I.

� ONGEI envió las encuestas, en su condición de ente normativo. Algunas entidades indicaron que habían implementado en un 100% las normas.

� No hay estudio de las características de los que respondieron y los que no respondieron.

3. Revisión de Literatura

ONGEI (2008). VI Encuesta Nacional de Recursos Info rmáticos y Tecnológicos de la Administración Pública 2007. Li ma: ONGEI.

� De 576 entidades que respondieron la encuesta en lo referente a las NTP de Gestión de T.I:

� 12.76% había iniciado la implementación de la NTP-ISO/IEC 12207.

Emigdio Alfaro 13

� 21.53% había iniciado la implementación de la NTP-ISO/IEC 17799.

4. Diseño Metodológico

� Preguntas de Investigación:

� ¿Se ha avanzado de manera significativa en la implementación de la NTP-ISO/IEC 12207?

� ¿Se ha avanzado de manera significativa en la implementación de la NTP-ISO/IEC 17799?

Emigdio Alfaro 14

la NTP-ISO/IEC 17799?

4. Diseño Metodológico

� Todas las entidades del Estado Peruano (Directiva Nº 001-2004-CONSUCODE/PRE), están obligadas a registrar sus procesos de selección en el Portal SEACE.

� Delimitaciones de la Investigación:

� Procesos de Selección Adjudicados y Publicados en el Portal SEACE, entre el 2 de Enero del 2004 y el 12 de Junio del 2009.

Emigdio Alfaro 15

SEACE, entre el 2 de Enero del 2004 y el 12 de Junio del 2009.

� Objetos de Proceso de Servicios: “Servicios de Consultoría”, “Servicios”, y “Servicios en General”.

� Palabras Clave: “12207”, “17799”, y “CICLO DE VIDA”.

� No se ha considerado las consultorías en seguridad de la información o el ciclo de vida del software que no hayan referenciado al cumplimiento de las normas.

4. Diseño Metodológico

� Delimitaciones de la Investigación:

� Cuando no estaba publicado el cuadro comparativo de las ofertas de los postores, se asumió su adjudicación al valor referencial.

� No se ha tomado en cuenta los avances que pudieran haber sido desarrollados por personal de las áreas de tecnología de información que se encuentran en los CAP o CAS; ni los avances

Emigdio Alfaro 16

información que se encuentran en los CAP o CAS; ni los avances desarrollados por SNP, cuyo proceso de selección hubiera sido convocado para otras funciones.

� En los casos que los procesos de selección estaban orientados al cumplimiento de la NTP-ISO/IEC 12207 y la NTP-ISO/IEC 17799 juntas, el monto adjudicado se repartió proporcionalmente teniendo en cuenta las bases del proceso de selección.

4. Diseño Metodológico

� Clasificación de los Servicios de los Procesos de Selección

� Tipo 1: Diagnóstico.

� Tipo 2: Diagnóstico y Plan de Implementación.

� Tipo 3: Plan de Implementación, Políticas, Procedimientos y Capacitación. IMPLEMENTACIÓN COMPLETA.

Emigdio Alfaro 17

Capacitación. IMPLEMENTACIÓN COMPLETA.

� Tipo 4: Diagnóstico, Plan de Implementación, Políticas, Procedimientos y Capacitación. IMPLEMENTACIÓN COMPLETA.

� Tipo 5: Asesoría.

4. Diseño Metodológico

� Clasificación de los Servicios de los Procesos de Selección

� Tipo 8: Actualización a una versión posterior.

� Tipo 6: Auditoría.

� Tipo 7: Personal de Apoyo para la Implementación.

Emigdio Alfaro 18

� Tipo 9: Capacitación.

� Tipo 10: Programa de Apoyo a las Exportaciones de Software.

� Tipo 11: Adecuación de Sistemas de Información.

4. Diseño Metodológico

� Total de Entidades del Estado Peruano: 2972 (INEI, 2002)

� Total de Entidades del Estado Peruano, usuarias de T.I.: 1026 (INEI,

2002).

Emigdio Alfaro 19

5. Análisis de Resultados

Desde el 2 Enero 2004 al 12 Junio 2009:

� 54 entidades convocaron 102 procesos de selección.

� 46 procesos de selección estaban relacionados a la NTP-ISO/IEC 12207.

Emigdio Alfaro 20

� 65 procesos de selección estaban relacionados a la NTP-ISO/IEC 17799.

� 9 procesos de selección incluyeron alcances explícitos relacionados al cumplimiento de ambas normas.

5. Análisis de Resultados

NORMA 2004 2005 2006 2007 2008 2009 TOTALNTP-ISO/IEC 12207 0 4 12 8 18 4 46NTP-ISO/IEC 17799 1 8 26 13 14 3 65

PROCESOS DE SELECCIÓN RELACIONADOS CON LAS NORMAS T ÉCNICAS PERUANAS DE GESTIÓN DE TECNOLOGÍA DE INFORMACIÓN

Emigdio Alfaro 21

Tabla 1: Procesos de Selección relacionados con la NTP-ISO/IEC 12207 y la NTP-ISO/IEC 17799.

NTP-ISO/IEC 17799 1 8 26 13 14 3 65TOTAL 1 12 38 21 32 7 111

5. Análisis de Resultados

TIPO DE SERVICIO ISO 12207 ISO 17799Tipo 1: Diagnóstico 2 12Tipo 2: Diagnóstico y Plan de Implementación 3 10Tipo 3: Plan de Implementación, Políticas, Procedimientos, y Capacitación (Implementación 7 5

Tipo 4: Diagnóstico, Plan de Implementación, Políticas, Procedimientos, y Capacitación

TIPOS DE SERVICIOS EN LOS PROCESOS DE SELECCIÓN REL ACIONADOS A LAS NORMAS TÉCNICAS PERUANAS DE GESTIÓN DE TECNOL OGÍA DE

INFORMACIÓN

Emigdio Alfaro 22

Tabla 2: Tipos de servicios relacionados con la NTP-ISO/IEC 12207 y la NTP-ISO/IEC 17799.

(Implementación Completa) 11 14Tipo 5: Asesoría 0 3Tipo 6: Auditoría Interna 0 1Tipo 7: Personal de Apoyo para Implementación 18 11Tipo 8: Actualización a versión posterior 0 2Tipo 9: Capacitación 3 6Tipo 10: Programa de Apoyo a las Exportaciones de Software 2 0Tipo 11: Adecuación de Sistemas de Información 0 1TOTAL 46 65

5. Análisis de Resultados

TIPO DE SERVICIO CONTRATADOISO/IEC 12207

ISO/IEC 17799

Tipo 1: Diagnóstico 9 850 252 001Tipo 2: Diagnóstico y Plan de Implementación 54 867 156 763Tipo 3: Plan de Implementación, Políticas, Procedimientos, y Capacitación (Implementación 323 218 92 406Tipo 4: Diagnóstico, Plan de Implementación, Políticas, Procedimientos, y Capacitación

MONTOS ADJUDICADOS RELACIONADOS A LA NTP-ISO/IEC 12 207 Y A LA NTP-ISO/IEC 17799

Emigdio Alfaro 23

Tabla 3: Montos Adjudicados por Tipo de Servicio, relacionados a la NTP-ISO/IEC 12207 y la NTP-ISO/IEC 17799.

Políticas, Procedimientos, y Capacitación (Implementación Completa) 549 015 1 497 717Tipo 5: Asesoría 0 30 661Tipo 6: Auditoría Interna 0 13 600Tipo 7: Personal de Apoyo para Implementación 156 810 109 784Tipo 8: Actualización a versión posterior 0 48 940Tipo 9: Capacitación 40222 65 744Tipo 10: Programa de Apoyo a las Exportaciones de Software 30000 0Tipo 11: Adecuación de Sistemas de Información 0 11 200TOTAL 1 163 982 2 267 616

6. Discusión

� 54 entidades (5.26%) de las 1026 usuarias de T.I., realizaron acciones para la implementación de las normas técnicas de gestión de T.I. a un costo de S/. 3’431,599.

� 18 entidades (1.75%) habrían logrado implementar la NTP-ISO/IEC 12207. El costo total por esta norma fue S/. 1’163,982.

Emigdio Alfaro 24

� 19 entidades (1.85%) habrían logrado implementar la NTP-ISO/IEC 17799. El costo Total por esta norma fue S/. 2’267,616.

� Haber desarrollado la implementación inicial, no implica que se mantendrá en el futuro, si las oficinas de Auditoría Interna no están alineadas para verificarlas.

7. Recomendaciones

� Realizar investigaciones similares en el Estado Peruano y otros estados, de manera anual.

� Tomar en cuenta la inversión en bienes tangibles (equipos de cómputo, equipos de red, equipos de protección eléctrica, etc.) o bienes intangibles (licencias de software, sistemas de información, etc.).

Emigdio Alfaro 25

� Investigar el cumplimiento de las normas técnicas peruanas de gestión de T.I. en entidades privadas (con y sin fines de lucro), usuarias y proveedoras de T.I.

� Investigar el cumplimiento de la planificación de alcance, tiempo y costo.

� Investigar la generación de valor de los proyectos informáticos.

8. Referencias

A. Alfaro E. A. (2007). Los ERPs ¿Generan o Destruyen Valor?. Trujillo: Universidad César Vallejo – Congreso Internacional de Ingeniería de Sistemas.

B. Alfaro E. A. (2008). Avance en la Implementación de Normas Técnicas Peruanas de Gestión de las Tecnologías de Información. Arequipa: Congreso Internacional SudAmericano de Ingeniería de Sistemas e Informática CISAISI XII.

Emigdio Alfaro 26

XII.

C. Contraloría General de la República (2006). Normas de Control Interno. Lima: Contraloría General de la República.

D. INDECOPI (2006). TECNOLOGÍA DE LA INFORMACIÓN Procesos del Ciclo de Vida del Software 2da. ed. Lima: Comité de Reglamentos Técnicos y Comerciales de INDECOPI.

E. INDECOPI (2007). TECNOLOGÍA DE LA INFORMACIÓN Código de Buenas Prácticas para la Gestión de la Seguridad de la Información 2da. ed. Lima: Comité de Reglamentos Técnicos y Comerciales de INDECOPI.

8. Referencias

F. INEI (2002). IV Encuesta Nacional de Recursos Informáticos y Tecnológicos de la Administración Pública. Lima: INEI.

G. ONGEI (2008). VI Encuesta Nacional de Recursos Informáticos y Tecnológicos de la Administración Pública 2007. Lima: ONGEI.

Emigdio Alfaro 27

9. Contacto

¿Consultas?

Emigdio Alfaro 28

¿Consultas?

e84@wienergroup.com