ITIL

Desarrollada a finales de los 80s, ITIL se ha convertido en un estndar para la administracin de servicios. En sus inicios en la Gran Bretaa
permiti que se administrara de manera eficaz y eficiente los costos de los recursos; por que demostr ser til a las organizaciones en todos los
sectores.
ITIL, Information Technology Infrastructure Library, es una coleccin de las mejores prcticas observadas en la industria de TI. Es un conjunto de
libros en los cuales se encuentran documentados todos los procesos referentes a la provisin de servicios de tecnologa de informacin hacia las
organizaciones.
ITIL, Information Technology Infrastructure Library, es una coleccin de las mejores prcticas observadas en la industria de TI. Es un conjunto de
libros en los cuales se encuentran documentados todos los procesos referentes a la provisin de servicios de tecnologa de informacin hacia las
organizaciones.
ITIL por medio de procedimientos, roles, tareas, y responsabilidades que se pueden adaptar a cualquier organizacin de TI, genera una
descripcin detallada de mejores practicas, que permitirn tener mejor comunicacin y administracin en la organizacin de TI. Proporciona los
elementos necesarios para determinar objetivos de mejora y metas que ayuden a la organizacin a madurar y crecer.
ITIL esta dividido en 10 procesos, mismos que estn divididos en 5 procesos operacionales (libro azul) y 5 tcticos (libro rojo), adems de
incluirse dentro de los procesos operacionales una funcin que es la de service desk.
Libro azul
Incident management
Problem management
Configuration management
Change management
Release management
Funcin de service desk
Libro rojo
Service Level management
Financial management for IT service
Availability management
Capacity management
IT service continuity management
Security management
Las ventajas de ITIL para los clientes y usuarios
Mejora la comunicacin con los clientes y usuarios finales a travs de los diversos puntos de contacto acordados.
Los servicios se detallan en lenguaje del cliente y con ms detalles.
Se maneja mejor la calidad y los costos de los servicios.
La entrega de servicios se enfoca mas al cliente, mejorando con ello la calidad de los mismos y relacin entre el cliente y el departamento de
IT.
Una mayor flexibilidad y adaptabilidad de los servicios.
Ventajas de ITIL para TI
La organizacin TI desarrolla una estructura ms clara, se vuelve ms eficaz, y se centra ms en los objetivos de la organizacin.
La administracin tiene un mayor control, se estandarizan e identifican los procedimientos, y los cambios resultan ms fciles de manejar.
La estructura de procesos en IT proporciona un marco para concretar de manera mas adecuada los servicios de outsourcing.
A travs de las mejores prcticas de ITIL se apoya al cambio en la cultura de TI y su orientacin hacia el servicio, y se facilita la introduccin de
un sistema de administracin de calidad.
ITIL proporciona un marco de referencia uniforme para la comunicacin interna y con proveedores.
Desventajas
Tiempo y esfuerzo necesario para su implementacin.
Que no de se de el cambio en la cultura de las rea involucradas.
Que no se vea reflejada una mejora, por falta de entendimiento sobre procesos, indicadores y como pueden ser controlados.
Que el personal no se involucre y se comprometa.
La mejora del servicio y la reduccin de costos puede no ser visible.
Que la inversin en herramientas de soporte sea escasa. Los procesos podrn parecer intiles y no se alcancen las mejoras en los servicios.
COBIT
La evaluacin de los requerimientos del negocio, los recursos y procesos IT, son puntos bastante importantes para el buen funcionamiento de
una compaa y para el aseguramiento de su supervivencia en el mercado.
El COBIT es precisamente un modelo para auditar la gestin y control de los sistemas de informacin y tecnologa, orientado a todos los
sectores de una organizacin, es decir, administradores IT, usuarios y por supuesto, los auditores involucrados en el proceso.
Las siglas COBIT significan Objetivos de Control para Tecnologa de Informacin y Tecnologas relacionadas (Control Objectives for Information
Systems and related Technology). El modelo es el resultado de una investigacin con expertos de varios pases, desarrollado por ISACA
(Information Systems Audit and Control Association).
La estructura del modelo COBIT propone un marco de accin donde se evalan los criterios de informacin, como por ejemplo la seguridad y
calidad, se auditan los recursos que comprenden la tecnologa de informacin, como por ejemplo el recurso humano, instalaciones, sistemas,
entre otros, y finalmente se realiza una evaluacin sobre los procesos involucrados en la organizacin.
El COBIT es un modelo de evaluacin y monitoreo que enfatiza en el control de negocios y la seguridad IT y que abarca controles especficos de
IT desde una perspectiva de negocios.
La adecuada implementacin de un modelo COBIT en una organizacin, provee una herramienta automatizada, para evaluar de manera gil y
consistente el cumplimiento de los objetivos de control y controles detallados, que aseguran que los procesos y recursos de informacin y
tecnologa contribuyen al logro de los objetivos del negocio en un mercado cada vez ms exigente, complejo y diversificado, seal un informe
de ETEK.
COBIT, lanzado en 1996, es una herramienta de gobierno de TI que ha cambiado la forma en que trabajan los profesionales de tecnologa.
Vinculando tecnologa informtica y prcticas de control, el modelo COBIT consolida y armoniza estndares de fuentes globales prominentes en
un recurso crtico para la gerencia, los profesionales de control y los auditores.
COBIT se aplica a los sistemas de informacin de toda la empresa, incluyendo los computadores personales y las redes. Est basado en la
filosofa de que los recursos TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la informacin
pertinente y confiable que requiere una organizacin para lograr sus objetivos.
El conjunto de lineamientos y estndares internacionales conocidos como COBIT, define un marco de referencia que clasifica los procesos de las
unidades de tecnologa de informacin de las organizaciones en cuatro dominios principales, a saber:
- Planificacin y organizacin
- Adquisicin e implantacin
- Soporte y Servicios
- Monitoreo
Estos dominios agrupan objetivos de control de alto nivel, que cubren tanto los aspectos de informacin, como de la tecnologa que la respalda.
Estos dominios y objetivos de control facilitan que la generacin y procesamiento de la informacin cumplan con las caractersticas de
efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad.
Asimismo, se deben tomar en cuenta los recursos que proporciona la tecnologa de informacin, tales como: datos, aplicaciones, plataformas
tecnolgicas, instalaciones y recurso humano.
Cualquier tipo de empresa puede adoptar una metodologa COBIT, como parte de un proceso de reingeniera en aras de reducir los ndices de
incertidumbre sobre vulnerabilidades y riesgos de los recursos IT y consecuentemente, sobre la posibilidad de evaluar el logro de los objetivos
del negocio apalancado en procesos tecnolgicos, finaliz el informe de ETEK.
ISM3
Por Vicente Aceituno
La publicacin del ISM3 (Information Security Management Maturity Model) ofrece un nuevo enfoque de los sistemas de gestin de seguridad
de la informacin (ISM). ISM3 nace de la observacin del contraste existente entre el nmero de organizaciones certificadas ISO9000 (unas
350,000), y las certificadas BS7799-2:2002 (unos cientos en todo el mundo). ISM3 pretende cubrir la necesidad de un estndar simple y aplicable
de calidad para sistemas de gestin de la seguridad de la informacin. ISM3 proporciona un marco para ISM que puede utilizarse tanto por
pequeas organizaciones que realizan sus primeros esfuerzos, como a un nivel alto de sofisticacin por grandes organizaciones como parte de
sus procesos de seguridad de la informacin...
Al igual que otros estndares del ISECOM, ISM3 se proporciona con una licencia de cdigo libre, tiene una curva de aprendizaje suave, y puede
utilizarse para fortalecer sistemas ISM en organizaciones que utilicen estndares como COBIT, ITIL, CMMI y ISO17799. Est estructurado en
niveles de madurez, de modo que cada organizacin puede elegir un nivel adecuado para su negocio, y cubrir ese objetivo en varias etapas.
En lugar de depender exclusivamente de mtodos caros de anlisis de riesgos, que suponen una barrera a la implantacin de sistemas de ISM,
ISM3 sigue un punto de vista cualitativo, empezando por analizar los requerimientos de seguridad del negocio. Permite a la empresa aprovechar
la infraestructura actual, fortalecindola mediante un sistema de calidad, y alcanzado niveles de madurez certificables segn el sistema de ISM
evoluciona.
Utiliza un modelo de gestin para diferenciar las tareas de seguridad operativa que previenen y mitigan incidentes del tareas estratgicas y
tcticas que identifican los activos a proteger, las medidas de seguridad a emplear, y los recursos que han de dedicarse a estas. Se describe un
proceso de certificacin que permite a una organizacin autoevaluar su madurez, o bien obtener una certificacin de un auditor independiente.
Vicente Aceituno
El Instituto para la Seguridad y las Metodologas Abiertas (ISECOM) es una iniciativa internacional sin nimo de lucro dedicada a definir
estndares tcnicos y ticos en seguridad de la informacin desde Enero de 2001. El equipo est compuesto de voluntarios, y soportado por un
panel de directores, consejero y un administrador regional.
Vicente Aceituno, el autor de ISM3, es un consultor de seguridad de la informacin. Su primer libro Seguridad de la Informacin, Editorial
CreacionesCopyright fue publicado recientemente.
ESTNDARES INTERNACIONALES DE SEGURIDAD INFORMTICA
Estndares de seguridad informtica. ISO 17799
Hoy por hoy el mundo de la seguridad se debate en dos posturas de instituciones muy respetables, las cuales han regido el mundo de las
normas internacionales en por muchos aos, cada uno en diferentes lugares del mundo; y cada uno con una aproximacin diferente. Por una
parte tenemos a ISO y por otra parte tenemos a NIST cada una de estas instituciones ha propuesto un marco de trabajo para el tema se la
seguridad informtica. En este articulo se analizan las posturas, y se presentan direcciones tiles para su consulta, el lector esta en libertad de
escoger el marco que desee trabajar para sus aplicaciones y/o infraestructura.
Lo primero que debemos aclarar es la procedencia de las dos organizaciones la ISO es bien conocida en el mundo como la organizacin que se
encarga de fijar las normas aceptadas en Europa y en buena parte del mundo. Por su parte en USA. su contraparte en la materia es el NIST. Cada
una tiene una postura frente al manejo de la seguridad informtica que a lo largo de este artculo daremos a conocer para que el lector pueda
tener una opinin informada al respecto.
Ante la necesidad de fijar un estndar en la industria la ISO adapto el estndar ingles que haba sido promulgado con anterioridad el BS7799,
que haba tomado una gran fuerza como documento base en seguridad informtica, documento el que posea en su momento dos versiones
7799-1 cdigo de practicas para la administracin de seguridad en informtica y 7799-2 las especificaciones para la administracin de seguridad
en informtica. Ambos documentos creados con propsitos bastante diferentes, el primero como una gua general para encargados de
seguridad en corporaciones y el segundo como una gua en la implementacin de seguridad en organizaciones, tal y como aparece en los
respectivos documentos. Cuando fue publicado el estndar vigente a diciembre del 2001 se basaba en el primer documento mencionado. El que
sirve como gua de implementacin, pero no explica particularidades de los sistemas ni su implementacin particular.
Por otra parte para el profesional en informtica el precio de estos documentos puede llegar ha hacerlos poco viables en principio, dado que el
documento que esta disponible en Internet para bajar por un precio cercano a los USD100 (cien dlares americanos) sin embargo no deja de ser
un estndar importante para tener en cuenta ya que arroja luces sobre muchos de los aspectos bsicos de la implementacin en seguridad
desde la compra de equipos hasta planeacion de contingencia.
Por su parte debido a un acta del congreso de 1987 el NIST debi desarrollar una serie de estndares que permitieran a las instituciones
federales operar de segura con documentos considerados no clasificados pero que sin embargo requeran mantenerse confidenciales por
polticas de prevaca gubernamental. Dado esto y que han existido con anterioridad una serie importante de requerimientos por parte de la
mayora de agencias de gubernamentales, se desarrollaron una serie de estndares que permiten tomar como base el sistema actual y
convertirlo en un sistema seguro. La lista completa para su consulta y descarga gratuita esta disponible. Este sitio y en particular el autor de este
artculo en sus implementaciones intentan seguir los lineamientos de ambas organizaciones sin apegarse en particular a uno u otro, ya que hoy
por hoy ninguno de los dos es considerado universalmente como un estndar. Y el ISO esta en una revisin mayor a raz de problemas en su
votacin y deficiencia de acuerdo a los miembros del comit.
ISO 27000
ISO 27000: En fase de desarrollo; su fecha prevista de publicacin es el ao 2009.
Contendr trminos y definiciones que se emplean en toda la serie 27000. La aplicacin de cualquier estndar necesita de un vocabulario
claramente definido, que evite distintas interpretaciones de conceptos tcnicos y de gestin. Esta norma est previsto que sea gratuita, a
diferencia de las dems de la serie, que tienen-tendrn un coste.
ISO 27001
ISO 27001: Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y contiene los requisitos del sistema de gestin de seguridad
de la informacin. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se certifican por auditores externos los SGSI de las
organizaciones. Sustituye a la BS 7799-2, habindose establecido unas condiciones de transicin para aquellas empresas certificadas en esta
ltima. En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005 (nueva numeracin
de ISO 17799:2005 desde el 1 de Julio de 2007), para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no
ser obligatoria la implementacin de todos los controles enumerados en dicho anexo, la organizacin deber argumentar slidamente la no
aplicabilidad de los controles no implementados. Desde el 28 de Noviembre de 2007, esta norma est publicada en Espaa como UNE-ISO/IEC
27001:2007 y puede adquirirse online en AENOR.
ISO 27002
ISO 27002: Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005 como ao de edicin. Es una gua de
buenas prcticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la informacin. No es certificable.
Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su apartado correspondiente, la norma
ISO27001 contiene un anexo que resume los controles de
ISO 27002:2005.
Los sistemas de tecnologa de la informacin desempean un papel crtico en la prctica totalidad de las empresas. Estos sistemas necesitan una
supervisin constante por parte de profesionales para mantenerlos actualizados y en condiciones de funcionamiento. No obstante, imagine las
consecuencias si su departamento de tecnologa de la informacin fuese incapaz de proporcionar los servicios que necesita. La certificacin ISO
20000 proporciona a las organizaciones un planteamiento estructurado para desarrollar servicios de tecnologa de la informacin fiables. Es un
reto. Pero tambin es una oportunidad que tienen las empresas para salvaguardar sus sistemas de gestin de tecnologa de la informacin.
Demuestre que est comprometido con una infraestructura de tecnologa de la informacin fiable.
La certificacin ISO 20000, le permite demostrar su compromiso con una infraestructura de tecnologa de la informacin fiable con la ayuda de
profesionales. Puede mejorar la satisfaccin global de sus clientes/empleados, as como mejorar continuamente su imagen como empresa.
Qu es ISO 20000?
La norma ISO 20000 se concentra en la gestin de problemas de tecnologa de la informacin mediante el uso de un planteamiento de servicio
de asistencia - los problemas se clasifican, lo que ayuda a identificar problemas continuados o interrelaciones. La norma considera tambin la
capacidad del sistema, los niveles de gestin necesarios cuando cambia el sistema, la asignacin de presupuestos financieros y el control y
distribucin del software.
La norma ISO 20000 se denomin anteriormente BS 15000 y est alineada con el planteamiento del proceso definido por la IT Infrastructure
Library (ITIL - Biblioteca de infraestructuras de tecnologa de la informacin) de The Office of Government Commerce (OGC).
La norma ISO 20000 consta de dos partes:
ISO 20000-1 es la especificacin formal y define los requisitos que tiene que cumplir una organizacin para proporcionar servicios gestionados
de una calidad aceptable a los clientes. Su alcance incluye:
requisitos para un sistema de gestin
planificacin e implantacin de la gestin del servicio
planificacin e implantacin de servicios nuevos o cambiados
proceso de prestacin de servicios
procesos de relaciones
procesos de resolucin
procesos de control y liberacin
ISO 20000
Es el cdigo de procedimiento y describe los mejores procedimientos para procesos de gestin de servicios dentro del mbito de la norma BS
15000-1. El Cdigo de procedimiento resulta especialmente til para organizaciones que se preparan para someterse a una auditora segn la
norma ISO 20000-1 o para planificar mejoras del servicio.
Las ventajas de la norma ISO 20000
La reputacin de la ISO y el reconocimiento internacional del IT Service Management System (Sistema de gestin de servicios de tecnologa de la
informacin) que conlleva la norma ISO 20000 es un verdadero refuerzo para la reputacin de cualquier empresa. Reduce el riesgo ofreciendo
apoyo fiable de profesionales de la tecnologa de la informacin (internos o subcontratados), cuando y donde ms se necesita. Esto ayuda a
poner cualquier situacin de tecnologa de la informacin bajo control inmediato y disminuye sus daos potenciales, mejorando la productividad
de los empleados y la fiabilidad del sistema de tecnologa de la informacin. Y lo que es ms, la certificacin aporta motivacin a la organizacin
y demuestra la fiabilidad y calidad de los servicios de tecnologa de la informacin para empleados, partes interesadas y clientes.
La certificacin de su Sistema de gestin de servicios de tecnologa de informacin a travs de SGS ayudar a su organizacin a desarrollar y
mejorar su rendimiento.
Su certificado IT Service Management System segn la norma ISO 20000 de SGS le permitir demostrar altos niveles de calidad y fiabilidad de
los servicios de tecnologa de informacin, cuando presente ofertas para contratos internacionales o cuando realice ampliaciones locales para
aumentar su volumen de negocio.
La evaluacin peridica realizada por SGS le ayudar a utilizar, supervisar y mejorar continuamente su sistema de gestin de los servicios de
tecnologa de la informacin y sus procesos. Esto mejorar la fiabilidad de sus operaciones internas para satisfacer las necesidades de los
clientes y tambin para aumentar su rendimiento global. Lo ms probable es que tambin consiga una mejora importante en motivacin,
compromiso y comprensin de su responsabilidad por parte del personal.
La norma ISO 20000 se puede vincular tambin con la norma ISO 27000 (norma internacional para seguridad de la informacin). Integrando las
auditoras de estos sistemas de gestin podr ahorrar tiempo y dinero.
Por qu SGS?
Nuestra marca global se basa en nuestra presencia en 75 pases con ms de 80.000 certificados emitidos en todo el mundo. SGS es el organismo
de certificacin lder mundial en diversas normas que incluyen ISO 9001:2000, ISO 14001:2004 y sistemas de gestin de la seguridad de los
alimentos.
SGS tiene una amplia experiencia en la realizacin de evaluaciones de prestaciones de servicios en todo el mundo y nuestro servicio de auditora
y certificacin segn la norma ISO 20000 utiliza estos conocimientos.
Las auditoras son una herramienta para mejorar la eficiencia de sus procesos, es decir, aumentar su rentabilidad. Los servicios de auditora no
son slo una herramienta de medida sino tambin un elemento constructivo bsico de sus sistemas de mejora continua. Reconocen los
esfuerzos de todos, muestran el camino recorrido por la organizacin hasta la fecha y materializan el mpetu de su empresa. El planteamiento de
SGS es transparente y lgico, lo cual es la razn de que nos convirtamos en su socio para conseguir mejoras y para alcanzar sus objetivos
empresariales.
Nosotros no convertimos las auditoras en el sencillo trmite de rellenar una lista de comprobaciones y hacer la comprobacin de sus sistemas
de documentacin. Nuestros auditores han recibido formacin en el estilo SGS, escuchan al cliente y son objetivos y ticos en todo momento.
Nuestra red de auditores experimentados identifica las Corrective Action Requirements (CAR - Necesidades de acciones correctivas). Nuestros
auditores han recibido formacin sobre diversas normas y, cuando es necesario, pueden realizar auditoras integradas.