Estándares Internacionales TIC by Teresa Carmen Rodriguez Parada

SUPERVISIOÓ N DE LA APLICACIOÓ N DE ESTAÁ NDARES INTERNACIONALES DE TIC’S

Estándares internacionales en la aplicación de TI, fundamentos, aplicabilidad y mejoras en el servicio.

Síntesis de la Gestión de Información

INSTITUTO NACIONAL METROPOLITANO

Docente: Teresa del Carmen Rodríguez.

Asignatura: Módulo

Integrantes: Karen Azucena Araujo Navas. Ana Gabriela Cruz Saravia Yasmin de los Ángeles Guzmán Hernández. Santos Orbelina Yánez Velásquez. Laura María Saravia Soto.

Bachillerato Opción: Técnico Vocacional en Infraestructura Tecnológica y Servicios Informáticos (ITSI)

Módulo: 2.4 “Supervisión de la aplicación de estándares internacionales de TIC’s”.

Página

Fecha de entrega: 15 de octubre de 2013

CONTENIDO ITIL .................................................................................................................................................................... 4 ¿POR DÓNDE EMPEZAR? ..................................................................................................................................... 6 GESTIÓN DE SERVICIOS Y SU CICLO DE VIDA ...................................................................................................... 10 Resumen de la historia del ITIL...................................................................................................................... 10 ITIL Y LOS MODELOS DE GESTIÓN DE TI .............................................................................................................. 10 TECNOLOGÍA DE LA INFORMACIÓN Y COMUNICACIONES ................................................................................. 12 GESTIÓN DE SERVICIOS TI .................................................................................................................................. 13 ITIL es un éxito. ¿Por qué? ............................................................................................................................. 20 LOS RECELOS DE LAS ORGANIZACIONES PARA IMPLEMENTAR ITIL ................................................................... 21 ESTRUCTURA DE ITIL .......................................................................................................................................... 25 ITIL® v3. Quién es quién ................................................................................................................................ 25 GESTIÓN DE SERVICIOS COMO PRÁCTICA .......................................................................................................... 26 El ciclo de vida del servicio ............................................................................................................................ 26 ITIL® V3 LIBRERÍA ............................................................................................................................................... 29 ITIL ® V3 – LOS PROCESOS EN EL CICLO DE VIDA DE LOS SERVICIOS. .................................................................. 30 ITIL ® V3 – CONCEPTOS BÁSICOS Y DEFINICIONES .............................................................................................. 31 Terminología más común – Roles ................................................................................................................. 32 COBIT .............................................................................................................................................................. 33 UN MARCO DE NEGOCIO PARA EL GOBIERNO Y LA GESTIÓN DE LAS TI DE LA EMPRESA.................................... 33 VISIÓN GENERAL DE COBIT 5 ............................................................................................................................. 36 PRINCIPIO 1: SATISFACER LAS NECESIDADES DE LAS PARTES INTERESADAS ...................................................... 40 PRINCIPIO 2: CUBRIR LA EMPRESA EXTREMO-A-EXTREMO ............................................................................. 46 PRINCIPIO 3: APLICAR UN MARCO DE REFERENCIA ÚNICO INTEGRADO ............................................................ 48 PRINCIPIO 4: HACER POSIBLE UN ENFOQUE HOLÍSTICO .................................................................................. 50 Dimensiones de los Catalizadores ............................................................................................................... 53 PRINCIPIO 5: SEPARAR EL GOBIERNO DE LA GESTIÓN...................................................................................... 56 ISO 27001 ....................................................................................................................................................... 60 BENEFICIOS ........................................................................................................................................................ 60 IMPLANTACIÓN ................................................................................................................................................. 61 CERTIFICACIÓN .................................................................................................................................................. 61 Lista de documentación obligatoria requerida por ISO/IEC 27001 ............................................................... 66 ORGANIZACIÓN E INFRAESTRUCTURA INFORMÁTICA .................................................................................... 76

LAS MEJORES PRÁCTICAS DE SEGURIDAD EMPRESARIAL ................................................................................................... 98

Página

VENTAJAS DE DIRIGIR TI COMO SI SE TRATASE DE UNA EMPRESA .................................................................. 98

ESTÁNDARES INTERNACIONALES DE AUDITORÍAS DE SISTEMAS ....................................................................... 76 TECNOLOGÍA, ESTRATEGÍA Y COMPETITIVIDAD ................................................................................................ 79 PROCESO DE LA GESTIÓN TECNOLÓGICA ........................................................................................................... 84 SEGURIDAD INFORMÁTICA ................................................................................................................................ 86 OTROS ATAQUES Y DELITOS INFORMÁTICOS................................................................................................ 89 TECNOLOGÍA OBSOLETA .................................................................................................................................... 94

Pรกgina

Fortalezca el nivel de seguridad y evite el acceso no autorizado ................................................................ 102 Software como servicio ............................................................................................................................... 110 Infraestructura como servicio ..................................................................................................................... 111

ITIL Introducción La gestión de servicios de TI (ITSM) suministra los servicios que necesita una empresa para cumplir sus objetivos de negocio. ITSM respalda la visión y los objetivos de negocio al optimizar los procesos de IT y comprender los resultados esperados por la empresa, permitiendo lograr dichos resultados mediante la provisión y mejora de los servicios que presta. Los servicios de ITSM fomentan y facilitan la evolución de una organización de TI transformándola en proveedor de servicios y no solo en proveedor de tecnología. Para lograr esto, las organizaciones de TI deben reorganizarse y dejar de ser silos aislados de tecnología para realizar actividades más orientadas a los procesos del negocio y que su infraestructura y aplicaciones se consideren servicios o productos básicos, donde el servicio (y sus procesos auxiliares) se convierta en el objetivo final. Las organizaciones de TI deben dejar atrás el típico modelo reactivo de respuesta a fallas del sistema y pasar a desempeñar una función más proactiva en la planificación, supervisión y gestión de los servicios de TI para apoyar el éxito global de la empresa. “La gestión de servicios es un conjunto de capacidades organizativas y especializadas dirigidas a ofrecer valor a los clientes en forma de servicios.” En los últimos años, se han desarrollado en el mercado varias estructuras de apoyo a ITSM para responder a las necesidades de organizaciones empresariales y de servicios. La Information Technology Infrastructure Library® (ITIL®) es la estructura más conocida y aceptada actualmente para ITSM. ITIL vio la luz por primera vez en 1989 y ha evolucionado a lo largo de los años junto con los cambios en las prácticas de TI y en la gestión de servicios. La versión actual de ITIL V3 es la más completa de las estructuras de ITSM de hoy día y se centra en el ciclo de vida completo de la gestión de servicios. Por otro lado la ISO/IEC 20000 es una norma para la gestión de servicios de TI basada en un enfoque de procesos integrados para la prestación de servicios que responden a los requisitos de empresas y de clientes. La norma ISO/IEC 20000 y la estructura ITIL se complementan.

Página

ITIL V3 es un modo sistemático de plantear la prestación de servicios de TI y constituye la estructura utilizada por la mayoría de las organizaciones que se identifican con la práctica de la gestión de servicios. Como su nombre sugiere, ITIL es una biblioteca de cinco libros de consulta basada en las mejores prácticas de organizaciones de éxito actuales. ITIL describe el modo de dirigir TI como un negocio: desde la creación de una estrategia de servicios hasta el

ITIL proporciona la estructura y certifica a particulares; la ISO/IEC 20000 certifica que las prácticas y los procesos organizativos cumplen los requisitos del código de prácticas de la gestión de servicios de TI.

diseño de los servicios de negocio; la planificación, creación, comprobación, validación y evaluación de cambios en las operaciones y la mejora continua de los servicios de forma constante. Proporciona las herramientas que TI necesita para convertirse en una ventaja competitiva para cualquier organización. Al adaptar TI a los objetivos de negocio, controlar los costos de TI, mejorar la calidad del servicio y equilibrar los recursos disponibles, ITIL consigue que TI se convierta en un activo estratégico para la consecución de los objetivos de negocio de cualquier organización. ITIL V3 propone un enfoque del ciclo de vida para gestionar los servicios de TI. Cada uno de los cinco libros de ITIL V3 representa una fase del ciclo de vida de la gestión de servicios. Cada fase se interrelaciona con el resto de fases del ciclo y la mayoría de los procesos abarcan diversas fases. Además de los cinco volúmenes, ITIL V3 ofrece orientaciones complementarias de implementación y prácticas en sectores concretos, organizaciones, modelos operativos e infraestructura tecnológica. Las cinco fases del ciclo de vida de los servicios que propone ITIL V3 son las siguientes: 1) Estrategia de servicio: se ocupa del diseño, desarrollo e implantación de la gestión de servicios de TI como activo estratégico para la organización. El proceso de la estrategia de servicios comprende: la gestión de la cartera de servicios, la gestión financiera de TI y la gestión de la demanda. 2) Diseño del servicio: se encarga del diseño y desarrollo de los servicios y de los correspondientes procesos necesarios para apoyar dichos servicios. Entre los procesos del diseño de servicios figuran: la gestión del catálogo de servicios, la gestión de los niveles de servicio, la gestión de la disponibilidad, la gestión de la capacidad, la gestión de la continuidad de los servicios de TI, la gestión de la seguridad de la información y la gestión de proveedores. 3) Transición del servicio: se ocupa de la gestión y coordinación de los procesos, los sistemas y las funciones que se precisan para crear, comprobar e implantar servicios nuevos o modificados en las operaciones. Entre los procesos de transición del servicio figuran: la planificación y soporte de la transición, la gestión del cambio, la gestión de la configuración y los activos del servicio, la gestión del lanzamiento y el despliegue, la validación y comprobación del servicio, la evaluación y la gestión del conocimiento.

5) Mejora continua: se ocupa de mejorar los servicios de forma constante para garantizar a las organizaciones que los servicios responden a las necesidades del negocio. La mejora continua

Página

4) Operaciones de servicio: se ocupa de la coordinación, las actividades y los procesos necesarios para gestionar los servicios destinados a usuarios y clientes de empresas dentro de los niveles de servicio acordados. Los procesos de las operaciones de servicio son los siguientes: la gestión de eventos, el cumplimiento de peticiones, la gestión de incidencias, la gestión de problemas y la gestión del acceso.

trata sobre cómo mejorar el servicio, los procesos y las actividades de cada una de las fases del ciclo de vida. En la definición de cómo implementar ITIL las organizaciones deben tener cuidado; dado que puede acabar siendo el objetivo en lugar del medio para alcanzar un objetivo mayor: proporcionar un valor añadido a la empresa en los servicios prestados. Cuando sucede esto, ITIL puede perderse en un conjunto de procesos burocráticos, con juntas de revisión, reuniones interminables, plantillas, etc. Si se desea tener cierto éxito con la estructura ITIL, las organizaciones deben centrarse en lo que es importante para su negocio y mantener la atención en los resultados del negocio.

¿POR DÓNDE EMPEZAR? Como se dijo, ITIL es un conjunto de mejores prácticas, que sin embargo, no recomienda normas para su implementación, ni la secuencia de aplicación ni los procedimientos necesarios tales como políticas y procedimientos que se deben desarrollar para conseguir adoptar adecuadamente dicho marco. En resumen, podemos decir que ITIL nos plantea que debemos hacer pero no nos dice cómo debemos hacerlo. Ya que esto es así y que cada organización tiene sus propias necesidades y requisitos, los procesos o la fase del ciclo de vida del servicio por los que se comience a implementar ITIL serán exclusivos de las necesidades y los requisitos de cada empresa. Las organizaciones deberían comenzar por realizar una evaluación o un análisis de lagunas para identificar su estado actual y compararlo con el estado (final) que deseen alcanzar. Para implementar ITIL es preciso idear y gestionar de forma estratégica una sólida estructura táctica. Los clientes quieren servicios que estén disponibles y funcionen cuando los necesiten. La gestión de incidencias, problemas, configuración, cambio, despliegues y conocimiento son necesarios para mejorar la disponibilidad del servicio, ya que todos son procesos tácticos y operativos con capacidad de proporcionar rápidamente un rendimiento de la inversión mediante la reducción de la frecuencia de las interrupciones y la disminución del tiempo de respuesta y resolución de problemas y de peticiones de servicios.

Entre el 60 y 80% de fallas en la infraestructura de TI se derivan de los cambios introducidos por TI (muchos de los cuales no se han aprobado ni autorizado). Estas

Página

La gestión de incidencias y problemas son dos de los procesos de operaciones de servicio que pueden mejorar la disponibilidad del servicio mediante la reducción del número de incidencias y la disminución del tiempo de resolución de errores conocidos. El desarrollo de modelos de incidencias y problemas servirá para que los equipos de Service Desk y de segundo nivel de soporte mejoren su rendimiento y reduzcan el tiempo de inactividad de sus clientes.

incidencias relacionadas con los cambios se deben normalmente a la falta de planificación, de pruebas o de comprensión del efecto que tiene el cambio en el servicio o la organización en su conjunto. La gestión del cambio evalúa los planes de los costos, los riesgos, la resolución, la implantación y la comunicación de cada cambio. Incluso con procesos maduros de cambio e implantación, se producirán fallos, dudas y peticiones como consecuencia del cambio. Al disponer de procesos de gestión de incidencias y problemas, la organización podrá responder con más rapidez a cualquier petición o duda relacionada con el cambio y ayudará en la medición de la calidad de los cambios. Sólo porque ITIL V3 esté basado en el ciclo de vida del servicio no significa que la táctica deba empezar con la implementación de la Estrategia de Servicio, ya que es necesario previamente examinar las áreas de oportunidad y retos que las organizaciones tienen. Factores como el tamaño de la organización, cultura organizacional, requerimientos del propio negocio y capacidad de sus recursos humanos para enfrentar retos, tienen un rol preponderante en la toma de decisión para la implementación. Por diferentes razones no todas las organizaciones pueden o quieren implementar ITIL en forma completa, y siendo este un marco, está diseñado para que cada una construya la solución que más se adapte a sus necesidades, seleccionando los componentes más apropiados de acuerdo a cada circunstancia. Un diagnóstico inicial respecto del grado de madurez en las mejores prácticas de ITSM junto con las necesidades y objetivos buscados en la implementación de ITIL identificarán aquellos componentes esenciales y más apropiados para cada organización. Al concluir este diagnóstico inicial se puede definir como implementar, identificando las oportunidades de Retorno de Inversión, y la forma más ideal de cómo comenzar. “Pink Elephant” recomienda comenzar con los procesos que están relacionados con el Cliente, como se enlistan a continuación:

Gestión de Incidentes y Mesa de Servicio (función) Gestión de Cambios Gestión del Catalogo de Servicios Gestión de Problemas

Página

Gestión de los Activos del Servicio y Configuración

Para otros autores el mejor comienzo es con la elaboración de la CMDB (los elementos que conformarán la CMDB servirán en la definición de los servicios) y la definición del Catálogo de Servicios. Muy probablemente en el caso de las Pymes sea mucho más fundamental centrar la implementación de ITIL en las áreas que supongan el máximo de beneficio para la organización. Y en este caso las mejoras que una empresa puede realizar en las áreas de gestión de incidentes, problemas, cambios y configuración son las que suponen mayores mejoras. Son las áreas en las que típicamente es mayor la brecha entre las prácticas actuales y las buenas prácticas. Para las pymes una adopción de ITIL a nivel empresarial generalmente suele ser demasiado complejo. Generalmente muchas organizaciones frecuentemente encuentran que los procesos iniciales que más valor o más fácilmente pueden implementar son: Gestión de Cambios, Gestión de Problemas, Gestión de Incidentes y Gestión de Configuraciones, siendo los seleccionados para comenzar un proyecto de implementación. Es esto correcto?. La respuesta es, no en todos los casos, pues depende de la madurez de la organización. Una respuesta más cercana sería, comenzar por definir y gestionar de manera efectiva el Valor que se le provee al cliente (interno o externo). Para esta definición se comienza con la Gestión del Catálogo de Servicios, ya que es ahí donde el cliente observa el Valor desde su propia perspectiva, lo que TI entrega debe ser definido de manera específica en el Catálogo de Servicios en un idioma y código propio del cliente, con una versión también técnica, que sea clara para el personal TIC. En mi propia opinión también considero que como punto de partida para muchas implementaciones, sería correcto comenzar con el Catálogo de Servicio, ya que se delimita claramente el “alcance del esfuerzo” acordado entre TI y la organización a fin de brindar valor al negocio o core business de la organización. Este proceso, a su vez solicita, pero no exige, la implementación del proceso de Gestión de Niveles de Servicio. Esto se debe a que el proceso SLM delimita el alcance específico de todos los servicios brindados, así como sus niveles de calidad y disponibilidad. Para aquellos que deseen comenzar con el Catálogo de Servicios les propongo la lectrua de una excelente guía de Pink Elephant “Defining IT Success Through The Service Catalog”.

Página

Implementar ITIL en una organización puede tomar varios años, por lo cual es importante cubrir metas rápidas que den visibilidad del éxito de la implementación en fases

Una vez definido el valor que se le aporta al cliente, el siguiente paso es la identificación de esa generación de valor dentro del modelo de negocio, donde se debe describir y definir claramente la estructura funcional de la organización y los procesos que generan ese valor. Geary Rummler indica que a través del mapeo de los procesos se define su valor, y una vez descritos, los podemos medir, controlar, corregir y mejorar, en ese orden.

tempranas del proyecto. A continuación señalo algunos objetivos que permiten la obtención temprana de valor, fácil de implementar y que pueden automatizarse:

Administración de Incidentes • Empezar a tener bitácoras sobre todos los incidentes y solicitudes de servicios. • Que la mesa de servicios sea la propietaria del ciclo de vida de los incidentes • Definir mecanismos de escalamiento y procedimientos de asignación de tickets.

Administración de Cambios • Crear un comité de cambios para su evaluación • Desarrollar un modelo de tipos de cambios para tener un modelo de autorización

Administración del Catálogo de Servicios • Iniciar con el desarrollo de un catálogo de servicios • Iniciar con reuniones internas (IT) para la revisión de servicios • Iniciar con reuniones externas para la revisión con el negocio

Administración de Problemas • Ejecutar análisis de tendencias con los casos más recurrentes de incidentes

Administración de los Activos • Auditar e inventariar todo el parque informático

Página

• Llevar un control de los cambios

GESTIÓN DE SERVICIOS Y SU CICLO DE VIDA RESUMEN DE LA HISTORIA DEL ITIL Cada uno de los dos volúmenes de ITIL V2 describe los 11 procesos en Servicios Operacionales y Servicios Tácticos.

Service Delivery – Tactical x

Service Level Management

Capacity Management

Availability Management

IT Service Continuity Management

Financial Management for IT Services

Information Security Management

Service Support – Operational x

Incident Management x

Problem Management x

Release Management

Configuration Management System

Change Management

La última versión de ITIL se centra en el establecimiento de la Gestión de Servicios a través del Ciclo de Vida de los Servicios. ITIL® V3.

ITIL Y LOS MODELOS DE GESTIÓN DE TI

Página

No cabe duda de la importancia que tiene la Gestión de Servicios TI hoy en día. Mientras que hasta los años 70 la mayor preocupación estaba en la mejora y desarrollo de nuevo hardware, y hasta bien entrados los 80, este interés era por el desarrollo del software, la última década del pasado siglo se ha centrado en la Gestión de los Servicios.

ITIL Certification. ® ITIL es una marca registrada de OGC.

Durante décadas la Gestión de Servicios se ha visto como una continuación o extensión al desarrollo, pero en los últimos años se está cambiando esta situación, ya que, como corroboran estudios de consultoría, entre 70% y 80% de los gastos en el Ciclo de Vida de los sistemas de información son en la fase de explotación. Esto se puede ver reforzado con situaciones en las que el 60% del tiempo de los desarrolladores es dedicado a tareas de mantenimiento, o que las actividades diarias de la plantilla de TI parecen centrase en tareas de gestión. A la vista de esta situación, nos debemos preguntar lo que entendemos por Gestión de Servicios de TI. Algunas definiciones que podemos dar a este concepto serían: “El arte de gestionar el sector TIC1 completo de una organización, su infraestructura y sus actividades así como un conjunto coherente de procesos dirigidos a la provisión de servicios a la organización”, del World Class TI Service Management Guide 2000 “ITSM es un conjunto de procesos que cooperan para asegurar la calidad de servicios conectados y vivos, de acuerdo a los niveles de servicios acordados con el cliente, sobrepuestos a los dominios de gestión como la gestión de sistemas, la gestión de redes y el desarrollo de sistemas y a otros mucho dominios de procesos como la Gestión de los Cambios, la Gestión de Activos y la Gestión de Problemas”. De otra manera, la “Gestión de Servicios TI (ITSM) es la alineación sistemática a la planificación, desarrollo, entrega, y soporte de los servicios TI para la empresa. Une el espacio entre la comunidad dedicada al negocio y el departamento de TI a través de la facilitación de la comunicación y la creación de una asociación de y para el negocio”. Esta nueva actividad está cada día más madura, y prueba de esta madurez es la cantidad de marcos de trabajo teóricos que surgen cada día. En la relativa corta historia de la actividad de la Gestión de Ser vicio TI, una guía se ha convertido en el estándar de facto de vario países: ITIL v2 y en adelante ITIL v3. Para comprobar la dimensión que está tomando la gestión de servicios en las empresas basta con ver la cantidad de conferencias, estudios y publicaciones que alrededor de este tema están surgiendo en los últimos años.

Página

Muchas de estas aproximaciones que están surgiendo están muy relacionadas con las mejores prácticas definidas por ITIL y profundizan en este tema. Cada marco de trabajo tiene sus propias ventajas de pendiendo de la situación en la que se aplique, pero todo ellos están diseñados para adoptar una alineación orientada a procesos, dejando atrás los tiempos de la orientación a funciones y organizaciones.

Las grandes organizaciones y los principales proveedores están invirtiendo mucho dinero en desarrollar sus propios marcos de referencia para la Gestión de Servicios TI.

TECNOLOGÍA DE LA INFORMACIÓN Y COMUNICACIONES Normalmente todos estos modelos de Gestión de Servicios toman ITIL como base para realizar un desarrollo que agrande el modelo, acaparando procesos que no llegan a estar descritos en ITIL. Esto nos hace ver que es necesaria la ampliación de las mejores prácticas de ITIL para alcanzar un modelo de gestión razonable. Esto está reconocido dentro del propio mundo de ITIL, que ha acogido el PD0005, el Código de Prácticas para la Gestión de Servicio TI del Instituto de Estándares Británico (BSI), y que está completamente basado en ITIL. Principales modelos de gestión de TI que han sido desarrollados en los últimos tiempos; pero no únicos: ASL (Application Service Library). Ofrece un modelo de referencia para la gestión de aplicaciones. BDM (IT enabled Business Development and Management Methodology). Un método para la gestión, el desarrollo, el mantenimiento y el uso de las infraestructuras de la información. BiOOlogic. Un modelo de Gestión de Servicios TI para el desarrollo y la mejora de las organizaciones de gestión de Sistemas TI, basado en la orientación a objetos. CobTI (Control objectives for information and related Technology). La implementación de los procesos de gestión TI de ISACA para la Auditoría de sistema de información. eTOM (enhanced Telecom Operations Map). Sirve como anteproyecto para la dirección de procesos y como punto inicial para el desarrollo e inte gración de sistemas de soporte a los negocios y a las operaciones (BSS y OSS). HP TI Service Management Reference Model. Es la visión de Hewlett Packard para organizar la gestión TI basado en ITIL. IMM (TI Management Model). Es el modelo para el establecimiento de la gestión de Sistema TI a todos los niveles de Turnkiek3. IPW (Introducing Process oriented Working Methods). Es el modelo de procesos de Quint Wellington Redwood y KPN Telecom, en el que la mayoría de los procesos fundamentales de ITIL están incluidos.

Página

ISM (Integrated Service Management). Como proveer un conjunto de servicios separados, de un mismo proveedor, como un servicio integra do, manteniendo los principios generales de la gestión de servicios TI.

3 Turnkiek es una empresa holandesa de consultoría ISPL (Information Services Procurement Library). Ofrece un nuevo estándar europeo independiente para la gestión de TI. MSP (Managerial Step by Step Plan). Es la alineación a la gestión TI tal y como se enseña en la Universidad de Tecnología de Delft ITIL (TI Infrastructure Library). Es el modelo reconocido como estándar de facto para la organización de los procesos de gestión de los sistemas TI a nivel mundial. MIP (Managing the Information Provision). Explica como los requerimientos de información de los procesos de Negocio pueden ser trasladados a la provisión de servicios TI. MOF (Microsoft Operations Framework). Es el modelo de referencia para la gestión de operaciones desarrollado por Microsoft, basado comple tamente en los fundamentos de ITIL. ITPM (TI Process Model). Es la alineación basada en modelos que utiliza IBM en todo el mundo.R2C (Regulation, Control and Continuity) La metodología de gestión de TI de Roccade. RPM (Recursive Process Management) Modelo especialmente útil para las fusiones, grandes reorganizaciones o como vehículo para un cambio de cultura. SIMA (Standard Integrated Management Approach). La alineación creada y usada por InterProm para el diseño de la gestión y seguridad de infraestructuras TI abierta y multi vendedor.

GESTIÓN DE SERVICIOS TI Uno de los asuntos más grandes en una organización es que los roles y responsabilidades no están claramente definidas. Muchos empleados asumen muchos roles distintos, tal vez demasiados.

La metodología de Gestión de Servicios nos da la información para hacer precisamente esto.

Página

El personal de TI tiene que tratar muchos temas distintos como Incidencias, Problemas, Cambios y no pueden gestionar esto de la manera correcta. Los directores de cuentas tienen mucho que hacer para sus clientes, que quieren esto y aquello, y sus exigencias cambian cada día. Los directores de TI tienen que llevar una enorme variedad de tareas. Es, por lo tanto, necesario que organizaciones de TI ayuden a clarificar en todo esto.

Los retos de la organización Debemos asumir que las organizaciones son cada día más dependientes de TI para satisfacer sus objetivos corporativos y para poder cumplir sus necesidades de negocios. A menudo, los departamentos de TI no consideran los objetivos de la empresa como los suyos propios, sino que se considera a sí mismo como tan solo un proveedor. Creemos que TI deber ser visto como una parte integral de la empresa, estrechamente integrado con los objetivos de la empresa. TI debe contribuir al Negocio primario, debe ser un socio de empresa y crear esa relación de negocios tan importante. Lejos quedan los días en los que TI se podía librar con tan sólo la entrega de productos. Como en cualquier otra industria, los clientes quieren mucho más: ellos quieren servicio; quieren entrega de servicio no de productos. Los clientes compran SATISFACCIÓN, no solo productos y servicios. Esto es un reto para la organización de TI porque hasta ahora sólo tenían que entregar productos, nada más. Además de esto, TI tiene que entregar un servicio constante, fiable y estable, que agregue valor al negocio. Tiene que estar disponible 24 x 7, máxime que en estos tiempos el eNegocio es el servicio más importante que requerimos. Esto y la dependencia creciente llevan a necesidades crecientes para servicios de TI de calidad, calidad que esté en consonancia con las necesidades del negocio y requisitos del usuario a medida que estos surgen. Es cierto, al margen del tipo o tamaño de la organización, sea Administración Central, Comunidad Autónoma, Administración Local, organización multinacional, una oficina descentralizada con o sin una provisión de TI local o centralizada, un proveedor de servicio externo, o un entorno de una sola persona que proporciona soporte de TI. ¿Cuáles son las Necesidades de los clientes? Antes de entrar cualquier negocio en la producción de un nuevo producto o servicio, se debe llevar a cabo una investigación de mercado para averiguar qué quieren en realidad los clientes y qué comprarán. ¿Qué quieren los clientes de los servicios TI?

Quieren saber, por adelantado, qué van a recibir. El problema con la entrega de servicio de TI es que los clientes a menudo saben qué quieren, los expertos de TI deberían traducir sus necesidades de empresa en soluciones. Los clientes no compran productos; compran servicios o mejores soluciones de Negocio. x

Quieren Conformidad a la especificación:

Quieren Especificación:

Página

Una vez hallada la solución TI apropiada entonces deben definirse las especificaciones técnicas. Los clientes quieren saber cuándo lo podrán recibir y deberán estar satisfechos con que se cum plirá su requisito de Negocio. x

Quieren Consistencia:

Ellos quieren que sea igual cada vez que demanden más servicios. x

Quieren Valor por su dinero:

El precio que pagan debe ser justo por el producto o servicio que reciben. x

Quieren Comunicación:

Quieren que se les diga lo que reciben, cuándo, cómo y qué hacer con ello. Necesitamos el Compromiso de la Dirección Habitualmente el compromiso de la dirección suele ser con la motivación y el liderazgo. Si los directivos no respaldan amplia y demostrablemente el uso de las mejores prácticas, o si no se está completa mente comprometido con el cambio y la innovación, no se puede esperar que la plantilla mejore por si sola los procesos de Gestión de Servicios o el servicio a los clientes. El auténtico compromiso de la dirección es completamente necesario para ‘estar en el camino’ cuando se implementa la Gestión de Servicios en una organización. Lo que se necesita saber primero es el beneficio de utilizar un marco o guías y como comercializar el mensaje de estos beneficios a la organización. Estos asuntos pueden ser parte de una “propuesta de negocio” para la mejora o implementación de los procesos. Una importante parte de las “propuestas de negocio” es probablemente relativa a la articulación de los problemas con la posición actual y la de mostración de los beneficios de la nueva visión.

¿Por qué falla la implementación?

Página

Una “propuesta de negocio” debería fijarse en los beneficios, desventajas, costes y riesgos de la situación actual y la futura situación para que la dirección pueda sopesar todos estos factores cuando decidan si el proyecto se ejecutara o no. Las organizaciones modernas requieren la alineación entre el Negocio y TI, y además una total alineación a la calidad es requerida desde la dirección. Los diferentes aspectos de gestión del compromiso pueden ser encontrados en los Modelos de Calidad Total utiliza dos (TQM).

Si estamos examinando las causas de los fallos al nivel más alto encontraremos un patrón. El diseño e implementación de procesos nuevos o actualizados no asegura el éxito. Existen un número de factores que pueden hacer que el resultado no alcance los objetivos. En la mayoría de los casos el fallo es debido a la pérdida de atención sobre los procesos habilitadores. No es suficiente para la dirección el dar los fundamentos para los procesos de implementación y sen tarse de espaldas esperando a que todo funcione. La dirección debe estar comprometida durante el ciclo completo (“Plan Do Check Act.”) y debería dirigir también todos los aspectos del marco de ges tión de servicios. También influye en los fallos: x

Carencia de compromiso y entendimiento de la plantilla.

Carencia de formación.

x Los empleados con la responsabilidad de la implementación no son dotados con la autoridad suficiente para la toma de decisiones. x

Cese laboral de la persona a cargo de la implementación de la gestión de servicios.

Pérdida del ímpetu desde del primer anuncio.

Pérdida de la financiación inicial y de los beneficios cuantificables a largo plazo.

x Demasiada concentración en la parte táctica, se buscan soluciones tácticas en lugar de estratégicas. Por ejemplo, llevar a cabo elementos individuales de la gestión de servicios en lugar de toda la situación. x Demasiadas Expectativas en los beneficios inmediatos o en intentar hacerlo de una sola vez. x

Planificación de la implementación poco realista.

Dificultades para cambiar la cultura de la organización.

x Las herramientas son incapaces de respaldar el proceso, necesitando ajustar a la medida el proceso y la herramienta.

x Carencia de apreciación del trabajo y disciplina necesarios para implementar la gestión de servicios.

Los Problemas del Soporte

Ámbito de los procesos inadecuado.

Página

Hay muy pocos SLA (Acuerdo de Nivel de Servicio) que consiguen su supuesto objetivo de mejorar la calidad de servicio. Eso si de verdad existen SLA. Una gran causa de esta no mejora de la calidad es porque no tenemos una información de gestión disponible, las decisiones se toman basadas en lo que “creo” en vez de en lo que “sé”. Medir la gestión de servicio que conlleva a una mejora es muy difícil si no se puede identificar la línea base (baseline). Esto puede hacer muy difícil justificar un Programa de Mejora de Servicios (SIP). Si realmente algo vale lo que cuesta no se puede juzgar sin un buen entendimiento de los costes (incluidos los costes de los cambios). Un entendimiento de costes de ser vicio también proporciona una base sólida para el desarrollo de TI. En muchas organizaciones de TI no existe un mecanismo de Soporte al Cliente estructurado. Puede que exista Service Desk y algún tipo de apoyo de líneas de segundo o tercer nivel, pero todas aquellas organizaciones están intentando resolver las mismas incidencias solas. No hay comunicación ni cooperación que resulta en el hecho de que las incidencias no se resuelvan con la suficiente rapidez y que nos enfrentemos a una calidad inconsistente de respuesta a las llamadas y de tiempo de respuesta in apropiados. Esta es una de las razones por las que aquellas organizaciones tienen un bajo nivel de percepción/confianza por parte de su cliente y esos clientes empiezan a resolver sus propios asuntos que resulta en un nivel de “peer support” (soporte de su propio grupo). Los costes son difíciles de calcular, especialmente los de oportunidades, pero pueden ser altos, afectando al negocio. La mayoría de organizaciones son dirigidas por acciones reactivas e interrupciones. Los recursos de soporte están infra gestionados y están continuamente en conflicto, resolviendo incidencias y problemas repetidamente en lugar de eliminarlos definitivamente. Cambios no coordinados y sin registrar ocurren cada día. Este mal control del cambio cuesta mucho dinero y agota recursos porque debemos hacer las cosas una y otra vez. Una falta de Gestión del Cambio puede tener efectos negativos mayores en otros procesos porque no controlamos nuestro entorno. Por ello, también nos incapacita para poder manejar los cambios en nuestro Negocio.

¿Qué espera el Cliente?

Página

Del de tema de Personal, también tenemos que hablar. En primer lugar, sobre dependemos de emplea dos clave porque no documentamos los conocimientos que tienen en su cabeza, no gestionamos el conocimiento. En segundo lugar, en muchos empleados encontramos una falta de enfoque de los temas por los que nos encontramos aquí. Por último, los recursos de personal y los requisitos de coste relacionados son la mayor parte del tiempo muy poco claros. A menudo, no sabemos lo que hacen muchas personas ni por qué están aquí. ¡A veces no lo saben ni ellos mismos!

El nuevo entorno de empresa de TI ahora es más complicado debido a: x La Adopción del paradigma del cliente aplicación y facilidad de manejo para los clientes.

servidor proporcionando flexibilidad de

x Aplicaciones adaptadas a Internet entornos realmente integradores de Negocio y TI, pero aumentando la demanda de recursos de TI y requisitos de seguridad. x Intentos esporádicos de re ingeniar TI para servir mejor las necesidades del servicio al cliente x Islas de herramientas de “lo mejor de su clase”, la mayoría de las cuales han sido soluciones “punta” pero en su día. Mientras algunos o todos estos esfuerzos pueden haber sido intentados por varias organizaciones TI, las corporaciones de hoy se dan cuenta que es la combinación de “procesos + personas + productos + partners” (Las 4 p) lo necesario para poder entregar servicios de calidad de verdad a sus clientes. ¿Por qué implementar Gestión de Servicios? Habiendo reconocido que los departamentos de TI están ahora en el Negocio de proveer servicio, de ben adoptar una manera completamente nueva de pensar y abrazar los mismos conceptos de Negocio que aquellos utilizados por todos los proveedores de servicios. Hay mucho camino por recorrer para alcanzar a los demás. Llevamos casi 20 años sin conocer ITIL. El enfoque de Gestión de Servicio para ITIL es esa nueva manera de pensar. Pero, no debe implementarse porque ahora mismo esté de moda. Si no se entiende por qué está implementando ITIL, no tendrá éxito. El factor motor debe ser el deseo de hacer entrega de valor añadido al Negocio y valor real al cliente. Valor con sus dos componentes: UTILIDAD y GARANTÍA.

Mejor calidad de servicio Soporte de empresa más fiable

Página

Mientras hay beneficios a corto plazo, muchas organizaciones necesitarán programar a largo plazo mejoras de proceso antes de poder considerarse el mejor de su clase. Es importante reconocer que esto es uno de los mayores beneficios de implementar la metodología de la Gestión de Servicio para la organización si bien ITIL no es un método.

x Procedimientos de Continuidad de Servicio de TI más focalizados, más confianza en la habilidad de seguirlos cuando sea necesario. x

Visión más clara de la capacidad actual y potencial de TI.

x Mejor información de servicios actuales (y posiblemente de dónde los cambios traerían los mayo res beneficios). x

Mayor flexibilidad para el negocio mediante mejor entendimiento de soporte de TI.

x Empleados más motivados; mayor satisfacción de trabajo mediante mejor entendimiento de capacidad y mejor gestión de expectativas. x Mayor satisfacción de cliente al saber y entregar los proveedores de servicio lo que se espera de ellos. x Es probable que exista mayor flexibilidad y adaptabilidad dentro de los servicios y no lo sepamos. x Ventajas conducidas por el sistema, por ejemplo mejoras en seguridad, exactitud, velocidad, disponibilidad según se requiera para el nivel de servicio acordado. x

Tiempo de ciclo mejorado para cambios y un mayor nivel de éxito.

x Los costes operativos bajarán a medida que menos esfuerzo se pierda en dar a los clientes productos y servicios que no quieren. x Los márgenes de beneficio mejorarán a medida que se consiga más negocio de repetición, es mucho más barato vender a un cliente fidelizado que rondarle a uno nuevo. x

La eficacia mejorará a medida que el personal trabaje de forma más efectiva en equipos.

x La moral y el movimiento de personal mejorará a medida que los empleados consigan satisfacción de trabajo y seguridad de empleo.

Página

x El departamento de TI se hará más eficiente en soportar las necesidades del negocio y se estará más interesado en cambios en la dirección de la empresa.

x La calidad de servicio mejorará constantemente, resultando en una reputación más favorecedora para el departamento de TI lo cual tentará a nuevos clientes y animará a clientes existentes a comprar más.

La importancia y nivel de estas mejoras variará entre organizaciones. Definir estos beneficios para cualquier organización de una manera mesurable más tarde puede convertirse en una cuestión. Seguir la guía de ITIL puede ayudar a cuantificar algunos de estos elementos. Gestión de Servicio Gestión de Servicio es un enfoque orientado a entregar servicios de TI al cliente en su negocio que alcanzan los objetivos de coste y realización que se marcan en asociación con clientes y englobados en los Acuerdos de Nivel de Servicio (SLA) y Acuerdos de Nivel Operacional (OLA). Gestión de Servicio trata de la entrega y apoyo de los servicios de TI que cumplen los requisitos de Negocio de la organización. Gestión de Servicio se basa en implementar procesos, preferiblemente con la orientación de una guía como ITIL que proporciona un conjunto comprensivo, consistente y coherente de prácticas idóneas para los procesos de Gestión de Servicio, promocionando un enfoque de calidad a alcanzar efectividad y eficiencia en el uso de los sistemas informáticos. Los procesos de ITIL tienen la intención de ser implementados para que apoyen; pero no pueden dictar los procesos de negocio de una organización. Eso corresponde a cada organización.

ITIL ES UN ÉXITO. ¿POR QUÉ? ITIL se ha convertido en el estándar de facto a nivel mundial para la gestión de Servicios TI, siendo utilizado como núcleo para el propio desarrollo de las grandes compañías de gestión de servicios. Las razones para este éxito se deben a las características de ITIL, que son: Dominio público Desde sus comienzos ITIL ha estado disponible a todo el universo público. Esto es que cualquier organización puede utilizar este marco descrito por la CCTA en sus publicaciones. Por este motivo ITIL ha sido utilizado por una gran variedad de organizaciones, tanto el gobierno central como autoridades locales, energía como finanzas, comercio o fabricación. Desde organizaciones muy grandes hasta organizaciones muy pequeñas, pasando por todos los tipos han implementado ITIL.

Página

ITIL documenta las mejores prácticas de la industria. ITIL ha probado su valor desde sus inicios. En su día, CCTA recopiló información sobre cómo varias organizaciones llevaban la gestión de servicios, la analizó y filtró aquellos puntos que podrían ser útiles para la CCTA y para sus clientes en el go bierno central del Reino Unido. Otras organizaciones encontraron

Mejores prácticas

que estas guías eran aplicables de manera general y la industria del servicio creó con rapidez mercados fuera del gobierno. Siendo un marco de trabajo, ITIL describe el perfil de las organizaciones de Gestión de Servicios. Los modelos muestran los objetivos, las actividades generales, y las Entradas y/o inversiones y Salidas y/o resultados de los varios procesos que pueden incorporarse dentro de las organizaciones TI. ITIL no pretende obligar sobre cada una de las acciones que deben hacerse a diario, dado que difieren mucho de una organización a otra. En su lugar se centra en las mejores prácticas que pueden ser utilizas de distintos modos de acuerdo a la necesidad de cada organización. Gracias a este marco de mejores prácticas comprobadas, ITIL puede ser usado dentro de organizaciones con métodos y actividades de gestión de servicio ya existentes. El uso de ITIL no implica una manera completamente nueva de pensar y actuar, provee un marco de trabajo en el cual ubicar los métodos y actividades existentes en un contexto estructurado. Resaltando la importancia de las relaciones entre los procesos, cualquier deficiencia de comunicación y cooperación entre varias funciones TI puede ser eliminada o minimizada.

LOS RECELOS DE LAS ORGANIZACIONES PARA IMPLEMENTAR ITIL I. Recelos al cambio ITIL exige que los CIO comuniquen constantemente los objetivos y progresos a la plantilla y a la gerencia, se trata de un poco a poco cada día y no un todo al final del último día. Se trata de una profunda transformación en los procesos de gestión que debe ser estrechamente seguido y controlado. La cuestión es que el recelo al cambio es algo común a todos los aspectos de la vida, incluidos los entornos laborales, pero los expertos aseguran que si se dejan vencer por el temor que ITIL despertará sin duda en muchos de los miembros de las plantillas TI, estos departamentos, perderán la oportunidad de conseguir un mayor reconocimiento y de aumentar la relevancia de sus esfuerzos. Cierto que ITIL representa un gran cambio, pero a menudo termina dignificando a los departamentos de TI.

Página

Para evitar estos temores, que en realidad tienen su origen en el instintivo miedo a lo desconocido, se pueden aplicar diversas estrategias, como designar Gestores de Procesos dentro de la plantilla. De cualquier modo, los directores de TI deben contar con que muchos de los miembros de sus equipos intentarán evitar el gran cambio cultural que supone ITIL y no tirar la toalla al primer inconveniente.

II. Recelos porque nos van a medir Uno de los objetivos buscados por la dirección corporativa mediante la implementación interna de ITIL es aumentar la eficiencia de las TI, que después deberá probarse. Y para probar la mejora de las eficiencias, resulta imprescindible que los departamentos de TI midan la eficiencia de los procesos antes y después de ITIL. Es decir necesitamos métricas. ITIL focaliza en la necesidad de medir e informar a la Gerencia sobre la calidad de los servicios. He aquí la raíz de otro de los recelos que dificultan el despliegue de ITIL: Los departamentos de TI temen verse sometidos a una evaluación constante. Sin embargo de ella también se derivan importantes ventajas. Ser capaz de medir e informar sobre la calidad de servicio es una buena manera de probar a los usuarios finales que los servicios de TI están cumpliendo sus expectativas, aunque siempre existirá algún usuario descontento que considere que todo es un desastre normalmente el menos profesional. Por otra parte, si los servicios mejoran, la de mostración de la mejora mediante indicadores objetivos evidenciará ante la compañía que el departamento merece ser recompensado por sus esfuerzos y su eficiencia. Si la cuantificación es acordada por ambas partes, el Negocio entenderá mejor el valor que el departamento de TI aporta y es más seguro que esté dispuesto a proporcionarle los recursos que vaya necesitando en el crecimiento. III. Recelos a que vayamos a reducir la eficiencia del proceso A muchos lo que les preocupa es la posibilidad de que unos procesos excesivamente rígidos puedan llegar a lastrar a los departamentos de TI hasta el punto de llevarlos al extremo opuesto al perseguido, reduciendo su efectividad y eficiencia Pero ITIL ofrece un alto grado de flexibilidad en los procesos y está basada en un marco que incluye un amplio abanico de alternativas y estas pueden combinarse permitiendo a los clientes encontrar aquello que mejor se adapta a su entorno TI.

El nivel de interés del mercado en general por ITIL está creciendo, pero esto no significa que sea la solución perfecta para todas las organizaciones. No resolverá algo que no necesita

Página

ITIL se ha convertido en una palabra de moda dentro de la industria y hace que algunos directores de TI desconfíen de su utilidad real, desconfianza agravada por el hecho de tratarse de un conjunto de procesos y no de un producto tangible como el software. Respecto al primer punto, los expertos ad vierten que los departamentos de TI no deben lanzarse a ITIL porque sí, antes hay que realizar un análisis crítico.

IV. Recelos a su utilidad

solución, simple mente porque sea un concepto de moda. ITIL encajará o no en cada entorno organizativo según sus problemas y necesidades específicas. V. Recelos a no conseguir el ROI y que estemos perdiendo dinero El tiempo, los recursos humanos y los costes requeridos para la implementación de un proceso constituyen otro de los recelos que actúan como inhibidores de la adopción de ITIL en muchas organizaciones. Para muchos, la inversión parece demasiada en comparación con la recompensa, porque no ofrece una gratificación instantánea. Se entiende que ITIL exige una inversión inicial en formación, pero lo cierto es que una vez esa inversión ha sido realizada, el beneficio a largo plazo la supera con creces en términos de ahorros de costes y mejora de servicios VI. Recelos a elegir el Proceso que no es el adecuado Dado que ITIL predica sus preceptos estructurándolos en más de 27 “Procesos” diferentes y muchas “Funciones y Actividades”, los analistas aseguran haberse encontrado con la situación de que muchos departamentos de TI quedan casi paralizados por el miedo a elegir o implementar el proceso o el con junto de procesos equivocados. Las preocupaciones varían desde el derroche de tiempo y dinero invertido que tal error acarrearía hasta el temor a despilfarrar recursos en un proyecto que quizá, finalmente, nunca llegue a despegar. Asimismo, aseguran que cuando de seleccionar un proceso se trata, para tener éxito, los directores de TI simplemente deben relacionar de manera clara y directa sus elecciones con objetivos de Negocio. Las organizaciones sólo tienen que priorizar su mayor área de necesidad, sus mayores problemas de Negocio que ITIL puede resolver, y empezar por ellos. Y nada más. ITIL v3 incluye alrededor de un 50% más de información y de materiales que otros Modelos de Gestión. El recelo a la complejidad existente en torno a los procesos definidos en lTIL v3 tiene sus raíces en una reacción instintiva ya tratada: el temor a cambiar. En este sentido, ITIL v3 proporciona más información, pero ello no significa que toda deba ser necesariamente utilizada o aplicada, ITIL admite implementaciones parciales y/o progresivas

Página

A muchos profesionales parece preocuparles de manera especial el proceso relacionado con la Continua Mejora de los Servicios, algo que, por definición, no tiene fin y el hecho de que ITIL exija la participación de demasiadas personas por la multiplicidad de roles recogidos en el modelo. Sin embargo, los roles definidos en ITIL son algo positivo, porque resultan en una mayor comunicación, colaboración y consistencia.

VIII. Recelos a no satisfacer las expectativas de la gobernanza. Los directores de TI no sólo tienen que convencer a los ejecutivos del área de Negocio de la conveniencia de realizar una inversión inicial para lanzar un proyecto ITIL, sino que tendrán que arreglarse las continuamente para no defraudar sus expectativas. Así, muchos temen que sus esfuerzos de ITIL finalmente no consigan satisfacer las expectativas que los altos ejecutivos de sus empresas se hayan creado al respecto. Con relación a este punto, ITIL no representa de ninguna manera un comodín para resolver cualquier problema en el ámbito TI, y los Directores del Negocio deben tomar conciencia de ello. Por tanto, las expectativas de estos ejecutivos deben ser controladas de manera proactiva por los directores de TI. IX. Recelos sobre el dimensionamiento de la organización Algunos departamentos TI ni siquiera se plantean la posibilidad de adoptar ITIL debido a su tamaño, creyendo que los marcos de mejores prácticas sólo son aplicables a compañías mundiales o grandes organismos gubernamentales. Pero esto no es necesariamente así, dado que ITIL constituye un marco flexible capaz de adaptarse por completo a entornos de cualquier dimensión. X. Recelos sobre el encorsetado de los procesos El décimo y último recelo identificado como importante barrera para la acogida de ITIL en las empresas está directamente relacionado con la tendencia de los profesionales de TI a pensar que este marco cargado de procesos obstaculizará su creatividad a la hora de administrar la tecnología. Lo cierto es precisamente todo lo contrario. Una vez las organizaciones TI tengan “su propia casa organizada” podrán ir con facilidad más allá de enfoques reactivos basados en la mera resolución de los problemas y requerimientos según vayan surgiendo para asumir actitudes creativas y proactivas. Cuando existen procesos eficientes existe también la base para la creatividad. Gestión de relaciones con el cliente ¿Qué es ITIL® v3?

Página

Las siglas de ITIL se corresponden a “Information Technology Infrastructure Library”, que podíamos traducir como la Biblioteca de la Infraestructura de las Tecnologías de la Información.

A pesar de no poder considerar a ITIL como el modelo de referencia perfecto para la Gestión de Ser vicios TI, sí podemos decir que es el modelo de facto en estos momentos a nivel mundial y que ha sido adoptado como base de gestión por grandes compañías. Fue desarrollado en los años 80 por el Reino Unido dentro del ministerio llamado OGC (Office of Government Commerce)

ESTRUCTURA DE ITIL Inicialmente ITIL v1 era un conjunto de 40 libros, que en la versión v2 publicada en el año 2000 se agruparon en 9 publicaciones. Cada una de estas publicaciones describe un conjunto principal de procesos de Gestión de Servicios TI. Las dos publicaciones centrales son la de Soporte del Servicio y la de Entrega del Servicio. La última versión de ITIL ® (v3) consiste en un sistema sobre la base de 5 publicaciones que substituyen la versión previa del de ITIL v2 (publicado en 2000). Las publicaciones básicas proporcionan la dirección necesaria para un acercamiento integrado según los requisitos de la especificación estándar de ISO/IEC 20000

ITIL® V3. QUIÉN ES QUIÉN QUE ES itSMF ® itSMF (Information Technology Service Management Forum, por sus siglas en Inglés) es una red mundial de grupos de usuarios de las TI que ofrecen mejores prácticas y guías basadas en estándares para la provisión de Servicios de TI sin compromisos con ningún proveedor. APM ® El Grupo APM (APMG) británico es un negocio global que presta servicios de acreditación y certificación a través de su red internacional de Organizaciones de Asesoría y Formación Acreditadas. BCS ® ISEB ® BCS (Sociedad Británica de Computación) es el ente de la industria de Profesionales de TI y el ISEB es el Instituto de Ingeniería Colegiado para la Tecnología de la Información. BCS es responsable de fijar los estándares para la Profesión de TI.

Página

EXIN, Examination Institute for Information Science, es un proveedor independiente de exámenes de TI a escala mundial. La misión de EXIN es garantizar la calidad del sector de las TIC y de los profesionales de las TIC que trabajan en este sector por medio exámenes de certificación.

EXIN ®

GESTIÓN DE SERVICIOS COMO PRÁCTICA ¿Qué es un servicio? x Un Servicio es un conjunto de recursos que son provistos a los clientes para soportarlos en la operación de una o más áreas del Negocio. x

Un Servicio es percibido como algo único y completo.

Un Servicio siempre proporciona resultados a los interesados.

Un Servicio soluciona problemas.

Un Servicio debe ser fiable, consistente, de alta calidad y de coste aceptable.

Un Servicio tiene que añadir valor al Negocio.

NOTA: Por lo general, los servicios facilitan resultados realzando el funcionamiento y reduciendo los picos de trabajo de última hora. Qué es Gestión de Servicios Gestión de Servicios es un conjunto de capacidades organizativas que añaden valor a los activos del cliente en forma de Servicios. Estas capacidades toman la forma de Procesos y Funciones para gestionar un Servicio a través de un Ciclo de Vida. Un Servicio es un medio de entregar valor a un cliente sin que éste tenga que exponer costes o riesgos. Valor es el núcleo del concepto del Servicio y se compone de Utilidad y Garantía. Gestión de Servicios es un conjunto de capacidades o habilidades organizativas específicas para proporcionar valor a los clientes en forma de Servicios. NOTA: La transformación de recursos en servicios de valor es la base de la Gestión de Servicios.

EL CICLO DE VIDA DEL SERVICIO

Todas las fases del Ciclo de Vida están relacionadas con el valor de los servicios de TI.

Página

ITIL V3 enfoca la Gestión de Servicios desde el Ciclo de Vida de un Servicio. El Ciclo de Vida de un Servicio es un modelo de organización con una visión en:

¿Qué es el ciclo de vida del servicio?

La forma en que la gestión de servicios es estructurada.

La forma en que varios componentes están enlazados unos con otros.

x El impacto que un cambio puede tener en un componente, en otro componente del sistema o en el sistema entero. Consiste en 5 fases que son: 1. Estrategia del Servicio. 2. Diseño del Servicio. 3. Transición del Servicio. 4. Operación del Servicio. 5. Mejora Continua del Servicio. ITILv3 se focaliza en el Ciclo de Vida del Servicio a partir de la gestión de un servicio desde la solicitud del mismo hasta su entrega. Planes y acciones de mejora Esto es una definición algo limitada, por lo que hemos de examinar el Ciclo de Vida del Servicio más de cerca. Para ser efectivo y eficiente, el alineamiento del ciclo vital requiere la especialización, coordinación y control entre los procesos y las funciones dentro y a través de los elementos del ciclo de vida. El Ciclo de Vida de los Servicios debe: x Proveer la estructura, la estabilidad y la fuerza a las capacidades de los gestores de servicios de TI con principios, métodos y herramientas potentes. x Servir para proteger las inversiones y proporcionar la base necesaria para poder medir, aprender y mejorar. Se prueban las soluciones del servicio diseñado para permitir ser puesta en Transición y desplegada y con soporte al Negocio.

Página

Mientras que están en funcionamiento, en las Operaciones de Servicio, estos se han de mantener y se les soporta, para asegurar su funcionamiento de acuerdo a los requisitos convenidos.

Para asegurar la competitividad, la eficiencia y la efectividad, El Ciclo de Mejora Continua tiene que ser adoptado. Éste no es el núcleo de la acción en el Ciclo de Vida de los Servicios, pues cada elemento proporciona los puntos para la regeneración y el control (La Gobernanza). ITIL v2 hacía foco en los Procesos. ITIL v3 hace foco en la mejora continua de la calidad de los servicios. El ciclo de vida de los servicios basado en la arquitectura de ITIL Los procesos describen cómo las cosas cambian mientras que la estructura describe cómo están conectadas. La estructura determina comportamiento y debe ser un marco de organización diseñado para el funcionamiento sostenible.

Entienda su estructura.

Las interconexiones entre todos sus componentes.

Cómo los cambios afectarán el sistema y sus componentes.

El problema de hoy es creado a menudo por la solución de ayer.

Página

Un acercamiento comprensivo para que la gestión de servicios:

Resultado Confiado Problema percibido Acción de Remedio Entregado

ITIL® V3 LIBRERÍA

El ciclo de vida se explica en una librería de 5 volúmenes en los que con todo detalle se pormenoriza en los servicios y funciones. 1. Estrategia de Servicio (Service Strategy) Busca conseguir el alineamiento entre el negocio y TI. Pretende entender y trasladar las necesidades del negocio a las estrategias de TI y proporciona las herramientas para el planeamiento de la Gestión de Servicios de TI. 2. Diseño del Servicio (Service Design) Una guía en la producción y mantenimiento del diseño de arquitecturas y políticas de TI sobre el desarrollo de servicios incluyendo insourcing y outsourcing y asegurando los requerimientos actuales y futuros de la empresa. 3. Transición del Servicio (Service Transition) Después de definida la Estrategia de servicios y el Diseñado, se deben poner en producción y se centra en la gestión de cambios de nuevos y modificados servicios. 4. Operación del Servicio (Service Operation)

Página

5. Mejora Continua del Servicio (Continual Services Improvement) Se enfoca en las entradas y salidas necesarias para el adecuado ciclo de mejora continua sobre los servicios existentes para mantener o mejorar su valor.

Enfatiza en la mejora efectiva y eficiente para entregar y soportar los servicios en orden a asegurar valor a los Clientes y Proveedores de Servicios.

ITIL ® V3 – LOS PROCESOS EN EL CICLO DE VIDA DE LOS SERVICIOS. Los Procesos en la versión 3 de ITIL se muestran en la figura de más abajo y su mapeo con la tradicional vista en la versión 2. Las columnas representan los las actividades que se realizan dentro de cada uno de las cinco etapas del Ciclo de Vida del Servicio y las filas representan los procesos. Algunos procesos son transversales y existen en diferentes etapas del Ciclo de Vida del Servicio y pueden ser múltiples y otros caben dentro de una sola etapa del Ciclo de Vida del Servicio. Como se puede apreciar es el camino para que una organización pueda ser certificada en la ISO/IEC 20000. Los colores que se muestran en cada proceso se hacen coincidir con el color del libro o volumen de

Página

ITIL, pero solo como referencia sin que exista otro propósito y para facilitar su ubicación.

ITIL ® V3 – CONCEPTOS BÁSICOS Y DEFINICIONES Un PROCESO es una o varias actividades diseñadas para obtener ciertos objetivos definidos. Hay dos tipos de actividades, la operacional y la de control o medida. (QUÉ). Un PROCEDIMIENTO es una específica forma de llevar a cabo una actividad (CÓMO y QUIÉN). Una INSTRUCCIÓN DE TRABAJO define como una o varias actividades en un procedimiento son llevadas a cabo usando tecnología u otros recursos (EL QUÉ). CONFIABLE es que hace lo que tiene que hacer. EFECTIVIDAD DE UN PROCESO es el grado de aproximación al objetivo requerido. TAREA es una instrucción de trabajo a realizar en un tiempo definido (ACCIONES). ROL es un conjunto de responsabilidades, actividades y autoridades que se dan a una persona o grupo. (QUÉ). Un DEPARTAMENTO es una parte de la estructura jerárquica de un negocio y es responsable de la actividad de un grupo de empleados. CULTURA EMPRESARIAL es la forma en que las personas se comportan con las demás, la forma en que las decisiones son hechas y actitud de los empleados con sus compañeros, jefes, clientes y proveedores. EL PROCESO NO ES un método de estructuración de una organización. EL PROCESO proporciona sus resultados primarios a los Clientes e Interesados. EL PROCESO siempre responde a un específico evento. EL PROCESO será EFICAZ si su resultado se ajusta a los estándares definidos. El PROCESO será EFICIENTE si las actividades del Proceso también se desarrollan con el mínimo esfuerzo y con los costes solo necesarios.

Página

El PROPIETARIO (Process Owner) del Proceso es el responsable de los resultados del mismo. Ayuda a Design Service para que cada dueño de un proceso se asegure de que los procesos utilicen términos y plantillas estándares.

En el PROCESO se definen: Roles, Actividades, Líneas maestras y Estándares.

El GESTOR (Process Manager) del Proceso es responsable de realizar los procesos e informar sobre ellos al PROPIETARIO del Proceso. El OPERADOR del Proceso es responsable de las actividades y tareas específicas e informa al GESTOR DEL PROCESO.

TERMINOLOGÍA MÁS COMÚN – ROLES Propietario del Servicio Actúa como punto central de contacto para un servicio concreto, independientemente de donde residan las funciones, procesos o componentes tecnológicos subyacentes. Titularidad y representante del servicio, actuando como principal punto de contacto para el cliente sobre todos los asuntos relacionados. Entendimiento de los componentes que forman el servicio. Asegurar que el servicio cumple los requerimientos del cliente. Identificar oportunidades de mejora del servicio, tratarlo con el cliente y realizar evaluación de los RFC. Actuar de enlace con los propietarios de los procesos a través del Ciclo de Vida de la Gestión del Servicio. Mantenimiento de datos de los servicios en el Catálogo de Servicios. Participación en la negociación de SLA y OLA.

Efectuar las estrategias y alcanzar los objetivos de la empresa

Realizar comparaciones de análisis gaps.

Gestión económica

Gestión de clientes

Gestión de distribuidores

Gestión de todo el Ciclo de Vida

Gestión del inventario Propietario del Proceso

Página

Gestor del Servicio. Coordina el desarrollo, producción y evaluación de uno o más productos o servicios. Es responsable de:

Se encarga de garantizar que la organización siga un proceso. Desempeña el rol esencial del proceso como representante, líder de su diseño, interlocutor, formador y principal defensor.

COBIT UN MARCO DE NEGOCIO PARA EL GOBIERNO Y LA GESTIÓN DE LAS TI DE LA EMPRESA La publicación COBIT 5 contiene el marco COBIT 5 para el gobierno y la gestión de las TI de la empresa. La publicación es parte de la familia de productos de COBIT 5, según se muestra en la figura 1.

El marco COBIT 5 se construye sobre cinco principios básicos, que quedan cubiertos en detalle e incluyen una guía exhaustiva sobre los catalizadores para el gobierno y la gestión de las TI de la empresa.

• Guías de catalizadores de COBIT 5, en las que se discuten en detalle los catalizadores para el gobierno y gestión, estas incluyen:

Página

• COBIT 5 (el marco de trabajo)

La familia de productos de COBIT 5 incluye los siguientes productos:

– COBIT 5: Información Catalizadora – Información posibilitadora (en desarrollo) – Otras guías de catalizadores (visitar www.isaca.org/cobit) • Guías profesionales de COBIT 5, incluyendo: – Implementación de COBIT 5 – COBIT 5 para Seguridad de la Información (en desarrollo) – COBIT 5 para Aseguramiento (en desarrollo) – COBIT 5 para Riesgos (en desarrollo) – Otras guías profesionales (visitar www.isaca.org/cobit) • Un entorno colaborativo online, que estará disponible para dar soporte al uso de COBIT 5 Resumen Ejecutivo La información es un recurso clave para todas las empresas y desde el momento en que la información se crea hasta que es destruida, la tecnología juega un papel importante. La tecnología de la información está avanzando cada vez más y se ha generalizado en las empresas y en entornos sociales, públicos y de negocios. Como resultado, hoy más que nunca, las empresas y sus ejecutivos se esfuerzan en:

• • •

Durante la pasada década, el término “gobierno” ha pasado a la vanguardia del pensamiento empresarial como respuesta a algunos ejemplos que han demostrado la importancia del buen gobierno y, en el otro extremo de la balanza, a incidentes corporativos a nivel global. Empresas de éxito han reconocido que el comité y los ejecutivos deben aceptar las TI como cualquier otra parte importante de hacer negocios. Los comités y la dirección – tanto en

•

Mantener información de alta calidad para soportar las decisiones del negocio. Generar valor al negocio con las inversiones en TI, por ejemplo, alcanzando metas estratégicas y generando beneficios al negocio a través de un uso de las TI eficaz e innovador. Alcanzar la excelencia operativa a través de una aplicación de la tecnología fiable y eficiente. Mantener los riesgos relacionados con TI en un nivel aceptable Optimizar el coste de los servicios y tecnologías de TI Cumplir con las constantemente crecientes leyes, regulaciones, acuerdos contractuales y políticas aplicables.

Página

• •

funciones de negocio como de TI – deben colaborar y trabajar juntos, de modo que se incluya la TI en el enfoque del gobierno y la gestión. Además, cada vez se aprueba más legislación y se implementan regulaciones para cubrir esta necesidad.

Página

COBIT 5 provee de un marco de trabajo integral que ayuda a las empresas a alcanzar sus objetivos para el gobierno y la gestión de las TI corporativas. Dicho de una manera sencilla, ayuda a las empresas a crear el valor óptimo desde IT manteniendo el equilibrio entre la generación de beneficios y la optimización de los niveles de riesgo y el uso de recursos. COBIT 5 permite a las TI ser gobernadas y gestionadas de un modo holístico para toda la empresa, abarcando al negocio completo de principio a fin y las áreas funcionales de responsabilidad de TI, considerando los intereses relacionados con TI de las partes interesadas internas y externas. COBIT 5 es genérico y útil para empresas de todos los tamaños, tanto comerciales, como sin ánimo de lucro o del sector público.

VISIÓN GENERAL DE COBIT 5 COBIT 5 proporciona la guía de nueva generación de ISACA para el gobierno y la gestión de las TI en la empresa. Se construye sobre más de 15 años de uso práctico y aplicación de COBIT por parte de muchas empresas y usuarios de las comunidades de negocio, TI, riesgo, seguridad y aseguramiento. Los principales impulsos para el desarrollo de COBIT 5 incluyen la necesidad de: • Dar voz a más partes interesadas para determinar qué es lo que esperan de la información y tecnologías relacionadas (qué beneficios a qué nivel aceptable de riesgo y a qué coste) y cuáles son sus prioridades para asegurarse que el valor esperado es realmente proporcionado. Algunos querrán retornos a corto plazo y otros sostenibilidad a largo plazo. Algunos estarán preparados para asumir riesgos que otros no asumirían. Estas expectativas divergentes y algunas veces en conflicto necesitan ser tratadas con efectividad. Más allá, no solo estas partes interesadas quieren estar más involucradas, sino que demandan más transparencia en relación a cómo se va a llevar esto a cabo y los resultados reales alcanzados. • Considerar la dependencia creciente del éxito de la empresa en compañías externas y grupos de TI tales como contratistas externos, proveedores, consultores, clientes, proveedores de servicios en la nube y otros servicios y en un conjunto variado de medios y mecanismos internos para entregar el valor esperado. • Tratar con la cantidad de información, que ha crecido significantemente en el tiempo. ¿Cómo seleccionan las empresas la información relevante y fidedigna que conduzca a decisiones empresariales eficaces y eficientes? La información también necesita ser gestionada eficazmente y un modelo eficaz de la información puede asistir en este empeño.

Página

• Proporcionar orientación adicional en el ámbito de la innovación y las tecnologías emergentes. Esto es, sobre la creatividad, la inventiva, el desarrollo de nuevos productos haciendo que los productos existentes sean más convincentes para los clientes, y llegar a nuevos tipos de clientes. La innovación también implica la racionalización del desarrollo de productos, procesos de fabricación y cadena de suministro para entregar los productos al mercado con niveles crecientes de eficiencia, rapidez y calidad.

• Tratar con unas TI mucho más generalizadas que son más y más una parte integral de la empresa. A menudo, ya no es satisfactorio tener las TI separadas incluso si están alineadas con el negocio. Tienen que ser una parte integral de los proyectos empresariales, estructuras de organización, gestión de riesgos, políticas, técnicas, procesos, etc. Las funciones del director de información (CIO) y la función de TI están evolucionando. Cada vez más personas dentro de las funciones de la empresa tienen habilidades de TI y están, o estarán, implicadas en las decisiones y operaciones de TI. El negocio y las TI necesitarán estar mejor integradas.

• Cubrir completamente las responsabilidades funcionales de TI y del negocio, y todos los aspectos que llevan a la gestión y el gobierno eficaz de las TI de la empresa, tales como estructuras organizativas, políticas y cultura, además de los procesos. • Adquirir mejor control sobre soluciones de TI adquiridas y controladas por los usuarios • Alcanzar por parte de la empresa: – Creación de valor a través del uso efectivo e innovador de la TI de la empresa – Satisfacción del usuario de negocio con el nivel de compromiso y los servicios de las TI – Cumplimiento de las leyes, reglamentos, acuerdos contractuales y las políticas internas relevantes – Relaciones mejoradas entre las necesidades de negocio y metas de TI • Enlazar y, cuando sea relevante, alinearse con otros marcos y estándares principales existentes en el mercado, tales como Information Technology Infrastructure Library (ITIL®), The Open Group Architecture Framework (TOGAF®), Project Management Body of Knowledge (PMBOK®), PRojects IN Controlled Environments 2 (PRINCE2®), Committee of Sponsoring Organizations of the Treadway Commission (COSO) y la Organización Internacional de Estándares de normalización (ISO). Esto ayudará a los interesados a entender cómo varios marcos, buenas prácticas y normas están posicionadas respecto al resto y cómo pueden utilizarse juntos. • Integrar los principales marcos y guías de ISACA, con un enfoque principal en COBIT, ValIT y RiskIT, pero considerando también el Modelo de Negocio para la Seguridad de la Información (BMIS), el Marco de Aseguramiento de TI (ITAF), la publicación titulada Board Briefing on IT Governance y el documento Taking Governance Forward (TGF), de modo que COBIT 5 cubra la actividad de la empresa al completo y proporcione una base para integrar otros marcos, normas y prácticas como un marco único. Se elaborarán diferentes productos y otras guías que cubran las diversas necesidades de distintos grupos de interés partiendo de la base de conocimientos principal de COBIT 5. Esto ocurrirá con el tiempo, haciendo de la arquitectura del producto COBIT 5 un documento vivo. La arquitectura del producto COBIT 5 más reciente puede encontrarse en las páginas COBIT del sitio web de ISACA (www.isaca.org/cobit).

• El Capítulo 2 se elabora sobre el Principio 1, Satisfacer las Necesidades de las Partes Interesadas. Introduce la cascada de metas de COBIT 5. Las metas de la empresa para la TI se

Página

El marco COBIT 5 contiene siete capítulos más:

Visión General de Esta Publicación

utilizan para formalizar y estructurar las necesidades de las partes interesadas. Las metas de la empresa pueden estar vinculadas a metas relacionadas con las TI, y estos objetivos relacionados con las TI pueden lograrse mediante la utilización óptima y la ejecución de todos los catalizadores, incluidos los procesos. Este conjunto de metas interconectadas se denomina la cascada de metas de COBIT 5. El capítulo también proporciona ejemplos de preguntas típicas de gobierno y gestión que las partes interesadas pueden tener sobre las TI de la empresa. • El Capítulo 3 se elabora sobre el Principio 2, Cubrir la Empresa de Extremo a Extremo (Endto-end). Explica cómo COBIT 5 integra el gobierno de TI de la empresa en el gobierno de la empresa cubriendo todas las funciones y procesos de la empresa. • El Capítulo 4 se elabora sobre el Principio 3, Aplicar un Marco de Referencia Integrado Único, y describe brevemente la arquitectura de COBIT 5 que logra la integración. • El Capítulo 5 se elabora sobre el Principio 4, Hacer posible un Enfoque Holístico. El gobierno de las TI de la empresa es sistémico y está apoyada por un conjunto de catalizadores. En este capítulo, se introducen los catalizadores y se presenta una forma común de mirar los catalizadores: el modelo genérico de catalizadores. • El Capítulo 6 se elabora sobre el Principio 5, Separar el Gobierno de la Gestión, y explica la diferencia entre gestión y gobierno y cómo se relacionan entre sí. Se incluye como ejemplo el modelo de alto nivel de referencia de procesos de COBIT 5. • El Capítulo 7 contiene una introducción a la Guía de Implantación. Describe cómo se puede crear el entorno adecuado, los catalizadores necesarios, puntos de fallo típicos y eventos desencadenantes para la implementación, y la implantación del ciclo de vida de la mejora continua. Este capítulo está basado en la publicación titulada Implementación de COBIT 5, donde pueden encontrarse más detalles sobre cómo implementar la gestión de las TI de la empresa basada en COBIT 5. • El Capítulo 8 se elabora sobre El Modelo de Capacidad de Procesos de COBIT 5 en el esquema del enfoque del Programa de Evaluación de COBIT (www.isaca.org/cobitassessment-programme), cómo difiere de las evaluaciones de madurez de procesos de COBIT 4.1 y cómo los usuarios pueden migrar al nuevo enfoque.

Página

• Apéndice A. Referencias utilizadas durante el desarrollo de COBIT 5.

Los apéndices contienen información de referencia, mapeos e información más detallada sobre temas específicos:

• Apéndice B. Mapeo Detallado de las Metas de Empresa y las Metas Relacionadas con las TI que describe cómo las metas empresariales normalmente son soportadas por una o más metas relacionadas con las TI. • Apéndice C. Mapeo Detallado de las Metas Relacionadas con las TI y los Procesos Relacionados con las TI que describe cómo los procesos de COBIT apoyan el logro de metas relacionadas con las TI. • Apéndice D. Necesidades de las Partes Interesadas y las Metas Empresariales describen cómo las necesidades típicas de las partes interesadas se relacionan con las metas empresariales de COBIT 5. • Apéndice E. Mapeo de COBIT 5 con los Estándares y Marcos de Trabajo Relacionados más Relevantes. • Apéndice F. Comparativa Entre el Modelo de Información de COBIT 5 y los Criterios de Información de COBIT 4.1. • Apéndice G. Descripción Detallada de los Catalizadores de COBIT 5 se basa en el capítulo 5 e incluye más detalles sobre los diferentes catalizadores, incluyendo un modelo de catalizadores detallado que describe los componentes específicos y está ilustrado con varios ejemplos.

Página

• Apéndice H. Glosario.

PRINCIPIO 1: SATISFACER LAS NECESIDADES DE LAS PARTES INTERESADAS Las empresas existen para crear valor para sus accionistas. En consecuencia, cualquier empresa, comercial o no, tendrá la creación de valor como un objetivo de Gobierno. Creación de valor significa conseguir beneficios a un coste óptimo de los recursos mientras se optimiza el riesgo. (Ver figura 3.) Los beneficios pueden tomar muchas formas, por ejemplo, financieros para las empresas comerciales o de servicio público para entidades gubernamentales.

Las empresas tienen muchas partes interesadas, y ‘crear valor’ significa cosas diferentes — y a veces contradictorias — para cada uno de ellos. Las actividades de gobierno tratan sobre negociar y decidir entre los diferentes intereses en el valor de las partes interesadas. En consecuencia, el sistema de gobierno debe considerar a todas las partes interesadas al tomar decisiones sobre beneficios, evaluación de riesgos y recursos. Para cada decisión, las siguientes preguntas pueden y deben hacerse: ¿Para quién son los beneficios? ¿Quién asume el riesgo? ¿Qué recursos se requieren?

Página

Cada empresa opera en un contexto diferente; este contexto está determinado por factores externos (el mercado, la industria, geopolítica, etc.) y factores internos (la cultura, organización, umbral de riesgo, etc.) y requiere un sistema de gobierno y gestión personalizado.

Cascada de Metas de COBIT 5

Las necesidades de las partes interesadas deben transformarse en una estrategia corporativa factible. La cascada de metas de COBIT 5 es el mecanismo para traducir las necesidades de las partes interesadas en metas corporativas, metas relacionadas con las TI y metas catalizadoras específicas, útiles y a medida. Esta traducción permite establecer metas específicas en todos los niveles y en todas las áreas de la empresa en apoyo de los objetivos generales y requisitos de las partes interesadas y así, efectivamente, soportar la alineación entre las necesidades de la empresa y las soluciones y servicios de TI. La cascada de metas de COBIT 5 se muestra en la figura 4. Paso 1. Los Motivos de las Partes Interesadas Influyen en las Necesidades de las Partes Interesadas Las necesidades de las partes interesadas están influenciadas por diferentes motivos, por ejemplo, cambios de estrategia, un negocio y entorno regulatorio cambiantes y las nuevas tecnologías. Paso 2. Las Necesidades de las Partes Interesadas Desencadenan Metas Empresariales

Página

Estas metas corporativas han sido desarrolladas utilizando las dimensiones del cuadro de mando integral (CMI. En inglés: Balanced Scorecard, BSC)1 y representan una lista de objetivos comúnmente usados que una empresa puede definir por sí misma. Aunque esta lista no es exhaustiva, la mayoría metas corporativas específicas de la empresa pueden relacionarse fácilmente

Las necesidades de las partes interesadas pueden estar relacionadas con un conjunto de metas empresariales genéricas.

con uno o más de los objetivos genéricos de la empresa. En el Apéndice D se representa una tabla de las partes interesadas y metas corporativas. COBIT 5 define 17 objetivos genéricos, como se muestra en la figura 5, que incluye la siguiente información: • La dimensión del CMI en la que encaja la meta corporativa • Las metas corporativas • La relación con los tres objetivos principales de gobierno -- realización de beneficios, optimización de riesgos y optimización de recursos (‘P’ indica una relación primaria y ‘S’ una relación secundaria, es decir una relación menos fuerte). Paso 3. Cascada de Metas de Empresa a Metas Relacionadas con las TI El logro de metas empresariales requiere un número de resultados relacionados con las TI2, que están representados por las metas relacionadas con la TI. Se entiende como relacionados con las TI a la información y tecnologías relacionadas, y las metas relacionadas con las TI se estructuran en dimensiones del CMI. COBIT 5 define 17 metas relacionadas con las TI, indicadas en la figura 6. La tabla que mapea entre las metas relacionadas con TI y los empresariales está incluida en el apéndice B y muestra cómo cada meta corporativa es soportada por varias metas relacionadas con TI. Paso 4. Cascada de Metas Relacionadas con las TI Hacia Metas Catalizadoras Alcanzar metas relacionadas con las TI requiere la aplicación satisfactoria y el uso de varios catalizadores. El concepto de catalizador se explica detalladamente en el capítulo 5. Los catalizadores incluyen procesos, estructuras organizativas e información, y para cada catalizador puede definirse un conjunto de metas relevantes en apoyo de las metas relacionadas con la TI.

Página

Los procesos son uno de los catalizadores y el apéndice C contiene una relación entre metas relacionadas con las TI y los procesos relevantes de COBIT 5, los cuales contienen metas de los procesos relacionados.

Pรกgina

Utilizando la Cascada de Metas de COBIT 5 Beneficios de la Cascada de Metas de COBIT 5 La cascada de metas3 es importante porque permite la definición de prioridades de implementación, mejora y aseguramiento del gobierno de las TI de la empresa, que se basa en metas corporativas (estratégicas) de la empresa y el riesgo relacionado. En la práctica, la cascada de metas: • Define objetivos y metas relevantes y tangibles a varios niveles de responsabilidad • Filtra la base de conocimiento de COBIT 5, sobre la base de las metas corporativas, para extraer las guías relevantes a incluir en proyectos específicos de implementación, mejora o aseguramiento. • Identifica claramente y comunica cómo (algunas veces de forma muy operativa) los catalizadores son importantes para alcanzar metas de la empresa. Utilizando Cuidadosamente la Cascada de Metas de COBIT 5 Las metas en cascada — con sus tablas de relación entre metas empresariales y las metas relacionadas con la TI y entre las metas relacionadas con la TI y catalizadores de COBIT 5 (incluyendo procesos) — no contienen la verdad universal y los usuarios no deben intentar usarlo de una manera puramente mecánica, sino como una guía. Hay varias razones para esto, incluyendo: • Cada empresa establece sus objetivos con distintas prioridades, y estas prioridades pueden cambiar con el tiempo. • Las tablas de relación no distinguen entre el tamaño y/o la industria en la que se enmarca la empresa. Representan una especie de común denominador sobre cómo, en general, los diferentes niveles de objetivos se interrelacionan. • Los indicadores usados en la relación utilizan dos niveles de importancia o relevancia, lo que sugiere que hay niveles distintos de relevancia, cuando, en realidad, la asignación se acercará a un continuo de diversos grados de correspondencia.

Página

En línea con la advertencia anterior, es obvio que el primer paso que una empresa debe realizar siempre que utiliza la cascada de metas es personalizar la asignación, teniendo en cuenta su situación específica. En otras palabras, cada empresa debe construir su propia cascada de metas, compararla con COBIT y luego refinarla.

Utilizando la Cascada de Metas de COBIT 5 en la Práctica

Por ejemplo, la empresa podría desear: • Traducir las prioridades estratégicas a ‘ponderaciones’ o importancia para cada objetivo de la empresa.

Página

• Validar las relaciones de la cascada de metas corporativas, teniendo en cuenta su entorno específico, industria, etc.

PRINCIPIO 2: CUBRIR LA EMPRESA EXTREMO-A-EXTREMO COBIT 5 contempla el gobierno y la gestión de la información y la tecnología relacionada desde una perspectiva extremo- a-extremo y para toda la empresa. Esto significa que COBIT 5: • Integra el gobierno de la empresa TI en el gobierno corporativo. Es decir, el sistema de gobierno para la empresa TI propuesto por COBIT 5 se integra sin problemas en cualquier sistema de gobierno. COBIT 5 se alinea con las últimas visiones sobre gobierno. • Cubre todas las funciones y procesos necesarios para gobernar y gestionar la información corporativa y las tecnologías relacionadas donde quiera que esa información pueda ser procesada. Dado este alcance corporativo amplio, COBIT 5 contempla todos los servicios TI internos y externos relevantes, así como los procesos de negocio internos y externos. COBIT 5 proporciona una visión integral y sistémica del gobierno y la gestión de la empresa TI (ver el principio 4), basada en varios catalizadores. Los catalizadores son para toda la empresa y extremo-a-extremo, es decir, incluyendo todo y a todos, internos y externos, que sean relevantes para el gobierno y la gestión de la información de la empresa y TI relacionada, incluyendo las actividades y responsabilidades tanto de las funciones TI como de las funciones de negocio. La información es una de las categorías de catalizadores de COBIT. El modelo mediante el que COBIT 5 define los catalizadores permite a cada grupo de interés definir requisitos exhaustivos y completos para la información y el ciclo de vida de procesamiento de la información, conectando de este modo el negocio y su necesidad de una información adecuada y la función TI, y soportando el negocio y el enfoque de contexto. Enfoque de Gobierno

Página

El enfoque de gobierno extremo-a-extremo que es la base de COBIT 5 está representado en la figura 8, mostrando los componentes clave de un sistema de gobierno

Además del objetivo de gobierno, los otros elementos principales del enfoque de gobierno incluye catalizadores, alcance y roles, actividades y relaciones. Catalizadores de Gobierno Los catalizadores de gobierno son los recursos organizativos para el gobierno, tales como marcos de referencia, principios, estructuras, procesos y prácticas, a través de los que o hacia los que las acciones son dirigidas y los objetivos pueden ser alcanzados. Los catalizadores también incluyen los recursos corporativos – por ejemplo, capacidades de servicios (infraestructura TI, aplicaciones, etc.), personas e información. Una falta de recursos o catalizadores puede afectar a la capacidad de la empresa de crear valor. Dada la importancia de los catalizadores de gobierno, COBIT 5 incluye una sola forma de mirar a y de tratar los catalizadores.

Roles, Actividades y Relaciones

Página

El gobierno puede ser aplicado a toda la empresa, a una entidad, a un activo tangible o intangible, etc. Es decir, es posible definir diferentes vistas de la empresa a la que se aplica el gobierno, y es esencial definir bien este alcance del sistema de gobierno. El alcance de COBIT 5 es la empresa – pero en esencia, COBIT 5 puede tratar con cualquiera de las diferentes vistas.

Alcance de Gobierno

Un último elemento son los roles, actividades y relaciones de gobierno. Definen quién está involucrado en el gobierno, como se involucran, lo que hacen y cómo interactúan, dentro del alcance de cualquier sistema de gobierno. En COBIT 5, se hace una clara diferenciación entre las actividades de gobierno y de gestión en los dominios de gobierno y gestión, así como en la interconexión entre ellos y los actores implicados. La figura 9 detalla la parte inferior de la figura 8, enumerando las interacciones entre los diferentes roles.

PRINCIPIO 3: APLICAR UN MARCO DE REFERENCIA ÚNICO INTEGRADO COBIT 5 es un marco de referencia único e integrado porque: • Se alinea con otros estándares y marcos de referencia relevantes y, por tanto, permite a la empresa usar COBIT 5 como el marco integrador general de gestión y gobierno. • Es completo en cuanto a la cobertura de la empresa, proporcionando una base para integrar de manera efectiva otros marcos, estándares y prácticas utilizadas. Un marco general único sirve como una fuente consistente e integrada de guía en un lenguaje común, no-técnico y tecnológicamente agnóstico. • Proporciona una arquitectura simple para estructurar los materiales de guía y producir un conjunto consistente. • Integra todo el conocimiento disperso previamente en los diferentes marcos de ISACA. ISACA ha investigado las áreas clave del gobierno corporativo durante muchos años y ha desarrollado marcos tales como COBIT, Val IT, Risk IT, BMIS, la publicación Información sobre Gobierno de TI para la Dirección (Board Briefing on IT Governance) e ITAF para proporcionar guía y asistencia a las empresas. COBIT 5 integra todo este conocimiento.

Página

La figura 10 proporciona una descripción gráfica de cómo COBIT 5 logra su papel de marco integrado y alineado.

Marco Integrador de COBIT 5

El marco de referencia COBIT 5 proporciona a sus grupos de interés la guía más completa y actualizada (ver figura 11) sobre el gobierno y la gestión de la empresa TI mediante: • La investigación y utilización de un conjunto de fuentes que han impulsado el nuevo contenido desarrollado, incluyendo: – La unión de todas las guías existentes de ISACA (COBIT4.1, Val IT 2.0, Risk IT, BMIS) en este único marco. – Completar este contenido con áreas que necesitaban más elaboración y actualización. – El alineamiento a otros estándares y marcos relevantes, tales como ITIL, TOGAF y estándares ISO. Se puede encontrar una lista completa de referencias en el Apéndice A.

• Proporcionando una referencia base de buenas prácticas exhaustiva y sólida.

Página

• Poblando una base de conocimiento COBIT 5 que contiene todas las guías y contenido producido hasta ahora y que proporcionará una estructura para contenidos futuros adicionales.

• Definiendo un conjunto de catalizadores de gobierno y gestión que proporcionan una estructura para todos los materiales de guía.

PRINCIPIO 4: HACER POSIBLE UN ENFOQUE HOLÍSTICO

Catalizadores COBIT 5 Los catalizadores son factores que, individual y colectivamente, influyen sobre si algo funcionará – en este caso, el gobierno y la gestión de la empresa TI. Los catalizadores son guiados por la cascada de metas, es decir, objetivos de alto nivel relacionados con TI definen lo que los diferentes catalizadores deberían conseguir. El marco de referencia COBIT 5 describe siete categorías de catalizadores (figura 12): • Principios, políticas y marcos de referencia son el vehículo para traducir el comportamiento deseado en guías prácticas para la gestión del día a día. • Los procesos describen un conjunto organizado de prácticas y actividades para alcanzar ciertos objetivos y producir un conjunto de resultados que soporten las metas generales relacionadas con TI.

• La información impregna toda la organización e incluye toda la información producida y utilizada por la empresa. La información es necesaria para mantener la organización

Página

• La Cultura, ética y comportamiento de los individuos y de la empresa son muy a menudo subestimados como factor de éxito en las actividades de gobierno y gestión.

• Las estructuras organizativas son las entidades de toma de decisiones clave en una organización.

funcionando y bien gobernada, pero a nivel operativo, la información es muy a menudo el producto clave de la empresa en sí misma. • Los servicios, infraestructuras y aplicaciones incluyen la infraestructura, tecnología y aplicaciones que proporcionan a la empresa, servicios y tecnologías de procesamiento de la información. • Las personas, habilidades y competencias están relacionadas con las personas y son necesarias para poder completar de manera satisfactoria todas las actividades y para la correcta toma de decisiones y de acciones correctivas.

Algunos de los catalizadores definidos previamente son también recursos corporativos que también necesitan ser gestionados y gobernados. Esto aplica a: • La información, que necesita ser gestionada como un recurso. Alguna información, tal como informes de gestión y de inteligencia de negocio son importantes catalizadores para el gobierno y la gestión de la empresa. • Servicios, infraestructura y aplicaciones. • Personas, habilidades y competencias. Gobierno y Gestión Sistémicos Mediante Catalizadores Interconectados

Página

• Necesita del resultado de otros catalizadores para ser completamente efectivo, por ejemplo, los procesos necesitan información, las estructuras organizativas necesitan habilidades y comportamiento.

La figura 12 también transmite la mentalidad que debería ser adoptada para el gobierno corporativo, incluyendo el gobierno de TI, que es alcanzar las principales metas corporativas. Cualquier empresa debe siempre considerar un conjunto interconectado de catalizadores. Es decir, cada catalizador:

• Proporciona una salida para beneficio de otros catalizadores, por ejemplo, los procesos proporcionan información, habilidades y el comportamiento hace los procesos eficientes. Por tanto, cuando se trata con el gobierno y la gestión de la empresa TI, se pueden tomar buenas decisiones solo cuando se toma en consideración esta naturaleza sistémica del gobierno y de la gestión. Esto significa que para tratar con cualquier necesidad de un grupo de interés, todos los catalizadores interrelacionados tienen que ser analizados para saber si son relevantes y contemplados si fuera necesario. Esta mentalidad tiene que estar dirigida por la cabeza de la empresa, como se ilustra en los ejemplos siguientes

Dimensiones de los Catalizadores de COBIT 5 Todos los catalizadores tienen un conjunto de dimensiones comunes. Este conjunto de dimensiones comunes (figura 13): • Proporciona una manera común, simple y estructurada de tratar con los catalizadores • Permite a una entidad manejar sus complejas interacciones

Página

• Facilita resultados exitosos de los catalizadores

DIMENSIONES DE LOS CATALIZADORES Las cuatro dimensiones comunes de los catalizadores son: • Grupos de interés—Cada catalizador tiene grupos de interés (partes que juegan un rol activo y/o tienen un interés en el catalizador). Por ejemplo, los procesos tienen diferentes Metas que realizan actividades y/o tienen un interés en los resultados del proceso; las estructuras organizativas tienen grupos de interés, que son parte de las estructuras. Los grupos de interés pueden ser internos o externos a la empresa, cada uno de ellos con sus propias necesidades e intereses, algunas veces contrarios entre sí. Las necesidades de los grupos de interés se traducen en metas corporativas, que a su vez se traducen en objetivos de TI para la empresa. Se muestra una lista de grupos de interés en la figura 7. • Metas—Cada catalizador tiene varias metas, y los catalizadores proporcionan valor por la consecución de dichas metas. Las metas pueden ser definidas en términos de: – Resultados esperados del catalizador – Aplicación u operación del catalizador en sí mismo

Página

Las metas del catalizador son el paso final en la cascada de metas de COBIT 5. Las metas pueden ser divididas a su vez en diferentes categorías:

– Calidad intrínseca—Medida en que los catalizadores trabajan de manera precisa, objetiva y proporcionan resultados precisos, objetivos y de confianza. – Calidad contextual—Medida en que los catalizadores y sus resultados son aptos para el propósito dado el contexto en el que operan. Por ejemplo, los resultados deben ser relevantes, completos, actuales, apropiados, consistentes, comprensibles y fáciles de usar. – Accesibilidad y seguridad—Medida en que los catalizadores y sus resultados son accesibles y seguros, tales como: • Los catalizadores están disponibles cuando, y si, se necesitan. • Los resultados son asegurados, es decir, el acceso está restringido a aquellos autorizados y que lo necesitan. • Ciclo de vida—Cada catalizador tiene un ciclo de vida, desde el comienzo pasando por su vida útil / operativa hasta su eliminación. Esto aplica a información, estructuras, procesos, políticas, etc. Las fases del ciclo de vida consisten en: – Planificar (incluye el desarrollo y selección de conceptos) – Diseñar – Construir / adquirir / crear / implementar – Utilizar / operar – Evaluar / monitorizar – Actualizar / eliminar • Buenas prácticas—Para cada uno de los catalizadores, se pueden definir buenas prácticas. Las buenas prácticas soportan la consecución de los objetivos del catalizador. Las buenas prácticas proporcionan ejemplos y sugerencias sobre cómo implementar de la mejor manera el catalizador y qué productos o entradas y salidas son necesarios. COBIT 5 proporciona ejemplos de buenas prácticas para algunos catalizadores proporcionados por COBIT 5 (por ejemplo, procesos). Para otros catalizadores, se puede usar como guías, otros estándares, marcos de referencia, etc.

• ¿Se consideran las necesidades de las partes interesadas?

Página

Las empresas esperan resultados positivos de la aplicación y uso de los catalizadores. Para gestionar el rendimiento de los catalizadores, las siguientes cuestiones deberán ser supervisadas y respondidas más tarde – basadas en las métricas – de manera periódica:

Gestión del Rendimiento de los Catalizadores

• ¿Se alcanzan los objetivos de los catalizadores? • ¿Se gestiona el ciclo de vida? • ¿Se aplican las buenas prácticas? Los primeros dos puntos tratan con el resultado actual del catalizador. Las métricas utilizadas para medir el punto hasta el que las metas son alcanzadas pueden ser denominadas ‘indicadores de retraso’. Los dos últimos puntos tratan con el funcionamiento actual del catalizador en sí mismo y las métricas para ellos pueden ser denominadas ‘indicadores de avance’. Ejemplo de Catalizadores en la Práctica

Página

El ejemplo 5 ilustra los catalizadores, sus interconexiones y sus dimensiones y cómo usarlos para un beneficio práctico.

En el apéndice G, se tratan las siete categorías de catalizadores en más detalle. La lectura de este apéndice está recomendada para un mejor entendimiento de los catalizadores y cómo de potentes pueden ser organizando el gobierno y la gestión de la empresa TI.

PRINCIPIO 5: SEPARAR EL GOBIERNO DE LA GESTIÓN Gobierno y Gestión El marco de COBIT 5 realiza una clara distinción entre gobierno y gestión. Estas dos disciplinas engloban diferentes tipos de actividades, requieren estructuras organizativas diferentes y sirven para diferentes propósitos. La posición de COBIT 5 sobre esta fundamental distinción entre gobierno y gestión es: • Gobierno

En la mayoría de las empresas, el gobierno es responsabilidad del consejo de administración bajo la dirección de su presidente. • Gestión

En la mayoría de las empresas, la gestión es responsabilidad de la dirección ejecutiva bajo la dirección del CEO.

Página

Partiendo de las definiciones entre gobierno y gestión, está claro que comprenden diferentes tipos de actividades, con diferentes responsabilidades; sin embargo, dado el papel de gobierno – evaluar, orientar y vigilar – se requiere un conjunto de interacciones entre gobierno y gestión para obtener un sistema de gobierno eficiente y eficaz. Estas interacciones, empleando una estructura de catalizadores, se muestran a alto nivel en la figura 14.

Interacciones entre Gobierno y Gestión

Modelo de Referencia de Procesos de COBIT 5

Página

COBIT 5 no es prescriptivo, pero sí defiende que las empresas implementen procesos de gobierno y de gestión de manera que las áreas fundamentales estén cubiertas, tal y como se muestra en la figura 15.

Una empresa puede organizar sus procesos como crea conveniente, siempre y cuando las metas de gobierno y gestión queden cubiertas. Empresas más pequeñas pueden tener pocos procesos; empresas más grandes y complejas pueden tener numerosos procesos, pero todos con el ánimo de cubrir las mismas metas. COBIT 5 incluye un modelo de referencia de procesos que define y describe en detalle varios procesos de gobierno y de gestión. Dicho modelo representa todos los procesos que normalmente encontramos en una empresa relacionados con las actividades de TI, proporciona un modelo de referencia común entendible para las operaciones de TI y los responsables de negocio. El modelo de proceso propuesto es un modelo completo e integral, pero no constituye el único modelo de procesos posible. Cada empresa debe definir su propio conjunto de procesos, teniendo en cuenta su situación particular. La incorporación de un modelo operacional y un lenguaje común para todas las partes de la empresa involucradas en las actividades de TI, es uno de los pasos más importantes y críticos hacia el buen gobierno. Adicionalmente proporciona un marco para medir y vigilar el rendimiento de TI, proporcionar garantía de TI, comunicarse con los proveedores de servicio e integrar las mejores prácticas de gestión. El modelo de referencia de procesos de COBIT 5 divide los procesos de gobierno y de gestión de la TI empresarial en dos dominios principales de procesos: • Gobierno—Contiene cinco procesos de gobierno; dentro de cada proceso se definen prácticas de evaluación, orientación y supervisión (EDM)5. • Gestión—Contiene cuatro dominios, en consonancia con las áreas de responsabilidad de planificar, construir, ejecutar y supervisar (Plan, Build, Run and Monitor - PBRM), y proporciona cobertura extremo a extremo de las TI. Estos dominios son una evolución de la estructura de procesos y dominios de COBIT 4.1. Los nombres de estos dominios han sido elegidos de acuerdo a estas designaciones de áreas principales, pero contienen más verbos para describirlos: – Alinear, Planificar y Organizar (Align, Plan and Organise, APO) – Construir, Adquirir e Implementar (Build, Acquire and Implement, BAI) – Entregar, dar Servicio y Soporte (Deliver, Service and Support, DSS)

Página

– Supervisar, Evaluar y Valorar (Monitor, Evaluate and Assess, MEA)

5 En el contexto del dominio de gobierno, “supervisión” se refiere a aquellas actividades donde el órgano de gobierno comprueba hasta qué grado la orientación que ha sido establecida para la gestión es realmente aplicada. Cada dominio contiene un número de procesos. A pesar de que, según hemos descrito antes, la mayoría de los procesos requieren de actividades de “planificación”, “implementación”, “ejecución” y “supervisión”, bien en el propio proceso, o bien en la cuestión específica a resolver (como p. ej. calidad, seguridad), están situados en dominios de acuerdo con el área más relevante de actividad cuando se considera la TI a un nivel empresarial. El modelo de referencia de procesos de COBIT 5 es el sucesor del modelo de procesos de COBIT 4.1 e integra también los modelos de procesos de Risk IT y Val IT.

Página

La figura 16 muestra el conjunto completo de los 37 procesos de gobierno y gestión de COBIT 5. Los detalles de todos los procesos, de acuerdo con el modelo de proceso anteriormente descrito, están recogidos en la guía COBIT 5: Procesos Catalizadores.

ISO 27001 Es un estándar para la seguridad de la información ISO/IEC 27001 (Information technology Security techniques - Information security management systems - Requirements) fue aprobado y publicado como estándar internacional en octubre de 2005 por International Organization for Standardization y por la comisión International Electrotechnical Commission. Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) según el conocido “Ciclo de Deming”: PDCA - acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prácticas descritas en ISO/IEC 27002 anteriormente conocida como ISO/IEC 17799, con orígenes en la norma BS 7799-2:2002, desarrollada por la entidad de normalización británica, la British Standards Institution (BSI).

BENEFICIOS Puede aportar las siguientes ventajas a la organización: •

Demuestra la garantía independiente de los controles internos y cumple los requisitos de gestión corporativa y de continuidad de la actividad comercial.

•

Demuestra independientemente que se respetan las leyes y normativas que sean de aplicación.

Verifica independientemente que los riesgos de la organización estén correctamente identificados, evaluados y gestionados al tiempo que formaliza unos procesos, procedimientos y documentación de protección de la información.

•

Demuestra el compromiso de la cúpula directiva de su organización con la seguridad de la información.

•

El proceso de evaluaciones periódicas ayuda a supervisar continuamente el rendimiento y la mejora.

Nota: las organizaciones que simplemente cumplen la norma ISO/IEC 27001 o las recomendaciones de la norma del código profesional, ISO/IEC 27002 no logran estas ventajas.

Página

•

Proporciona una ventaja competitiva al cumplir los requisitos contractuales y demostrar a los clientes que la seguridad de su información es primordial.

IMPLANTACIÓN La implantación de ISO/IEC 27001 en una organización es un proyecto que suele tener una duración entre 6 y 12 meses, dependiendo del grado de madurez en seguridad de la información y el alcance, entendiendo por alcance el ámbito de la organización que va a estar sometido al Sistema de Gestión de la Seguridad de la Información (en adelante SGSI) elegido. En general, es recomendable la ayuda de consultores externos. Aquellas organizaciones que hayan adecuado previamente de forma rigurosa sus sistemas de información y sus procesos de trabajo a las exigencias de las normativas legales de protección de datos (p.ej., en España la conocida LOPD y sus normas de desarrollo, siendo el más importante el Real Decreto 1720/2007, de 21 de diciembre de desarrollo de la Ley Orgánica de Protección de Datos) o que hayan realizado un acercamiento progresivo a la seguridad de la información mediante la aplicación de las buenas prácticas de ISO/IEC 27002, partirán de una posición más ventajosa a la hora de implantar ISO/IEC 27001. El equipo de proyecto de implantación debe estar formado por representantes de todas las áreas de la organización que se vean afectadas por el SGSI, liderado por la dirección y asesorado por consultores externos especializados en seguridad informática generalmente Ingenieros o Ingenieros Técnicos en Informática, derecho de las nuevas tecnologías, protección de datos y sistemas de gestión de seguridad de la información (que hayan realizado un curso de implantador de SGSI).

CERTIFICACIÓN La certificación de un SGSI es un proceso mediante el cual una entidad de certificación externa, independiente y acreditada audita el sistema, determinando su conformidad con ISO/IEC 27001, su grado de implantación real y su eficacia y, en caso positivo, emite el correspondiente certificado. Antes de la publicación del estándar ISO 27001, las organizaciones interesadas eran certificadas según el estándar británico BS 7799-2. Desde finales de 2005, las organizaciones ya pueden obtener la certificación ISO/IEC 27001 en su primera certificación con éxito o mediante su recertificación trienal, puesto que la certificación BS 7799-2 ha quedado reemplazada.

Página

Disponibilidad de la información

Seguridad de la Información

(Que la información es fiable y exacta) y disponibilidad (asegurando que los usuarios autorizados tienen el acceso debido a la información). La información, como uno de los principales activos de las organizaciones, debe protegerse a través de la implantación, mantenimiento y mejora de las medidas de seguridad para que cualquier empresa logre sus objetivos de negocio, garantice el cumplimiento legal, de prestigio y de imagen de la compañía. ISO 27001. Sistema de Gestión de la Seguridad de la Información

Página

La norma/estándar UNE ISO/IEC 27001: 2007 del “Sistema de Gestión de la Seguridad de la Información” es la solución de mejora continua más adecuada para evaluar los riesgos físicos (incendios, inundaciones, sabotajes, vandalismos, accesos indebidos e indeseados) y lógicos (virus informáticos, ataques de intrusión o denegación de servicios) y establecer las estrategias y controles.

Página

El Sistema de Gestión de la Seguridad de la Información (SGSI) se fundamenta en la norma UNE-ISO/IEC 27001:2007, que sigue un enfoque basado en procesos que utilizan el ciclo de mejora continua o de Deming, que consiste en Panificar-Hacer-Verificar-Actuar,más conocido con el acrónimo en inglés PDCA (PlanDO-Check-Act) (similar a la más extendida y reconocida norma ISO 9001). Asimismo, tiene también su fundamento en la norma UNE– ISO/IEC 27002:2009, que recoge una lista de objetivos de control y controles necesarios para lograr los objetivos de seguridad de la información (ver figura 2). La piedra angular de este sistema SGSI-ISO 27001 es el análisis y gestión de los riesgos basados en los procesos de negocio/servicios de TI (por ejemplo, CRM, ERP, Business Inteligence, redes sociales, movilidad, cloud computing, servicios externalizados, Bring You Own Device, BYOD, etc.). El análisis y gestión de los riesgos basado en procesos de negocio/servicios de Tecnologías de Información es una herramienta muy útil para evaluar y controlar una organización con respecto a los riesgos de los sistemas de información. De esta forma los procesos de negocio/servicios de TI se fundamentan en los activos de las TIC que dan soporte a los procesos de negocio/servicios de TI. Esto exige un análisis y gestión de los riesgos de sistemas de información realista y orientada a los objetivos de la organización. Una vez que se evalúa el riesgo y se aplican los controles adecuados de la UNE ISO/IEC 27002:2009 o de otros estándares nos queda un riesgo residual que la dirección de la empresa a prueba, y que se revisará al menos una vez al año (ver figura

adecuados que aseguren una permanente protección y salvaguarda de la información.

Página

Modelo de gobierno y gestión para las TIC La norma ISO 27001 tiene relación con otras normas que conforman el modelo de gobierno y gestión de las TIC desarrollado por AENOR, basado en estándares aceptados mundialmente (ver figura 4). Se puede decir que, gracias a este modelo, el Centro de Proceso de Datos (CPD) y el resto de la organización comienzan hablar el mismo lenguaje y a interconectarse de manera más natural y eficiente. Este modelo propone dos certificaciones a máximo nivel: una para el gobierno corporativo de las TIC (según la norma ISO 38500) y otra para el Sistema de Continuidad de Negocio (UNE 71599-2 e ISO 22301) en las empresas. Dentro de la primera divide a su vez la gestión en dos áreas: los Sistemas de Gestión de los Servicios de TI (UNEISO/IEC 20000-1) y los Sistemas de Gestión de la Seguridad de la Información (UNEISO/IEC 27001). Con la implantación de los sistemas se logra gestionar la calidad y seguridad de los servicios de Tecnologías de Información y Comunicación, lo que trae consigo la minimización de los riesgos en la seguridad de la información y mejorar la seguridad de las TIC en el nivel del servicio de las mismas. La otra área de gestión es donde se agrupan las actividades de desarrollo de programas (software), dirigido a la calidad del proceso de ingeniería del software, con el modelo de evaluación, mejora y madurez del software (SPICE ISO 15504-ISO 12207).

3). Es de destacar que, como todo sistema de gestión, el SGSI-ISO 27001 tiene además del PDCA unos indicadores (objetivo de la métrica) y métricas para la medición de la eficacia y eficiencia de los controles, que aportan realismo día a día a la seguridad de los SI.

Este modelo significa un cambio cultural que impacta en el mundo empresarial y de las Administraciones Públicas en su relación con las TIC, que ha supuesto el primer paso hacia la consolidación y optimización de las TIC en nuestro país. Conclusiones

Página

El SGSI-ISO 27001 es un sistema activo, integrado en la organización, orientado a los objetivos empresariales y con una proyección de futuro. Es importante resaltar que cada vez que se incorpora una nueva herramienta o negocio de TIC a la empresa se debe actualizar el análisis de riesgos para poder mitigar de forma responsable los riesgos y, por supuesto, considerando la regla básica de Riesgo de TI vs. Control vs. Coste, es decir, minimizar los riesgos con medidas de control ajustadas y considerando los costes del control. Los certificados, por tercera parte independiente, respaldan el cumplimiento de las normas, como en el caso de la ISO 27001. En una economía cada vez más globalizada, en la que los productores españoles de bienes y servicios deben competir, los certificados de conformidad son pasaportes de calidad que abren mercados y una garantía de confianza entre empresas y consumidores de todo el mundo. En el momento actual, más de 350 organizaciones se han certificado con CALIDAD julio-septiembre 2012 AENOR en la ISO 27001-SGSI, lo que contribuye a fomentar las actividades de protección de la información en las entidades públicas o privadas, mejorando su seguridad de la información, su imagen y generando confianza frente a terceros. Otros factores intrínsecos al sistema son exponer su voluntad de cumplir con la legislación vigente y garantizar la continuidad del negocio. Nuestro país ocupa primeros puestos en la clasificación mundial por número de certificados: España es el segundo país de Europa y el sexto del mundo por número de certificados de Seguridad de la Información, con más de 710 reconocimientos, según el último informe de la Organización Internacional de Normalización (ISO). Este sistema está en plena actualidad y expansión siendo una espléndida herramienta para este siglo XXI, pues supone una salvaguarda continua para los sistemas de información y las nuevas tecnologías. Asimismo supone un referente para otros sistemas como son el Esquema Nacional de Seguridad, los procesos industriales —SCADA—, etc. Y dado que se trata de un sistema abierto siempre se podrá incorporar cualquier nueva tecnología que irrumpa en el mundo empresarial, por lo que su valor añadido de permanente actualización es un potencial muy a tener en cuenta y a valorar en un mundo tan dinámico y cambiante como lo es el de las TIC.

LISTA DE DOCUMENTACIÓN OBLIGATORIA REQUERIDA POR ISO/IEC 27001 (Revisión 2013) 1) ¿Qué documentos y registros son necesarios? La siguiente lista detalla la cantidad mínima de documentos y registros requeridos por la Revisión 2013 de la norma

Página

ISO/IEC 27001:

Pรกgina

*Se pueden excluir los controles del Anexo A si una organización determina que no existen riesgos ni otros requisitos que podrían demandar la implementación de un control. Esta no es, de ninguna forma, una lista definitiva de documentos y registros que se pueden utilizar durante la implementación de ISO 27001; la norma permite que se agregue cualquier otro documento que pueda mejorar el nivel de seguridad de la información. 2) Documentos no obligatorios de uso frecuente

Página

Los siguientes son otros documentos que se utilizan habitualmente:

La información tiene una importancia fundamental para el funcionamiento y quizá incluso sea decisiva para la supervivencia de la organización. El hecho de disponer de la certificación según ISO/IEC 27001 le ayuda a gestionar y proteger sus valiosos activos de información. ISO/IEC 27001 es la única norma internacional auditable que define los requisitos para un sistema de gestión de la seguridad de la información (SGSI). La norma se ha concebido para garantizar la selección de controles de seguridad adecuados y proporcionales. Ello ayuda a proteger los activos de información y otorga confianza a cualquiera de las partes interesadas, sobre todo a los clientes. La norma adopta un enfoque por procesos para establecer, implantar, operar, supervisar, revisar, mantener y mejorar un SGSI. ¿Para quién es significativo? ISO/IEC 27001 es una norma adecuada para cualquier organización, grande o pequeña, de cualquier sector o parte del mundo. La norma es particularmente interesante si la protección de la información es crítica, como en finanzas, sanidad sector público y tecnología de la información (TI). ISO/IEC 27001 también es muy eficaz para organizaciones que gestionan la información por encargo de otros, por ejemplo, empresas de subcontratación de TI. Puede utilizarse para garantizar a los clientes que su información está protegida

3) Cómo estructurar los documentos y registros más comunes Alcance del SGSI Este documento es, habitualmente, bastante corto y se redacta al inicio de la implementación de ISO 27001. En general, se trata de un documento independiente, aunque puede ser unificado con una política de seguridad de la información. Políticas y objetivos de seguridad de la información

Metodología e informes de evaluación y tratamiento de riesgos

Página

La política de seguridad de la información generalmente es un documento breve y de alto nivel que detalla el principal objetivo del SGSI. Los objetivos para el SGSI, en general, se presentan como un documento independiente, pero también pueden ser unificados en la política de seguridad de la información. Contrariamente a la revisión 2005 de ISO 27001, ya no se necesitan ambas políticas (Política del SGSI y Política de seguridad de la información); solo hace falta una política de seguridad de la información.

La metodología de evaluación y tratamiento del riesgo es, habitualmente, un documento de 4 a 5 páginas y debe ser redactado antes que se realice la evaluación y el tratamiento de riesgos. El informe de evaluación y tratamiento de riesgos debe ser redactado una vez que se realizó la evaluación y el tratamiento de riesgos, y allí se resumen todos los resultados. Declaración de aplicabilidad La Declaración de aplicabilidad (o DdA) se redacta en base a los resultados del tratamiento del riesgo; es un documento clave dentro del SGSI porque describe no sólo qué controles del Anexo A son aplicables, sino también cómo se implementarán y su estado actual. También debería considerar a la Declaración de aplicabilidad como un documento que describe el perfil de seguridad de su empresa. Plan de tratamiento del riesgo Este es, básicamente, un plan de acción sobre cómo implementar los diversos controles definidos por la DdA. Este documento se desarrolla en función de la Declaración de aplicabilidad y se utiliza y actualiza activamente a lo largo de toda la implementación del SGSI. A veces se puede fusionar con el Plan del proyecto. Funciones y responsabilidades de seguridad El mejor método es describir estas funciones y responsabilidades en todas las políticas y procedimientos de la forma más precisa posible. Evite expresiones como "debería hacerlo"; en cambio, utilice algo como "el Jefe de seguridad realizará xyz todos los lunes a las zxy horas". Algunas empresas prefieren detallar las funciones y responsabilidades de seguridad en sus descripciones del trabajo; sin embargo, esto puede generar mucho papelerío. Las funciones y responsabilidades de seguridad para terceros se definen a través de contratos. Inventario de activos Si no contaba con un inventario de este tipo antes del proyecto ISO 27001, la mejor forma de hacerlo es directamente a partir del resultado de la evaluación de riesgos ya que allí, de todos modos, se tienen que identificar todos los activos y sus propietarios; entonces, simplemente puede copiar el resultado desde ese instrumento.

Página

Habitualmente, este documento se confecciona bajo la forma de una política y puede cubrir un amplio rango de temas porque la norma no define muy bien este control. Probablemente, la mejor forma de encararlo es la siguiente: (1) déjelo para el final de la implementación de su

Uso aceptable de los activos

SGSI y (2) todas las áreas y controles que no haya cubierto con otros documentos y que involucran a todos los empleados, inclúyalos en esta política. Política de control de acceso En este documento usted puede cubrir sólo la parte comercial de la aprobación de acceso a determinada información y sistemas, o también puede incluir el aspecto técnico del control de acceso. Además, puede optar por definir reglas para acceso lógico únicamente o también para acceso físico. Debería redactar este documento solamente después de finalizado su proceso de evaluación y tratamiento de riesgos. Procedimientos operativos para gestión de TI Puede crear este procedimiento como un único documento o como una serie de políticas y procedimientos; si se trata de una empresa pequeña, debería tener menor cantidad de documentos. Normalmente, aquí puede abarcar todas las áreas de las secciones A.12 y A.13: gestión de cambios, servicios de terceros, copias de seguridad, seguridad de red, códigos maliciosos, eliminación y destrucción, transferencia de información, supervisión del sistema, etc. Este documento se debería redactar solamente una vez que finalice su proceso de evaluación y tratamiento de riesgos. Principios de ingeniería para sistema seguro Este es un nuevo control en ISO 27001:2013 y requiere que se documenten los principios de ingeniería de seguridad bajo la forma de un procedimiento o norma y que se defina cómo incorporar técnicas de seguridad en todas las capas de arquitectura: negocio, datos, aplicaciones y tecnología. Estos principios pueden incluir validación de datos de entrada, depuración, técnicas para autenticación, controles de sesión segura, etc. Política de seguridad para proveedores Este también es un control nuevo en ISO 27001:2013, y una política de este tipo puede abarcar un amplio rango de controles: cómo se realiza la selección de potenciales contratistas, cómo se ejecuta la evaluación de riesgos de un proveedor, qué cláusulas incluir en el contrato, cómo supervisar el cumplimiento de cláusulas contractuales de seguridad, cómo modificar el contrato, cómo cerrar el acceso una vez cancelado el contrato, etc.

Página

Este es un procedimiento importante que define cómo se informan, clasifican y manejan las debilidades, eventos e incidentes de seguridad. Este procedimiento también define cómo aprender de los incidentes de seguridad de la información para que se puedan evitar en el futuro. Un procedimiento de esta clase también puede invocar al plan de continuidad del negocio si un incidente ha ocasionado una interrupción prolongada.

Procedimiento para gestión de incidentes

Procedimientos de la continuidad del negocio Generalmente se trata de planes de continuidad del negocio, planes de respuesta ante incidentes, planes de recuperación para el sector comercial de la organización y planes de recuperación ante desastres (planes de recuperación para infraestructura de TI). Estos procedimientos se describen con mayor detalle en la norma ISO 22301, la principal norma internacional para continuidad del negocio. Requisitos legales, normativos y contractuales Este listado debe confeccionarse en la etapa más temprana posible del proyecto porque muchos documentos tendrán que ser desarrollados de acuerdo a estos datos. Este listado debe incluir no sólo las responsabilidades para el cumplimiento de determinados requerimientos, sino también los plazos. Registros de capacitación, habilidades, experiencia y calificaciones Es el departamento de recursos humanos el que generalmente se encarga de llevar estos registros. Si usted no tiene un sector de este tipo, cualquier persona que habitualmente se encargue de los registros de los empleados debería ser quien realice este trabajo. Básicamente, sería suficiente una carpeta en la que se encuentren todos los documentos.

Resultados de supervisión y medición La forma más sencilla de describir cómo se miden los controles es a través de políticas y procedimientos que definan a cada control. En general, esta descripción puede ser realizada al final de cada documento, y cada descripción tiene que definir los tipos de ICD (indicadores clave de desempeño) que es necesario medir para cada control o grupo de controles. Una vez que se estableció este método de control, usted debe realizar la medición en función de dicho método. Es importante reportar los resultados de esta medición en forma regular a las personas que están a cargo su evaluación.

Resultados de las auditorías internas

Página

El programa de auditoría interna no es más que un plan anual para realizar las auditorías; para las empresas más pequeñas, puede tratarse solamente de una auditoría, mientras que para las organizaciones más grandes puede ser una serie de, por ejemplo, 20 auditorías internas. Este programa debe definir quién realizará las auditorías, los métodos que se utilizarán, los criterios que se aplicarán, etc.

Programa de auditoría interna

Un auditor interno debe generar un informe de auditoría, que incluye los resultados de la auditoría (observaciones y medidas correctivas). Este informe debe ser confeccionado dentro de un par de días luego de realizada la auditoría interna. En algunos casos, el auditor interno tendrá que verificar si todas las medidas correctivas se aplicaron según lo esperado. Resultados de la revisión por parte de la dirección Estos registros se presentan, normalmente, bajo la forma de actas de reunión y deben incluir todo el material tratado durante la reunión de la dirección, como también todas las decisiones que se tomaron. Estas actas pueden ser en papel o en formato digital. Resultados de acciones correctivas Generalmente, estos son incluidos en los formularios para medidas correctivas (FMC). Sin embargo, es mucho mejor agregar estos registros en alguna aplicación que ya esté en uso en la organización; por ejemplo, la Mesa de ayuda, porque las medidas correctivas no son más que listas de actividades a realizar con responsabilidades, tareas y plazos bien definidos. Registros sobre actividades de los usuarios, excepciones y eventos de seguridad Habitualmente se llevan de dos formas: (1) en formato digital, generados en forma automática o semiautomática como registros de diversas TI y de otros sistemas, y (2) en papel, donde cada registro se hace manualmente. Procedimiento para control de documentos En general, este es un procedimiento independiente, de 2 o 3 páginas de extensión. Si usted ya implementó alguna otra norma como ISO 9001, ISO 14001, ISO 22301 o similar, puede utilizar el mismo procedimiento para todos estos sistemas de gestión. A veces es mejor redactar este procedimiento como el primer documento de un proyecto. Controles para gestión de registros La forma más sencilla es redactar el control de registros en cada política o procedimiento (u otro documento) que requiera la generación de un registro. Estos controles, normalmente son incluidos hacia el final de cada documento y se confeccionan bajo el formato de una tabla que detalla dónde se archiva el registro, quién tiene acceso, cómo se protege, por cuánto tiempo se archiva, etc.

Página

Habitualmente este es un procedimiento independiente que puede tener entre 2 y 3 páginas y que tiene que ser redactado antes que comience la auditoría interna. En cuanto al procedimiento para control de documentos, un procedimiento para auditoría interna puede ser utilizado para cualquier sistema de gestión.

Procedimiento para auditoría interna

Procedimiento para medidas correctivas

Página

Este procedimiento no debería exceder las 2 o 3 páginas y puede ser confeccionado al final del proyecto de implementación, aunque es mejor hacerlo antes para que los empleados puedan familiarizarse con él.

Pรกgina

ORGANIZACIÓN E INFRAESTRUCTURA INFORMÁTICA

ESTÁNDARES INTERNACIONALES DE AUDITORÍAS DE SISTEMAS La tecnología ha sido percibida en la actualidad en forma global como disparador de cambios permanentes del ambiente de negocios. Sin embargo, existe una idea primordial que aparece inmóvil contra esta fuerza tecnológica que implica que las organizaciones que sobreviven, son aquellas que entregan más valor verdadero a sus clientes La función de auditoría continúa proporcionando servicios de aseguramiento tanto a clientes internos como externos. Dado que la tecnología impacta la forma de hacer negocios, deben haber formas efectivas y sencillas para llevar a cabo la evaluación de los controles que deben existir para garantizar dicho servicio. Bajo la premisa anterior, existe un gran interés en el medio por identificar los estándares internacionales que son utilizados comúnmente por empresas tanto públicas como privadas. ¿Cuáles son los estándares que ofrece la industria? En ambos sectores, se hacen uso de una serie de estándares que guían el desarrollo de proyectos de TI, entre ellos se pueden mencionar: Directrices Gerenciales de COBIT, desarrollado por la Information Systems Audit and Control Association (ISACA) The Management of the Control of data Information Technology. Administración de la inversión de tecnología de Inversión: un marco para la evaluación y mejora del proceso de madurez, Los estándares de administración de calidad y aseguramiento de calidad ISO 9000, desarrollados por la Organización Internacional de Estándares. El Modelo de Evolución de Capacidades de software, desarrollado por el Instituto de Ingeniería de Software.

Ingeniería de seguridad de sistemas.

Página

Guía para el cuerpo de conocimientos de administración de proyectos, desarrollado por el comité de estándares del instituto de administración de proyectos.

Administración de sistemas de información: Una herramienta de evaluación práctica, desarrollado por la Directiva de Recursos de Tecnología de Información.

Alcance de los Estándares. Directrices Gerenciales de COBIT, desarrollado por la Control Association

Information Systems Audit and

Las Directrices Gerenciales son un marco internacional de referencias que abordan las mejores prácticas de auditoría y control de sistemas de información. Permiten que la gerencia incluya, comprenda y administre los riesgos relacionados con la tecnología de información y establezca el enlace entre los procesos de administración, aspectos técnicos, la necesidad de controles y los riesgos asociados. The Management of the Control of data Information Technology, Este modelo está basado en el concepto de roles y establece responsabilidades relacionadas con seguridad y los controles correspondientes. Dichos roles están clasificados con base en seis grupos: administración general, gerentes de sistemas, dueños, usuarios de sistemas de información, así como proveedores de servicios, desarrollo y operaciones de servicios y soporte de sistemas. Además, hace distinción entre los conceptos de autoridad, responsabilidad y respecto a control y riesgo previo al establecimiento del control, en términos de objetivos, estándares y técnicas mínimas a considerar. Administración de la inversión de tecnología de Inversión: un marco para la evaluación y mejora. La colección ISO 9000 es un conjunto de estándares y directrices que apoyan a las organizaciones a implementar sistemas de calidad efectivos, para el tipo de trabajo que ellos realizan. Modelo de Evolución de Capacidades de software desarrollado por el Instituto de Ingeniería de Software. Este modelo hace posible evaluar las capacidades o habilidades para ejecutar, de una organización, con respecto al desarrollo y mantenimiento de sistemas de información. Consiste en 18 sectores clave, agrupados alrededor de cinco niveles de madurez. Se puede considerar que es la base de los principios de evaluación recomendados por COBIT, así como para algunos de los procesos de administración de COBIT.

Página

Este es una herramienta de evaluación que permite a entidades gubernamentales, comprender la implementación estratégica de tecnología de información y comunicación electrónica que puede apoyar su misión e incrementar sus productos y servicios.

Administración de sistemas de información: Una herramienta de evaluación práctica, desarrollado por la Directiva de Recursos de Tecnología de Información.

Guía para el cuerpo de conocimientos de administración de proyectos, desarrollado por el comité de estándares del instituto de administración de proyectos: Esta guía está enfocada en las mejores prácticas sobre administración de proyectos. Se refiere a aspectos sobre los diferentes elementos necesarios para una administración exitosa de proyectos de cualquier naturaleza. En forma precisa, este documento identifica y describe las prácticas generalmente aceptadas de administración de proyectos que pueden ser implementadas en las organizaciones. Ingeniería de seguridad de sistemas Este modelo describe las características esenciales de una arquitectura de seguridad organizacional para tecnología de información y comunicación electrónica, de acuerdo con las prácticas generalmente aceptadas observadas en las organizaciones. Tendencias de los estándares y de las mejores prácticas. Es importante considerar la forma en que los estándares y las mejores prácticas van evolucionando, además de conocer qué tanto ha cambiado su uso por parte de las organizaciones. Se ha visto que existen procesos de evolución como a continuación se menciona: •

Evolución en los estándares.

•

Evolución de estándares de administración de proyectos y de desarrollo de software comercial

De igual manera se han visto tendencias en el uso de estándares y mejores prácticas en el sector gubernamental, los cuáles se dan en función de las nuevas legislaciones, además de los requerimientos de proyectos como los que se gestaron durante la década pasada. Estándares de Red (IEEE) El Comité 802, o proyecto 802, del Instituto de Ingenieros en Eléctrica y Electrónica (IEEE) definió los estándares de redes de área local (LAN). La mayoría de los estándares fueron establecidos por el Comité en los 80´s cuando apenas comenzaban a surgir las redes entre computadoras personales.

Página

802.1 Definición Internacional de Redes. Define la relación entre los estándares 802 del IEEE. Por ejemplo, este Comité definió direcciones para estaciones LAN de 48 bits para todos los estándares 802, de modo que cada adaptador puede tener una dirección única. Los vendedores

Muchos de los siguientes estándares son también Estándares ISO 8802. Por ejemplo, el estándar 802.3 del IEEE es el estándar ISO 8802.3.

de tarjetas de interface de red están registrados y los tres primeros bytes de la dirección son asignados por el IEEE. Cada vendedor es entonces responsable de crear una dirección única para cada uno de sus productos.

TECNOLOGÍA, ESTRATEGÍA Y COMPETITIVIDAD QUÉ ES LA TECNOLOGÍA La Tecnología se define como el conjunto de conocimientos y técnicas que, aplicados de forma lógica y ordenada, permiten al ser humano modificar su entorno material o virtual para satisfacer sus necesidades, esto es, un proceso combinado de pensamiento y acción con la finalidad de crear soluciones útiles. QUE ES UNA ESTRATEGIA Una Estrategia es un conjunto de acciones planificadas sistemáticamente en el tiempo que se llevan a cabo para lograr un determinado fin o misión.

Página

Se define como la capacidad de generar la mayor satisfacción de los consumidores fijado un precio o la capacidad de poder ofrecer un menor precio fijada una cierta calidad, es decir, la optimización de la satisfacción o el precio fijados algunos factores.

QUE ES COMPETITIVIDAD

DEFINICIONES

Pรกgina

PRINCIPALES OBJETIVOS

TIPOS DE TECNOLOGÍA

Página

CICLO DE VIDA DE LA TECNOLOGÍA

TRANSFERENCIA TECNOLÓGICA Identificación, selección, adquisición, adopción y asimilación de las tecnologías, que le permite a las empresas competir mejor en los actuales mercados. ELEMENTOS A CONSIDERAR

1 2 3 4

• Identificación de las necesidades tecnológicas con sus características y dimensiones claramente definidas. • Evaluación de alternativas tecnológicas para seleccionar las más adecuadas para las necesidades de la empresa. • Negociación de contratos de transferencia y asimilación de la tecnología. • Definición de la estrategia para la adaptación de la tecnología a las condiciones propias de la empresa receptora.

Página

TIPOS DE TRANSFERENCIA

DIFICULTADES MÁS USUALES

NEGOCIACIÓN TECNOLÓGICA Implica aprender, desarrollar, asumir y poner en práctica una serie de habilidades, técnicas y capacidades de imprescindible cumplimiento.

Página

FACTORES IMPORTANTES EN UNA NEGOCIACIÓN

PROCESO DE LA GESTIÓN TECNOLÓGICA Es un sistema de conocimientos y prácticas relacionados con los procesos de creación, desarrollo, transferencia y uso de la tecnología. También para algunos autores se concibe este sistema como "una colección de métodos sistemáticos para la gestión de procesos de aplicación de conocimientos, extender el rango de actividades humanas y producir bienes y servicios“. Evaluación de la competitividad y del potencial tecnológico propio Esta función constituye el primer paso para que la empresa pueda afrontar nuevas estrategias de desarrollo y se basa en analizar su capacidad para movilizar sus recursos tecnológicos hacia las necesidades del mercado teniendo en cuenta a sus principales competidores. El diseño de la estrategia tecnológica a seguir por la empresa debe partir de la identificación de las tecnologías críticas o clave que domina y en la solidez de este dominio. Su herramienta principal la Auditoria tecnológica Se debe tener en cuenta: El grado de riesgo implícito, que varía desde la aplicación o mejora de tecnologías existentes hasta el desarrollo de otras completamente nuevas. La intensidad en el esfuerzo tecnológico, que puede variar desde una investigación exploratoria hasta la completa aplicación industrial. La distribución del presupuesto destinado a la tecnología entre las diversas opciones tecnológicas elegidas. La elección de la posición competitiva para cada tecnología (líder, seguidor, búsqueda de nichos de mercado, etcétera). Herramientas de Especificación y Diseño de la estrategia tecnológica

Página

Modelo de las cinco fuerzas.

Análisis DOFA.

Incremento o enriquecimiento del patrimonio tecnológico propio Consiste en una especialización en el esfuerzo de desarrollar tecnología internamente y, al mismo tiempo, aprovechar la capacidad investigadora de centros externos centros tecnológicos, departamentos universitarios, otras empresas, etc. Herramientas de Incremento o enriquecimiento del patrimonio tecnológico propio

Alianzas tecnológicas. Adquisición de tecnología.

Vigilancia del entorno

Protección de las innovaciones

Página

La vigilancia tecnológica constituye una función de apoyo al proceso de gestión de la tecnología, aunque no por ello sea menos crítica que las funciones denominadas básicas. La finalidad, desde esta perspectiva, es doble: por un lado, debe permitir detectar los cambios tecnológicos, el comportamiento de los competidores y otras señales que sean indicadoras de oportunidades y amenazas, de forma que ayuden a la empresa a evaluar su propia competitividad; por otro lado, debe ser capaz de identificar aquellos contactos externos que puedan proporcionar tecnologías críticas a la empresa con la finalidad de enriquecer su patrimonio tecnológico.

SEGURIDAD INFORMÁTICA Técnicas desarrolladas para proteger los equipos informáticos individuales y conectados en una red frente a daños accidentales o intencionados. Estos daños incluyen el mal funcionamiento del hardware, la pérdida física de datos y el acceso a bases de datos por personas no autorizadas ATAQUES A LOS SISTEMAS En una comunicación hay un flujo de información desde una fuente hacia un destino remoto, que está expuesta a cuatro categorías de ataque, como:  Interrupción  Interceptación

Página

 Generación

 Modificación

FLUJO NORMAL

INTERRUPCION

INTERCEPTACION

MODIFICACION

GENERACION

ATAQUES DE INTERRUPCIÓN

 Se daña, pierde o deja de funcionar un punto del sistema  Su detección es inmediata

Destrucción del disco duro



Borrado de programas o datos

Página



Ejemplos:



Corte de una línea de Comunicación

ATAQUE DE INTERCEPTACION

 Acceso a la información por parte de personas no autorizadas. Uso de privilegios no adquiridos  Su detección es difícil, a veces no deja huellas Ejemplos:  Copias ilícitas de programas  Escucha en línea de datos

beneficio Su detección es

Página

 Acceso no autorizado que cambia la información para su difícil según las circunstancias

ATAQUES DE MODIFICACION

Ejemplos: 

Modificación de bases de datos



Modificación de mensajes transmitidos en una red

ATAQUES DE GENERACIÓN

 Creación de nuevos objetos dentro del sistema 

Su detección es difícil: delitos de falsificación

Ejemplos: 

Introducción de mensajes falsos en una red



Añadir registros en base de datos

OTROS ATAQUES Y DELITOS INFORMÁTICOS Son acciones que vulneran la confidencialidad, integridad y disponibilidad de la información.

Página

Estos son:

Fraude Acto deliberado de manipulación de datos perjudicando a una persona natural o jurídica que sufre de esta forma una pérdida económica. El autor del delito logra de esta forma un beneficio normalmente económico Sabotaje

Página

Acción con la que se desea perjudicar a una empresa entorpeciendo deliberadamente su marcha, averiando sus equipos, herramientas, programas, entre otros. El autor no logra normalmente con ello beneficios económicos pero perjudica a la organización

Chantaje Acción que consiste en exigir una cantidad de dinero a cambio de no dar a conocer información privilegiada o confidencial y que puede afectar gravemente a la empresa, por lo general a su imagen corporativa Mascarada Utilización de una clave por una persona no autorizada y que accede al sistema suplantando una identidad. De esta forma el intruso se hace dueño de la información, documentación y datos de otros usuarios con los que puede, por ejemplo, chantajear a la organización Virus Código diseñado para introducirse en un programa, modificar o destruir datos. Se copia automáticamente a otros programas para seguir su ciclo de vida. Es común que se expanda a través de plantillas, las macros de aplicaciones y archivos ejecutables Gusanos Virus que se activa y transmite a través de la red. Tiene como finalidad su multiplicación hasta agotar el espacio en disco o RAM. Suele ser uno de los ataques más dañinos porque normalmente produce un colapso en la red como ya estamos acostumbrados Caballos de Troya Virus que entra al ordenador y posteriormente actúa de forma similar a este hecho de la mitología griega. Así, parece ser una cosa o programa inofensivo cuando en realidad está haciendo otra y expandiéndose. Puede ser muy peligroso cuando es un programador de la propia empresa quien lo instala en un programa Spam

Página

El spam o correo no deseado, si bien no lo podemos considerar como un ataque propiamente dicho, lo cierto es que provoca hoy en día pérdidas muy importantes en empresas y muchos dolores de cabeza

AGRESOR

Pรกgina

ATRIBUTOS DE LA SEGURIDAD

EJEMPLO DE CORREOS NO DESEADOS

Pรกgina

EJEMPLO POLITICAS DE SEGURIDAD

TECNOLOGÍA OBSOLETA ¿Qué es tecnología obsoleta? Una tecnología obsoleta es cualquier tecnología que ya no se emplea o ha sido reemplazada por otra tecnología. También podemos definir la tecnología obsoleta como simplemente la tecnología que ha sido superada completamente por otra más reciente. Razones por las cuales una tecnología puede pasar a la obsolescencia:  Mal desempeño comparado a las nuevas tecnologías.  Dificultad al encontrar los repuestos adecuados.  Nuevas tecnologías que reemplazan la antigua.  Dos o más tecnologías salidas en una época determinada y que compiten entre sí, pero donde una termina superando a las otras.

Página

El principal problema con la tecnología obsoleta está en la basura y contaminación que la acumulación de estas pueden producir una serie de enfermedades.

Algunos Problemas con la Tecnología Obsoleta.

Pรกgina

Algunas Enfermedades que provocan los Desechos Tecnológicos:  Abortos 

Inflamación de la piel



Cáncer de pulmón



Ataques de tos



Diarrea



Fracturas de hueso



Daño al sistema nervioso central



Desarrollo del cáncer



Disminución de la fertilidad del hombre



Daño a los riñones

Los desechos tecnológicos son responsabilidad social de las empresas, estas deben destinar un monto específico de sus ganancias para contribuir con el medio ambiente, ya que para que se puedan producir bienes o servicios se necesitan gasto de energía y de otros recursos que pueden escasear en el ecosistema. A la vez las empresas que directamente producen aparatos tecnológicos, son lo que más deben de realizar aportaciones económicas para ayudar a realizar campañas para el reciclaje, Sin embargo son todas las industrias las que deben ejecutar una responsabilidad social con el medio ambiente pero todavía las empresas les falta más consciencia para lograr esto. El problema de la contaminación por los desechos tecnológicos es fundamentalmente la falta de conocimientos y el manejo inadecuado que los seres humanos han tenido con los aparatos tecnológicos, pues carecen de falta de pertenencias con su entorno, están en un mundo que solo interesa el desarrollo de nuevas innovaciones, pero quien no se preocupa por la calidad de vida que pueda tener a largo plazo si se sigue creciendo los problemas en el medio ambiente.

Dell



Movistar



Intel

Página



Algunas Empresas que se Dedican al Reciclaje de la Tecnología Obsoleta.



LGE

 Nokia 

Samsung



Sony

No existe en el país un cálculo exacto de cuántas toneladas de basura tecnológica se acumulan cada año. El único estudio que existe es un “Diagnóstico de la situación actual de los residuos electrónicos en El Salvador” realizado por la Asociación Centroamericana para la Economía, la Salud y el Ambiente (ACEPESA), donde se calculó que para finales de 2010 habría un aproximado de 5 mil 506 toneladas de desechos electrónicos en el país. Algunas empresas están intentando reducir o eliminar algunos de los químicos más peligrosos de los equipos, y también esperan suprimir el PVC (poli cloruro de vinilo) y los retardantes de flama bromados. Con esta acción, los nuevos equipos se difunden como equipos ecológicos. Posibles soluciones a los Desechos Tecnológicos.  Incorporar el consumo responsable que incluya el reciclado de los equipos electrónicos.  Reducir la generación de desechos electrónicos a través de la compra responsable y el buen mantenimiento.  Donar o vender los equipos electrónicos que todavía funcionen.  Donar equipos rotos o viejos a organizaciones que los reparan y reutilizan con fines sociales.  Reciclar los componentes que no puedan repararse.

En algunos países se piensa en todo el ciclo de vida de un producto.



Promover la reducción de sustancias peligrosas que se usan en ciertos productos electrónicos que se venden en cada país.

Página



VENTAJAS DE DIRIGIR TI COMO SI SE TRATASE DE UNA EMPRESA

Entre reducir los presupuestos y aumentar el ritmo al que marcha la empresa, el objetivo de hacer más con menos es una realidad en las organizaciones de TI. No obstante, el objetivo de TI de Intel no es reducir el presupuesto de TI sino obtener el máximo valor empresarial de la innovación e inversión de TI. Al lograr este objetivo, se abren nuevas formas de pensamiento sobre el objetivo y el futuro de TI. Estamos desarrollando activamente nuestro papel hasta el punto en que los líderes empresariales de Intel son más dependientes que nunca en lo que respecta a TI. Eso es lo que sucede cuando una organización de TI dirige las tecnologías de la información como una empresa para la empresa. En vez de caer en la trampa de optimizar TI solo para obtener resultados de TI, utilizamos la planificación estratégica, una métrica del rendimiento bien definida y un decidido control de TI para reducir riesgos y mantener sus compromisos.

LAS MEJORES PRÁCTICAS DE SEGURIDAD EMPRESARIAL TI de Intel utiliza innovadoras técnicas de modelado de amenazas, análisis de riesgo y formación para gestionar de forma eficaz los riesgos en nuestra empresa. Nuestro objetivo es permitir una rápida adopción de las nuevas tecnologías y modelos de uso como la nube, la tecnología orientada al consumidor de TI y los medios sociales, al tiempo que facilita seguridad en un entorno en desarrollo. Para ello, TI de Intel se ha embarcado en un radical rediseño de cinco años de la arquitectura de seguridad de información de Intel. Planificación estratégica: Optimizamos el valor de las inversiones de TI El objetivo de TI de Intel es generar inversión y optimizar nuestro presupuesto para crear el máximo valor empresarial de cada dólar de TI gastado. Realizamos un riguroso y periódico proceso de planificación estratégico para identificar las tendencias de la industria, adaptar el calendario de planificación de TI con nuestra planificación empresarial y evaluar cómo el control y las inversiones de TI se adecúan a los objetivos empresariales a largo plazo. En breve, gestionaremos TI como una empresa para la empresa.

Página

Las iniciativas de TI comportan un tremendo valor económico además de ser buenas para el medio ambiente. Programas como la actualización de los servidores, la actualización de los ordenadores, la videoconferencia y la impresión ecológica permiten a Intel ahorrar millones en costes al tiempo que se reduce significativamente el consumo energético.

Sostenibilidad de TI: Menos gasto, más valor empresarial

Aspectos destacados de TI de Intel: La seguridad se vuelve una cuestión personal en la empresa Con salvaguardas en marcha para proteger los datos y la propiedad intelectual, Intel está permitiendo a sus empleados seleccionar las herramientas necesarias que mejor se adapten a su estilo de trabajo personal y faciliten sus obligaciones laborales. Aspectos destacados de TI de Intel: Apostamos por las estrategias sociales El Director de Seguridad de la Información de Intel, Malcolm Harkins, sugiere que apostemos por los medios sociales y la informática social para reducir los riesgos.

Página

Cada año Intel presenta en su Informe Anual de Desempeño, el cual muestra datos relevantes sobre el ambiente de los negocios en constante cambio de Intel, destacando el valor que aporta TI. 2012 fue un año de transformación, donde la compañía buscó nuevas oportunidades en diferentes líneas de negocios, las cuales crean demandas urgentes y específicas de TI, desde la fabricación y la cadena de suministro hasta las ventas y la comercialización.

Intel ha marcado cambios importantes de la industria de la PC, reinventándola a través de la creación de Ultrabook, además de ser parte de una nueva categoría del negocio a través de la inclusión de sus procesadores en teléfonos inteligentes y tabletas.Con la globalización, la extensión virtual se hizo necesaria, además el incremento exponencial de los datos en la última década está representando una preocupación para los expertos por la falta de espacio. En ese escenario, Intel trae nuevas plataformas diseñadas para el mercado de negocios, con soluciones creadas para fortalecer el crecimiento de las empresas.

El equipo de TI de Intel está ofreciendo soluciones de tecnología y sistemas de participación comprometida para todos los negocios de Intel. Hoy más que nunca TI está preparado para aprovechar la ventaja competitiva de la compañía logrando resultados que satisfagan las necesidades cambiantes y específicas del negocio de Intel. El objetivo del área es hacer crecer el negocio de Intel a través de la tecnología de la información, tal y como sucedió en 2012, y para este 2013 sigue la tendencia. El último año fue de transformación para la empresa. El equipo de TI de Intel ayudó a allanar el camino para el desarrollo de nuevas líneas de negocios, además su uso fue expandido por parte de Intel en el cómputo social, además de aplicar un nuevo conocimiento en el análisis predictivo de Big Data. Cada año el equipo de TI se esfuerza por ofrecer soluciones innovadoras y audaces. La capacidad de evolucionar rápidamente para hacer frente a nuevos desafíos ayuda a mejorar la competitividad de Intel y a acelerar el lanzamiento de los productos al mercado. Además 2013, es un año en el que Intel va a continuar innovando e invirtiendo en cinco iniciativas clave:

Cómputo en la nube - Para acompañar la creciente velocidad de los negocios en el mundo, Intel planea expandir el uso de las nubes públicas y privadas. Esta expansión permitirá brindar servicios para negocios de reciente desarrollo en minutos. •

Cómputo social – Intel aumentará la capacidad de colaboración, permitiendo a los empleados compartir información de forma interna y externa por todo el mundo.

•

Aplicaciones móviles – Intel aumentará la productividad de los empleados proporcionándoles nuevas formas de acceder a los servicios y tecnologías desde cualquier lugar, en todo momento, así como en una amplia variedad de dispositivos.

•

Big Data y el análisis predictivo - Para obtener nuevos conocimientos que hagan avanzar el negocio, Intel utilizará lo mejor de toda la información que tenemos hoy día.

•

Seguridad empresarial - Además de proteger los activos críticos de Intel, se utilizará un amplio rango de modelos de dispositivos y de entrega de aplicaciones.

Página

El análisis y realización de búsquedas con Big Data ofrece formas más profundas de interpretar los patrones de negocios, contribuyendo a aumentar la eficiencia operativa en fabricación, venta, comercialización, diseño de productos y seguridad de la información.

100

El poder del Big Data

Intel está invirtiendo en análisis avanzado, en infraestructura eficiente para Big Data y en capacidades de inteligencia empresarial (BI) de autoservicio para solucionar problemas de negocios de gran valor y para obtener información de utilidad práctica en tiempo casi real. Estas inversiones en infraestructura permitirán procesar rápidamente grandes volúmenes de datos complejos para obtener proyecciones de forma más rápida. Para eso Intel lanzó una nueva plataforma que combina terminal de almacén de datos de terceros con elsoftware Hadoop de Apache, una solución de código abierto. La Distribución de Intel® para el software Hadoop de Apache es desarrollado desde el silicio para brindar un desempeño y seguridad líder de la industria, con el objetivo de ofrecer un mejor acceso y utilización de Big Data. Intel tiene el compromiso de fortalecer la infraestructura contribuyendo a mejorar la plataforma de código abierto en colaboración con la comunidad de desarrolladores. Además Intel está identificando nuevos casos de uso para obtener más valor de Big Data y de BI. Intel tiene un portal de colaboración de BI de operaciones de ventas, el cual simplifica las búsquedas de datos realizando consultas en lenguaje natural, obteniendo resultados en segundos. Anteriormente, este proceso llevaba semanas. Este portal de autoservicio centraliza la búsqueda, creación, y la forma de compartir el contenido de BI relacionado con ingresos y demanda. El portal ahorra 80% de las necesidades del equipo de operaciones de ventas.

Crecimiento empresarial El negocio de Intel cambia a un ritmo vertiginoso, diversificándose en nuevos mercados, ofertas de servicios y productos. El equipo de TI de Intel se asoció con los grupos de negocios para desarrollar herramientas innovadoras, servicios y el soporte que responda a los requisitos técnicos para lograr el éxito en estas nuevas áreas, que va desde aumentar la productividad y el conocimiento a lo largo del canal de ventas hasta dar soporte al lanzamiento de nuevos productos, aquí TI de Intel juega un papel clave en la agilización del crecimiento de la compañía.

Página

Los teléfonos inteligentes también son un mercado que cambia rápidamente y que requiere la rápida distribución de componentes para mantener el ritmo de los cambios tecnológicos y la adición de nuevas capacidades. Para satisfacer las necesidades del mercado, Intel instrumentó un nuevo modelo escalable de arquitectura y logística junto a su equipo de TI.

101

El equipo TI de Intel también tiene un papel vital en el diseño de los primeros dispositivos Ultrabook empresariales. Los primeros dispositivos Ultrabook fueron diseñados para el mercado de consumo, pero el diseño portátil y delgado los hizo atractivos para el sector empresarial. Intel llevó a ese segmento los primeros diseños de Ultrabook empresarial, con un diseño más robusto para satisfacer el ambiente corporativo.

Impulsando el desarrollo empresarial por medio de la nube La tecnología del cómputo en nube ofrece muchas ventajas, tanto para las empresas, cómo para el medio ambiente. Consecuencia de esta adopción resultan Data Centers de mayor dimensión y más modernos, con mejor desempeño de servidores que además ayudan a reducir el consumo de energía hasta este momento utilizado, así como los costos de operación asociados a un Data Center. La adopción de Cloud Computing está creciendo y dando resultados de eficiencia y agilidad. Considerando ese crecimiento, Intel lanzó la nueva familia de procesadores Intel Xeon E52600, la cual aumenta el rendimiento en un 80% en comparación con la generación anterior. Estos nuevos procesadores ofrecen un desempeño líder –el mejor desempeño por Watt para Data Center– hardware de E/S y características innovadoras para permitir el crecimiento seguro y fiable de TI para una región y un mundo competitivo-. Además de esta solución, Intel también dio a conocer la 3ª generación Intel® Core™ vPro™, la plataforma de procesador que utiliza la próxima generación de procesadores de Intel está basada en el proceso de fabricación de 22 nm de Intel con la innovadora tecnología 3-D transistor tri-gate. Esta plataforma proporciona tanto al usuario de negocios y de TI lo que más desean: la seguridad se combina con factores de forma emocionante, fácil automatización y los nuevos modelos de computación que son a la vez más flexibles y seguros. La plataforma basada en el procesador Intel Core vPro suministra las realidades de los ambientes empresariales de hoy, donde la integración de datos y la eficiencia organizacional crean una ventaja competitiva. Las empresas pueden obtener ventajas de la última plataforma de procesador Intel Core vPro a través de innumerables dispositivos, incluyendo dispositivos Ultrabook™, Laptop, Desktop, Workstation y PC All-in-One. La 3ª Generación de procesadores Intel Core vPro continúa mejorando las experiencias de cómputo en todas las áreas, incluyendo en el uso de inteligencia de negocios y de grandes datos. La 3ª Generación de procesadores Intel Core vPro coloca el mejor desempeño en las manos de trabajadores más informados, dándoles la capacidad de acceder y acumular ideas de todas las informaciones almacenadas en sus bancos de datos, justamente en sus PCs.

Un nivel adicional de seguridad basada en hardware Para proteger su identidad y los datos empresariales almacenados en la nube es necesario contar con una autenticación segura basada, en condiciones ideales, en el hardware. Según los

Página

AUTORIZADO

102

FORTALEZCA EL NIVEL DE SEGURIDAD Y EVITE EL ACCESO NO

especialistas en seguridad, este tipo de autenticación es más eficaz que la autenticación de solo software. Algunas PC y otros dispositivos vienen con la autenticación de factor doble inviolable integrada en los nuevos procesadores Intel® Core™ vPro™. La tecnología Intel® de protección de la identidad 1 contribuye a evitar el acceso no autorizado a sus cuentas importantes de carácter personal y empresarial, al tiempo que reduce el costo de las soluciones tradicionales de hardware. Por otra parte, permite a los sitos web y las empresas validar de manera sencilla que un usuario se conecta desde una PC confiable. La tecnología Intel de protección de la identidad resguarda los puntos de acceso a sitios web y la red, ya que ofrece a las empresas varias alternativas para validar que un usuario legítimo, y no un programa malicioso, se conecte desde una plataforma confiable. Una opción utiliza una contraseña de uso único (OTP), es decir, un código exclusivo de seis dígitos de uso único que se genera cada 30 segundos en un procesador integrado. Esta solución resistente a manipulaciones indebidas funciona de forma independiente del sistema operativo.1 Por otra parte, como la credencial está protegida en el chipset, no puede ser alterada por software malicioso ni extraída de la PC. Tecnología Intel de protección de la identidad con infraestructura de clave pública (PKI) Asimismo, para resguardar los puntos de acceso, la tecnología Intel de protección de la identidad utiliza la infraestructura de clave pública (PKI). Las empresas que ya utilizan PKI para proteger sus puntos de acceso pueden beneficiarse mucho más gracias a la tecnología Intel de protección de la identidad con PKI. Esta tecnología incorpora un certificado PKI en el chipset, similar a la credencial OTP. Como la tecnología Intel de protección de la identidad con PKI proporciona seguridad a nivel de hardware, permite a las empresas ahorrar el costo adicional del mantenimiento de tarjetas inteligentes tradicionales u opciones de almacenamiento con generador de claves.

Tecnología Intel de protección de la identidad con tecnología NFC (Near Field Communication)

Página

Además de resguardar los puntos de acceso a la red y sitios web, la tecnología Intel de protección de la identidad viene con una tecnología de E/S cifrada denominada "pantalla protegida para transacciones". Esta tecnología genera una ventana de entrada segura que permite al usuario ingresar datos por medio de clics del ratón en lugar de pulsaciones de teclas. Funciona con la tecnología Intel de protección de la identidad para que una clave de uso único o PKI confirme la presencia del usuario, compruebe transacciones y proteja la pantalla contra software malicioso al crear primero una entrada segura de PIN antes de que se autoricen las credenciales.

103

Pantalla protegida para transacciones

La tecnología Intel de protección de la identidad con tecnología NFC, que viene en algunos sistemas Ultrabook™ inspirados por Intel, genera una autenticación de factor doble entre una Ultrabook y una tarjeta de crédito o de identificación habilitada para NFC. La tarjeta de crédito o de identificación viene integrada con un chip que contiene la información personal del usuario y puede vincularse con su Ultrabook. De esta forma se puede ofrecer un método seguro y sencillo para comunicar información. La inteligencia del Big Data empieza con Intel Visión de conjunto El big data representa oportunidades de cambio de juego para que las organizaciones solucionen problemas reales de las empresas. Aquí puede aprender sobre el big data, obtener planificación y descubrir cómo Intel se encuentra en una posición ideal para ayudarle con su software, tecnologías y herramientas creadas para las necesidades que generan proyectos exigentes del big data. Aprenda los fundamentos Todo el mundo habla sobre cómo el big data puede ayudar a transformar la empresa. Pero, ¿qué es? ¿Qué prestaciones necesita? ¿Cómo puede utilizar el big data para tomar decisiones informadas? ¿Por qué es valioso? ¿Cómo puede beneficiarse? l Reto Miles de millones de dispositivos conectados, usuarios de Internet y conexiones de máquina a máquina, contribuyen a este tsunami de aumento de datos. Las empresas que aprovechan estos datos pueden utilizarlo para diferenciarse y superar a la competencia. La solución Utilizar el big data requiere transformar la infraestructura de la información en un entorno más flexible, distribuido y abierto, uno que pueda ampliarse virtualmente de forma ilimitada y adaptarse rápidamente según cambien las necesidades. Intel puede ayudar

Soporte basado en silicio para ofrecer seguridad, fiabilidad e integración de datos

•

Elección inigualable de soluciones optimizadas

•

Recursos técnicos detallados que ayudan a simplificar la implantación

Página

•

104

Intel le ayuda a satisfacer sus necesidades del big data con:

•

Soluciones del big data distribuidas basadas en servidores estándar de la industria y en la plataforma Apache Hadoop*

Utilice los tres recurso siguientes para empezar a aprender sobre el big data. O consulte a continuación para descargar animaciones, recursos de Apache Hadoop*, las mejores prácticas de TI de Intel, casos prácticos, infografías, podcasts, resúmenes de soluciones, webcasts, documentación técnica y vídeos. Planifique su proyecto Una vez haya comprendido los fundamentos del big data, podrá empezar a planificar su proyecto. Racionalice el proceso y cree una guía para tener éxito en el uso de herramientas, recursos y guías de planificación prácticas. Una vez haya comprendido lo que es el big data y lo que puede hacer por su organización, dé el paso siguiente y empiece la planificación. Si está iniciando un proyecto, empiece con una estrategia. Identifique la oportunidad adecuada, valore su entorno actual, planee sus requisitos y, por último, identifique sus necesidades técnicas. Si está optimizando un proyecto existente, las tecnologías Intel® pueden ayudarle a ampliar las prestaciones del sistema, simplificar los procesos de integración y establecer una base para el crecimiento rápido. Utilice los recursos siguientes para ayudarle a que avancen sus proyectos. O consulte a continuación para ver recursos de Apache Hadoop*, casos prácticos, guías, resúmenes de soluciones, webcasts, documentación técnica y vídeos. Cinco pasos que los directores de TI toman para avanzar en los análisis del big data

Una introducción al panorama de TI para el big data y su valor potencial para su organización.

•

Tecnologías emergentes, como el software Apache Hadoop* que puede ayudarle a obtener conocimientos del big data.

•

Orientación sobre cómo sacar el máximo partido del software Apache Hadoop eligiendo la infraestructura y las tecnologías adecuadas.

Análisis del big data a la máxima velocidad Utilizando el análisis predictivo podrá ayudarle a ir por delante de su competencia, identificar nuevas oportunidades y acceder a conocimientos valiosos. Descubra cómo las ventajas

Página

•

105

Esta práctica guía contiene información que le ayuda a planear su iniciativa del big data, incluyendo:

significativas de Intel® Distribution para el software Apache Hadoop puede ayudarle a hacerlo todo más rápido. TI de Intel extrae datos para conocimientos empresariales Descubra cómo TI de Intel desarrolla sistemas que analizan el big data, ofreciendo unos conocimientos más profundos y completos en sus patrones y tendencias empresariales para ofrecer ventajas frente a la competencia. Decida la solución del big data El próximo paso que debe dar será elegir los productos adecuados. Además de unos servidores potentes, Intel también le ofrece Intel Distribution para el software Apache Hadoop*. Esta plataforma de propietario incluye Apache Hadoop* y otros componentes de software optimizados por Intel con prestaciones de seguridad y de rendimiento mejoradas por el hardware diseñadas para una amplia oferta de análisis de datos. Una vez ya tenga un plan, el siguiente paso es ponerlo en marcha. Empiece por explorar herramientas, tecnologías así como software y hardware para ofrecer las ventajas del big data, incluyendo procesadores de alto rendimiento, tecnologías de visualización e Intel® Distribution para el software Apache Hadoop*. A continuación, evalúe a los socios de Intel que ofrecen soluciones del big data, incluyendo inteligencia empresarial, análisis avanzado, herramientas para visualización de datos y proveedores de grandes infraestructuras. Utilice los tres recursos y herramientas siguientes para ayudarle a encontrar la solución y productos adecuados para su organización. O consulte a continuación para ver recursos, documentación técnica y vídeos de Apache Hadoop . Mejore el rendimiento con hardware de Intel e Intel® Distribución para el software Apache Hadoop* Esta documentación técnica destaca los resultados de la investigación realizada por Intel y en cualquier sector de la industria para identificar las mejores prácticas para crear y realizar análisis del big data, así como para desarrollar y poner a punto el software para que funcione de forma óptima en estos entornos. Descubra cómo los procesadores Intel® Xeon®, los adaptadores de servidor 10G, los SSD e Intel® Distribución mejoran el rendimiento de los proyectos del big data.

Página

La versátil familia de procesadores Intel® Xeon® E5-2600 cumple con los desafíos de TI como la ampliación y la rapidez con menos latencia, más rendimiento de E/S y una mayor eficiencia. De hecho, se ha tocado casi cada área que puede mejorar el rendimiento del procesador: aumento del número de núcleos, caché, memoria e integración.

106

Familia de procesadores Intel® Xenón® E5

Busque el mejor procesador para su carga de trabajo Para elegir la plataforma de servidor más adecuada para su organización de TI, es importante que adapte las complejas demandas técnicas con restricciones como el presupuesto y el espacio. Esta herramienta le ayudará a identifica y distinguir entre las ventajas de los procesadores Intel® para la informática de alto rendimiento, la base de datos y las cargas de trabajo de virtualización. Big Data (del idioma inglés grandes datos) es en el sector de tecnologías de la información y la comunicación una referencia a los sistemas que manipulan grandes conjuntos de datos (o data sets). Las dificultades más habituales en estos casos se centran en la captura, el almacenado, búsqueda, compartición, análisis,4 y visualización. La tendencia a manipular ingentes cantidades de datos se debe a la necesidad en muchos casos de incluir los datos relacionados del análisis en un gran conjunto de datos relacionado, tal es el ejemplo de los análisis de negocio, los datos de enfermedades infecciosas, o la lucha contra el crimen organizado. El límite superior de procesamiento se ha ido desplazando a lo largo de los años, de esta forma los límites que estaban fijados en 2008 rondaban los órdenes de petabytes a zettabytes de datos.6 Los científicos con cierta regularidad encuentran limitaciones debido a la gran cantidad de datos en ciertas áreas, tales como la meteorología, la genómica,la conectómica, las complejas simulaciones de procesos físicos, y las investigaciones relacionadas con los procesos biológicos y ambientales, Las limitaciones también afectan a los motores de búsqueda en internet, a los sistemas finanzas y a la informática de negocios. Los data sets crecen en volumen debido en parte a la introducción de información ubicua procedente de los sensores inalámbricos y los dispositivos móviles (por ejemplo las VANETs), del constante crecimiento de los históricos de aplicaciones (por ejemplo de los logs), cámaras (sistemas de teledetección), micrófonos, lectores de radio-frequency identifica tión. La capacidad tecnológica per-cápita a nivel mundial para almacenar datos se dobla aproximadamente cada cuarenta meses desde los años ochenta. Se estima que en 2012 cada día fueron creados cerca de 2,5 trillones de bytes de datos (del inglés quintillion, 2.5×10).

Página

"Big data" es un término aplicado a conjuntos de datos que superan la capacidad del software habitual para ser capturados, gestionados y procesados en un tiempo razonable. Los tamaños del "big data" se hallan constantemente en aumento. En 2012 se dimensionaba su tamaño en una docena de terabytes hasta varios petabytes de datos en una única data set. En la metodología MIKE2.0 dedicada a investigar temas relacionados con la gestión de

107

Definición

información, definen big data en términos de permutaciones útiles, complejidad y dificultad para borrar registros individuales. En 2001, en un informe de investigación que se fundamentaba en congresos y presentaciones relacionadas,14 el analista Doug Laney del META Group (ahora Gartner) definía el crecimiento constante de datos como una oportunidad y un reto para investigar en el volumen, la velocidad y la variedad. Gartner continúa usando big data como referencia de este.15Además, grandes proveedores del mercado de big data están desarrollando soluciones para atender las demandas más críticas de procesamiento de datos masivos, como MapR, Cyttek Group y Cloudera. La nube La computación en la nube, concepto conocido también bajo los términos servicios en la nube, informática en la nube, nube de cómputo o nube de conceptos, del inglés cloud computing, es un paradigma que permite ofrecer servicios de computación a través de Internet. Introducción En este tipo de computación todo lo que puede ofrecer un sistema informático se ofrece como servicio,de modo que los usuarios puedan acceder a los servicios disponibles "en la nube de Internet" sin conocimientos (o, al menos sin ser expertos) en la gestión de los recursos que usan. Según el IEEE Computer Society, es un paradigma en el que la información se almacena de manera permanente en servidores de Internet y se envía a cachés temporales de cliente, lo que incluye equipos de escritorio, centros de ocio, portátiles, etc. La computación en la nube son servidores desde internet encargados de atender las peticiones en cualquier momento. Se puede tener acceso a su información o servicio, mediante una conexión a internet desde cualquier dispositivo móvil o fijo ubicado en cualquier lugar. Sirven a sus usuarios desde varios proveedores de alojamiento repartidos frecuentemente por todo el mundo. Esta medida reduce los costes, garantiza un mejor tiempo de actividad y que los sitios web sean invulnerables a los hackers, a los gobiernos locales y a sus redadas policiales.

Página

El cambio que ofrece la computación desde la nube es que permite aumentar el número de servicios basados en la red. Esto genera beneficios tanto para los proveedores, que pueden ofrecer, de forma más rápida y eficiente, un mayor número de servicios, como para los usuarios que tienen la posibilidad de acceder a ellos, disfrutando de la ‘transparencia’ e

108

"Cloud computing" es un nuevo modelo de prestación de servicios de negocio y tecnología, que permite incluso al usuario acceder a un catálogo de servicios estandarizados y responder con ellos a las necesidades de su negocio, de forma flexible y adaptativa, en caso de demandas no previsibles o de picos de trabajo, pagando únicamente por el consumo efectuado, o incluso gratuitamente en caso de proveedores que se financian mediante publicidad o de organizaciones sin ánimo de lucro.

inmediatez del sistema y de un modelo de pago por consumo. Así mismo, el consumidor ahorra los costes salariales o los costes en inversión económica (locales, material especializado, etc). Computación en nube consigue aportar estas ventajas, apoyándose sobre una infraestructura tecnológica dinámica que se caracteriza, entre otros factores, por un alto grado de automatización, una rápida movilización de los recursos, una elevada capacidad de adaptación para atender a una demanda variable, así como virtualización avanzada y un precio flexible en función del consumo realizado, evitando además el uso fraudulento del software y la piratería. La computación en nube es un concepto que incorpora el software como servicio, como en la Web 2.0 y otros conceptos recientes, también conocidos como tendencias tecnológicas, que tienen en común el que confían en Internet para satisfacer las necesidades de cómputo de los usuarios. Comienzos El concepto de la computación en la nube empezó en proveedores de servicio de Internet a gran escala, como Google, Amazon AWS, Microsoft y otros que construyeron su propia infraestructura. De entre todos ellos emergió una arquitectura: un sistema de recursos distribuidos horizontalmente, introducidos como servicios virtuales de TI escalados masivamente y manejados como recursos configurados y mancomunados de manera continua. Este modelo de arquitectura fue inmortalizado por George Gilder en su artículo de octubre 2006 en la revista Wired titulado «Las fábricas de información». Las granjas de servidores, sobre las que escribió Gilder, eran similares en su arquitectura al procesamiento “grid” (red, parrilla), pero mientras que las redes se utilizan para aplicaciones de procesamiento técnico débilmente acoplados (loosely coupled), un sistema compuesto de subsistemas con cierta autonomía de acción, que mantienen una interrelación continua entre ellos, este nuevo modelo de nube se estaba aplicando a los servicios de Internet.

Integración probada de servicios Red. Por su naturaleza, la tecnología de cloud computing se puede integrar con mucha mayor facilidad y rapidez con el resto de las aplicaciones empresariales (tanto software tradicional como Cloud Computing basado en infraestructuras), ya sean desarrolladas de manera interna o externa.3

•

Prestación de servicios a nivel mundial. Las infraestructuras de cloud computing proporcionan mayor capacidad de adaptación, recuperación completa de pérdida de datos (con copias de seguridad) y reducción al mínimo de los tiempos de inactividad.

•

Una infraestructura 100% de cloud computing permite al proveedor de contenidos o servicios en la nube prescindir de instalar cualquier tipo de hardware, ya que éste es

Página

•

109

Beneficios

provisto por el proveedor de la infraestructura o la plataforma en la nube. Un gran beneficio del cloud computing es la simplicidad y el hecho de que requiera mucha menor inversión para empezar a trabajar. •

Implementación más rápida y con menos riesgos, ya que se comienza a trabajar más rápido y no es necesaria una gran inversión. Las aplicaciones del cloud computingsuelen estar disponibles en cuestión de días u horas en lugar de semanas o meses, incluso con un nivel considerable de personalización o integración.

•

Actualizaciones automáticas que no afectan negativamente a los recursos de TI. Al actualizar a la última versión de las aplicaciones, el usuario se ve obligado a dedicar tiempo y recursos para volver a personalizar e integrar la aplicación. Con el cloud computing no hay que decidir entre actualizar y conservar el trabajo, dado que esas personalizaciones e integraciones se conservan automáticamente durante la actualización.

•

Contribuye al uso eficiente de la energía. En este caso, a la energía requerida para el funcionamiento de la infraestructura. En los datacenters tradicionales, los servidores consumen mucha más energía de la requerida realmente. En cambio, en las nubes, la energía consumida es sólo la necesaria, reduciendo notablemente el desperdicio.

SOFTWARE COMO SERVICIO

Página

Plataforma como servicio a capa del medio, que es la plataforma como servicio (en inglés platform as a service, PaaS), es la encapsulación de una abstracción de un ambiente de desarrollo y el empaquetamiento de una serie de módulos o complementos que proporcionan, normalmente, una funcionalidad horizontal (persistencia de datos, autenticación, mensajería, etc.). De esta forma, un arquetipo de plataforma como servicio podría consistir en un entorno conteniendo una pila básica de sistemas, componentes o APIs preconfiguradas y listas para

110

El software como servicio (en inglés software as a service, SaaS) se encuentra en la capa más alta y caracteriza una aplicación completa ofrecida como un servicio, en-demanda, vía multitenencia —que significa una sola instancia del software que corre en la infraestructura del proveedor y sirve a múltiples organizaciones de clientes. El ejemplo de SaaS conocido más ampliamente es Salesforce.com, pero ahora ya hay muchos más, incluyendo las Google Apps que ofrecen servicios básicos de negocio como el e-mail. Por supuesto, la aplicación multitenencia de Salesforce.com ha constituido el mejor ejemplo de cómputo en nube durante unos cuantos años. Por otro lado, como muchos otros jugadores en el negocio del cómputo en nube, Salesforce.com ahora opera en más de una capa de la nube con su Force.com, que ya está en servicio, y que consiste en un ambiente de desarrollo de una aplicación compañera (“companion application”), o plataforma como un servicio. Otro ejemplo es la plataforma MS Office como servicio SaaS con su denominación de Microsoft Office 365, que incluye versiones online de la mayoría de las aplicaciones de esta suite ofimática de Microsoft.

integrarse sobre una tecnología concreta de desarrollo (por ejemplo, un sistema Linux, un servidor web, y un ambiente de programación como Perl o Ruby). Las ofertas de PaaS pueden dar servicio a todas las fases del ciclo de desarrollo y pruebas del software, o pueden estar especializadas en cualquier área en particular, tal como la administración del contenido. Los ejemplos comerciales incluyen Google App Engine, que sirve aplicaciones de la infraestructura Google, y también Windows Azure , de Microsoft, una plataforma en la nube que permite el desarrollo y ejecución de aplicaciones codificadas en varios lenguajes y tecnologías como .NET, Java y PHP. Servicios PaaS tales como éstos permiten gran flexibilidad, pero puede ser restringida por las capacidades que están disponibles a través del proveedor.

INFRAESTRUCTURA COMO SERVICIO La infraestructura como servicio (infrastructure as a service, IaaS) -también llamado en algunos casos hardware as a service, HaaS) se encuentra en la capa inferior y es un medio de entregar almacenamiento básico y capacidades de cómputo como servicios estandarizados en la red. Servidores, sistemas de almacenamiento, conexiones, enrutadores, y otros sistemas se concentran (por ejemplo a través de la tecnología de virtualización) para manejar tipos específicos de cargas de trabajo —desde procesamiento en lotes (“batch”) hasta aumento de servidor/almacenamiento durante las cargas pico. El ejemplo comercial mejor conocido es Amazon Web Services, cuyos servicios EC2 y S3 ofrecen cómputo y servicios de almacenamiento esenciales (respectivamente). Otro ejemplo es Joyent cuyo producto principal es una línea de servidores virtualizados, que proveen una infraestructura en-demanda altamente escalable para manejar sitios Web, incluyendo aplicaciones Web complejas escritas en Python, Ruby, PHP, y Java. Tipos de nubes

Página

Las nubes privadas son una buena opción para las compañías que necesitan alta protección de datos y ediciones a nivel de servicio. Las nubes privadas están en una infraestructura bajo demanda gestionada para un solo cliente que controla qué aplicaciones debe ejecutarse y dónde. Son propietarios del servidor, red, y disco y pueden decidir qué usuarios están autorizados a utilizar la infraestructura.

111

Una nube pública es una nube computacional mantenida y gestionada por terceras personas no vinculadas con la organización. En este tipo de nubes tanto los datos como los procesos de varios clientes se mezclan en los servidores, sistemas de almacenamiento y otras infraestructuras de la nube. Los usuarios finales de la nube no conocen que trabajos de otros clientes pueden estar corriendo en el mismo servidor, red, sistemas de almacenamiento, etc. Aplicaciones, almacenamiento y otros recursos están disponibles al público a través el proveedor de servicios que es propietario de toda la infraestructura en sus centros de datos; el acceso a los servicios solo se ofrece de manera remota, normalmente a través de Internet.

Página

112

Las nubes híbridas combinan los modelos de nubes públicas y privadas. Usted es propietario de unas partes y comparte otras, aunque de una manera controlada. Las nubes híbridas ofrecen la promesa del escalado aprovisionada externamente, en-demanda, pero añaden la complejidad de determinar cómo distribuir las aplicaciones a través de estos ambientes diferentes. Las empresas pueden sentir cierta atracción por la promesa de una nube híbrida, pero esta opción, al menos inicialmente, estará probablemente reservada a aplicaciones simples sin condicionantes, que no requieran de ninguna sincronización o necesiten bases de datos complejas.