Estándares y mejores prácticas en el uso de TIC’s

Introducción.

Los estándares internacionales son producto de diferentes organizaciones, algunas

para uso interno solo, otras para uso por grupos de gente, grupos de compañías, o una

subsección de una industria. Un problema surge cuando diferentes grupos se reúnen,

cada uno con una amplia base de usuarios haciendo alguna cosa bien establecida que

entre ellos es mutuamente incompatible. Establecer estándares internacionales es una

manera de prevenir o superar este problema.

El uso de las tecnologías de información y comunicación entre los habitantes de una

población, ayuda a disminuir la brecha digital existente en dicha localidad, ya que

aumentaría el conglomerado de usuarios que utilizan las Tic como medio tecnológico

para el desarrollo de sus actividades y por eso se reduce el conjunto de personas que

no las utilizan.
Los estándares internacionales relacionados con el uso e implementación de las

tecnologías de información y comunicación.

La Organización Internacional para la Estandarización o ISO, es el organismo

encargado de promover el desarrollo de normas internacionales de fabricación,

comercio y comunicación para todas las ramas industriales a excepción de la eléctrica

y la electrónica. Su función principal es la de buscar la estandarización de normas de

productos y seguridad para las empresas u organizaciones a nivel internacional.

En lo referente a los estándares internacionales relacionados con el uso e

implementación de las tecnologías de información y comunicación, se han desarrollado

y publicado una serie de normas ISO orientadas a las Tecnologías de Información y

Comunicaciones relativas a la gestión y supervisión de los Centros de Proceso de

Datos.

Estas normas internacionales, aprobadas con el consenso de 145 países y de acceso

libre a cualquier organización, han recogido las buenas prácticas y han definido y

elaborado una serie de requisitos, que basándose en los Sistemas de Gestión

tradicionales, vienen a facilitar el uso e implementación de las tecnologías de

información y comunicación.
Entre las más importantes destacan;

ISO/IEC 27001

El estándar para la seguridad de la información ISO/IEC 27001 (Information technology

- Security techniques - Information security management systems - Requirements) fue

aprobado y publicado como estándar internacional en octubre de 2005 por International

Organization for Standardization y por la comisión International Electrotechnical

Commission.

Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un

Sistema de Gestión de la Seguridad de la Información (SGSI) según el conocido “Ciclo

de Deming”: PDCA - acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar,

Actuar). Es consistente con las mejores prácticas descritas en ISO/IEC 17799 (actual

ISO/IEC 27002) y tiene su origen en la norma BS 7799-2:2002, desarrollada por la

entidad de normalización británica, la British Standards Institution (BSI).

La seguridad de la información tiene asignada la serie 27000 dentro de los estándares

ISO/IEC:

ISO 27000: Publicada en mayo de 2009. Contiene la descripción general y vocabulario

a ser empleado en toda la serie 27000. Se puede utilizar para tener un entendimiento

más claro de la serie y la relación entre los diferentes documentos que la conforman.

UNE-ISO/IEC 27001:2007 “Sistemas de Gestión de la Seguridad de la Información

(SGSI). Requisitos”. Fecha de la de la versión española 29 noviembre de 2007. Es la

norma principal de requisitos de un Sistema de Gestión de Seguridad de la

organizaciones. En su Anexo A, contempla una lista con los objetivos de control y

controles que desarrolla la ISO 27002 (anteriormente denominada ISO17799).

ISO 27002: (anteriormente denominada ISO17799).Guía de buenas prácticas que

describe los objetivos de control y controles recomendables en cuanto a seguridad de

la información con 11 dominios, 39 objetivos de control y 133 controles.

ISO 27003: En fase de desarrollo; probable publicación en 2009. Contendrá una guía

de implementación de SGSI e información acerca del uso del modelo PDCA y de los

requisitos de sus diferentes fases. Tiene su origen en el anexo B de la norma BS 7799-

2 y en la serie de documentos publicados por BSI a lo largo de los años con

recomendaciones y guías de implantación.

ISO 27004: Publicada en diciembre de 2009. Especifica las métricas y las técnicas de

medida aplicables para determinar la eficiencia y eficacia de la implantación de un

SGSI y de los controles relacionados.

ISO 27005: Publicada en junio de 2008. Consiste en una guía para la gestión del riesgo

de la seguridad de la información y sirve, por tanto, de apoyo a la ISO 27001 y a la

implantación de un SGSI. Incluye partes de la ISO 13335.

ISO 27006: Publicada en febrero de 2007. Especifica los requisitos para acreditación

de entidades de auditoría y certificación de sistemas de gestión de seguridad de la

información.
ISO/IEC 20000

La serie ISO/IEC 20000 - Service Management normalizada y publicada por las

organizaciones ISO (International Organization for Standardization) e IEC (International

Electrotechnical Commission) el 14 de diciembre de 2005, es el estándar reconocido

internacionalmente en gestión de servicios de TI (Tecnologías de la Información). La

serie 20000 proviene de la adopción de la serie BS 15000 desarrollada por la entidad

de normalización británica, la British Standards Institution (BSI).

El estándar se organiza en cinco partes, de las cuales cuatro están ya publicadas y una

en proceso de publicación:

Parte 1: ISO/IEC 20000-1:2005 - Especificación. Preparada por BSI como BS 15000-1

Parte 2: ISO/IEC 20000-2:2005 - Código de Prácticas. Preparada por BSI como BS

15000-2

Parte 3: ISO/IEC TR 20000-3:2009 - Guía en la definición del alcance y la aplicabilidad

(informe técnico)

Parte 4: ISO/IEC DTR 20000-4: - Modelo de referencia de procesos (informe técnico)

Parte 5: ISO/IEC TR 20000-5:2010 - Ejemplo de implementación (informe técnico)

Además, las partes 1 y 2 se encuentran en proceso de revisión y previsiblemente en

2011 se publicarán actualizando su título de la siguiente forma:

Parte 1: ISO/IEC 20000-1:2011 - Requisitos de los sistemas de gestión de servicios

de servicios

La primera parte (Especificación) define los requerimientos (217) necesarios para

realizar una entrega de servicios de TI alineados con las necesidades del negocio, con

calidad y valor añadido para los clientes, asegurando una optimización de los costes y

garantizando la seguridad de la entrega en todo momento. El cumplimiento de esta

parte, garantiza además, que se está realizando un ciclo de mejora continuo en la

gestión de servicios de TI. La especificación supone un completo sistema de gestión

(organizado según ISO 9001) basado en procesos de gestión de servicio, políticas,

objetivos y controles.

El marco de procesos diseñado se organiza con base en los siguientes bloques:

Grupo de procesos de Provisión del Servicio.

Grupo de procesos de Control.

Grupo de procesos de Entrega.

Grupo de procesos de Resolución.

Grupo de procesos de Relaciones.

La segunda parte (Código de Prácticas) representa el conjunto de buenas prácticas

adoptadas y aceptadas por la industria en materia de Gestión de Servicio de TI. Está

basada en el estándar de facto ITIL (Biblioteca de Infraestructura de TI) y sirve como

guía y soporte en el establecimiento de acciones de mejora en el servicio o preparación

de auditorías contra el estándar ISO/IEC 20000-1:2005.

tecnologías de información y comunicación.

ITIL - Information Technology Infrastructure Library

las mejores prácticas recomendadas en el uso e implementación de las tecnologías de

información y comunicación destaca la Biblioteca de Infraestructura de Tecnologías de

Información, frecuentemente abreviada ITIL (del inglés Information Technology

Infrastructure Library), es un marco de trabajo de las buenas prácticas destinadas a

facilitar la entrega de servicios de tecnologías de la información (TI). ITIL resume un

extenso conjunto de procedimientos de gestión ideados para ayudar a las

organizaciones a lograr calidad y eficiencia en las operaciones de TI. Estos

procedimientos son independientes del proveedor y han sido desarrollados para servir

como guía que abarque toda infraestructura, desarrollo y operaciones de TI.

ITIL fue desarrollada al reconocer que las organizaciones dependen cada vez más de

la Informática para alcanzar sus objetivos corporativos. Esta dependencia en aumento

ha dado como resultado una necesidad creciente de servicios informáticos de calidad

que se correspondan con los objetivos del negocio, y que satisfagan los requisitos y las

expectativas del cliente. A través de los años, el énfasis pasó de estar sobre el

desarrollo de las aplicaciones TI a la gestión de servicios TI. La aplicación TI (a veces

nombrada como un sistema de información) sólo contribuye a realizar los objetivos

corporativos si el sistema está a disposición de los usuarios y, en caso de fallos o

operaciones.

A lo largo de todo el ciclo de los productos TI, la fase de operaciones alcanza cerca del

70-80% del total del tiempo y del coste, y el resto se invierte en el desarrollo del

producto (u obtención). De esta manera, los procesos eficaces y eficientes de la

Gestión de Servicios TI se convierten en esenciales para el éxito de los departamentos

de TI. Esto se aplica a cualquier tipo de organización, grande o pequeña, pública o

privada, con servicios TI centralizados o descentralizados, con servicios TI internos o

suministrados por terceros. En todos los casos, el servicio debe ser fiable, consistente,

de alta calidad, y de coste aceptable.

ISO 20000-2: Código de buenas prácticas

Describe las mejoras prácticas adoptadas por la industria en relación con los procesos

de gestión del servicio TI, que permite cubrir las necesidades de negocio del cliente,

con los recursos acordados, así como asumir un riesgo entendido y aceptable.
Conclusiones.

Los estándares y mejores prácticas recomendadas en el uso e implementación de

tecnologías de información y comunicación buscan resolver problemas y satisfacer

necesidades individuales y sociales, transformando el entorno y la naturaleza mediante

la utilización racional, crítica y creativa de recursos y conocimientos. Así, el

conocimiento tecnológico, se adquiere tanto por ensayo y error, como a través de

procesos sistematizados provenientes de la propia tradición tecnológica y de la

actividad científica.