Universidad La Salle Victoria

Maestría en Tecnologías de Información

Auditoria en la Tecnología de Información
Mtro. Carlos Portes Flores

Tema
ITIL, COBIT E ISO
Carlos Miguel Elizalde Pérez

2009

Los conceptos que se tratan en este documento como: ITIL con base a un glosario es un conjunto de
mejores prácticas orientado hacia la Administración de Servicios de TI, esto también consiste en una serie de

publicaciones dando orientación sobre la prestación de Calidad en Servicios TI, así como también sobre los

Procesos y las facilidades necesaria para soportarlos, COBIT la cual su descripción de siglas son: Objetivos

de Control para Tecnología Información y Tecnologías relacionadas, el provee también una orientación y

mejores prácticas para la Administración de Procesos de TI, e ISO es la Organización Internacional de

Normalización en la serie 20000 que incluye los términos de Control de Procesos siendo un grupo que

incluye la Administración del Cambio y Dirección de Configuración, relacionado a esto con el ISO/IEC

20000 el cual tiene la Especificación ISO y código de Práctica para Administración de Servicios TI este

estándar esta alineado con ITIL Mejores Prácticas, y sustituir BS 15000.

En el campo de ITIL menciona su creación la cual fue en los años 80's por la Agencia Central de

Computadoras y Telecomunicaciones (CCTA siglas en inglés), para lo que fue creado es para proveer una

base para mantener la calidad en la administración de servicios de TI, así como también fue desarrollado por

el crecimiento de la dependencia de las organizaciones a la TI, con este permitiendo a las organizaciones

hacer mejor uso de las mejores prácticas de TI, es adoptado por empresas de servicios , para reducir costos y

optimizar los servicios a través del área de TI.

Tiempo después se creó la versión 2 de ITIL la cual fue reemplazada por ITIL3 ya que estaban

conformados por 8 libros escritos en diferentes tiempos, no conectados completamente uno con el otro y

también faltaba la atención a los servicios del negocios y su ciclo de vida, un punto importante para mí es: lo

libros no reflejaban las actuales prácticas del negocio. Al aparecer ITIL 3 los beneficios fueron conservando

los principales conceptos de los 8 libros, una mejor integración en su estructura, mejoras de algunos

conceptos en el ciclo de vida del desarrollo de los servicios de TI, aparece un concepto BIA, siendo su

objetivo identificar los servicios críticos del negocios, en el mejoramiento del vinculo de los servicios de

negocio y el valor a éste, existe un mejor enfoque hacia el contexto organizacional, con un concepto llamado

Matriz RACI, la cual ayuda a asignar claras responsabilidades, definir los niveles de responsabilidad y

coordinar la participación en cada actividad del negocio.

2
 ITIL 3 se compone de varios conceptos como: Libro 1 Estrategia del Servicio donde se analiza los

presupuestos, cobros, los beneficios que dará ya sea en un valor monetario o mejorar la calidad al prestar el

servicio entre otos términos, Libro 2 Diseño del Servicio es muy importante hacer un buen análisis para

poder diseñar algo optimo, si se hizo el análisis incorrecto todo lo que sigue estará erróneo aunque en este

aparatado tiene mucha similitud a la Ingeniería de Software, ya que necesitamos empezar con los

requerimientos, desarrollar una solución (análisis), Desarrollar (construir, probar e implementar), pasar a una

etapa de control y mejora continua, Libro 3 Transición del Servicio en el cual trata temas para asegurar el

manejo de cambios, riesgos y calidad casi siempre existe entre la comunidad de trabajadores de una empresa

una incertidumbre hacia el cambio, siempre se tiene que tomar en cuenta cualquier cosa que se quiera

mejorar involucrar a todos los usuarios para una menor resistencia al cambio, así como también el

seguimiento de la metodologia para llevar a cabo esta transición, un Libro 4 trata sobre la Operación del

Servicio enfocado a las actividades que se realizan día a día, con el objetivo de optimizar los costos y la

calidad del servicio y el Libro 5 de Mejora Continua del Servicio, cuando ya se tiene un servicio es necesario

evaluarlo para poder hacer cambios, buscar oportunidades de mejora, madurar la práctica de Administración

de Servicio.

Con el conocimiento del contenido de estos cinco libros, sus conceptos, metodologias podemos crear

o tener cualquier proceso con calidad a nivel mundial.

COBIT fue creada en 1996 como una herramienta de gobierno de TI que con el paso del tiempo ha

tomado importancia para los que trabajan en este campo de Tecnologías de Información, en base a las normas

que integran puede tomar decisiones críticas en una empresa, el COBIT se aplica a los sietmas de

información de toda la empresa, basado en una filosofía en donde los recursos de TI necesitan ser

administrados por un conjunto de procesos naturalmente agrupados para proveer la información pertinente y

lo mas importante confiable que requiera una organización para lograr sus objetivos.

Dentro de una empresa el COBIT establece recursos en TI necesarios para alcanzar los objetivos

como son: Datos, Aplicaciones, Tecnología, Instalaciones, Recurso Humano y Procesos de TI.

3
 El COBIT se estructura en tres niveles: Dominios: Planificación y organización, Adquisición e

implementación, Prestación y soporte, Monitoreo, todas las anteriores a su vez tienen Procesos y Actividades.

Es uno de los estándares que más se están utilizando en el mundo para ser tomado como base para

realizar una metodología de control interno en el ambiente de tecnología informática y sistemas de

información, teniendo como tema principal la orientación a negocios.

Todo esto orientado al control de actividades que se realizan en un negocio, así como también otros

tipos de usuarios pueden utilizar estas normas, con el conocimiento de todas las actividades que se realizan

en el ambiente donde se quiere implementar estas normas ya que si carecemos de información y datos no

podremos tomar decisiones.

Por último el estándar internacional ISO de la serie 20000 el cual es reconocido para certificar la

gestión de servicios de TI, este estándar comprende dos partes. 1. ISO/IEC 20000 - 1 : 2005 -

Especificación. y 2. ISO/IEC 20000 - 2 : 2005 - Código de Prácticas.

La primera parte comprende grupos de procesos como Provisión del Servicio: comparación del

rendimiento con los objetivos, Control: se refiere al proveedor del servicio controlar los componentes del

servicio y de la infraestructura y mantener información precisa sobre la configuración de ésta, Entrega: la

gestión de entrega provee cambios planificados, coordinando las actividades del proveedor de servicio, de los

suministradores y del negocio para planificar y entregar la versión en el entorno de TI, Resolución: se refiere

a la gestión de los incidentes, los cuales se identifican y eliminan las causas y Relaciones; esto se da con el

suministrador y el cliente que pueden ser internos o externos , la segunda parte representa e conjunto de

Mejores Prácticas basada en ITIL.

Para poder realizar cualquier análisis de actividades, procesos, rendimientos, metas u objetivos es

necesario conocer todos los elementos involucrados que intervienen así como también tener el conocimientos

de normas y estándares para poder comparar como se están llevando a cabo estos factores de cualquier

proceso o función y así poder generar sugerencias, recomendaciones y resultados de un análisis hacia

cualquier compañía.

4
Glossary of Terms, Definitions and Acronyms, ITIL IT Service Management, 2006, 42 p.p.
http://www.iso20000.com.ar/intro.html
http://www.isoiec20000certification.com/about/whatis.asp
Trabajo de Auditoria: Normas COBIT, 40 p.p.

Ciudad Victoria, Tamaulipas a 15 de Octubre de 2009