Documentos de Académico
Documentos de Profesional
Documentos de Cultura
CAPITULO I
MARCO TEORICO
1. ESTÁNDARES INTERNACIONALES
Los estándares internacionales son producto de diferentes organizaciones, algunas para uso
interno solo, otras para uso por grupos de gente, grupos de compañías, o una subsección de una
industria. Un problema surge cuando diferentes grupos se reúnen, cada uno con una amplia base
de usuarios haciendo alguna cosa bien establecida que entre ellos es mutuamente incompatible.
Establecer estándares internacionales es una manera de prevenir o superar este problema.
Hay muchas organizaciones de estandarización nacional y regional, pero las tres organizaciones
internacionales que tienen el mayor reconocimiento internacional son la Organización
Internacional para la Estandarización (ISO), la Comisión Electrotécnica Internacional (IEC), y
la Unión Internacional de Telecomunicaciones (ITU). Las tres han existido durante más de 50
años (fundadas en 1947, 1906, y 1865, respectivamente) y tienen todas su sede en Ginebra,
Suiza. Han establecido decenas de miles de estándares que cubren casi cualquier tema
concebible. Muchos de estos han sido adoptados mundialmente reemplazando varios estándares
propios incompatibles. Muchos de estos estándares han evolucionado naturalmente de esos
diseñados internamente en una industria, o por un país particular, mientras otros han sido
creados desde cero por grupos de expertos que se reúnen en varios comités técnicos.
Las infraestructuras de las TI son el cimiento de los servicios del negocio. Soportando los
servicios TIC que se ofrecen a las organizaciones. A su vez estos servicios TIC deben estar
apoyados por procesos de gestión de servicios, de forma que se garantice su entrega y calidad.
SERVICIO DE NEGOCIO
INFORMACION
……………………………
……
……………………………
…….
SERVICIOS TIC
PROCESO DE
GESTION DE
SERVICIO
INFRAESTRUCTURA TIC
A. ¿QUE ES ITIL?
Lo primero que se debe aclarar es que ITIL no es ni una metodología, ni una norma,
Sencillamente es un compendio de buenas prácticas.
ITIL
PROCESO
GESTION
ITIL DE ITIL
PROCESO SERVICIOS PROCESOS
DE LAS TI
ITIL
PROCESOS
B. CMMi.
CMMi para el Desarrollo (CMMi-DEV o CMMi for Development) Versión 1.2 fue
liberado en agosto de 2006. En él se tratan procesos de desarrollo de productos y
servicios.
CMMi para la Adquisición (CMMi-ACQ o CMMi for Acquisition) Versión 1.2 fue
liberado en noviembre de 2007.
CMMi para Servicios (CMMi-SVC o CMMi for Services) está diseñado para cubrir
todas las actividades que requieren gestionar, establecer y entregar servicios.
C. COBIT.
Como respuesta a las necesidades planteadas en los entornos de las TI, el marco de trabajo
COBIT se creó con las características principales de ser orientado a negocios y procesos,
basado en controles e impulsado por mediciones.
COBIT e ITIL no son mutuamente excluyentes y pueden ser combinados para proporcionar
un sólido marco de trabajo de gobierno, de control y mejores prácticas en gestión de
servicios TI. Las empresas que deseen ampliar su marco de control y gobierno de las TI
deberían utilizar COBIT [GAR02].
La ISO es una red de los institutos de normas nacionales de 162 países, sobre la base de un
miembro por país, con una Secretaría Central en Ginebra (Suiza) que coordina el sistema.
La Organización Internacional de Normalización (ISO), con sede en Ginebra, está
compuesta por delegaciones gubernamentales y no gubernamentales subdivididos en una
serie de subcomités encargados de desarrollar las guías que contribuirán al mejoramiento
ambiental.
Las normas desarrolladas por ISO son voluntarias, comprendiendo que ISO es un
organismo no gubernamental y no depende de ningún otro organismo internacional, por lo
tanto, no tiene autoridad para imponer sus normas a ningún país.
MISIÓN
PRINCIPIOS
- Consenso: Se respeta las opiniones de todos, por lo que son tomados en cuenta los
puntos de vistas de todos los interesados: fabricantes, vendedores, usuarios, grupos
de consumidores, laboratorios de análisis, gobiernos, especialistas y organizaciones
de investigación.
- Aplicación Industrial Global: Se brinda soluciones globales para satisfacer a
las industrias y a los clientes en todo el mundo.
- Voluntario: La estandarización internacional es conducida por el mercado y por
consiguiente es de carácter voluntario por parte de todos los interesados del mercado.
ISO ESTANDARIZACION
ISO 216 Medidas de papel: ISO A4
ISO 639 Nombres de lenguas
ISO 690:1987 Regula las citas bibliográficas (corresponde a la norma UNE 50104:1994)
ISO 690-2:1997 Regula las citas bibliográficas de documentos electrónicos
ISO 732 Formato de carrete de 120
ISO 838 Estándar para perforadoras de papel
ISO 1007 Formato de carrete de 135
ISO/IEC 1539-1 Lenguaje de programación Fortran
ISO 3029 Formato carrete de 126
ISO 3166 códigos de países
ISO 4217 códigos de divisas
ISO 7811 Técnica de grabación en tarjetas de identificación
ISO 8601 Representación del tiempo y la fecha. Adoptado en Internet mediante el
Date and Time Formats de W3C que utiliza UTC
ISO 8859 codificaciones de caracteres que incluye ASCII como un subconjunto (Uno
de ellos es el ISO 8859-1, que permite codificar las lenguas originales de
Europa occidental, como el español)
ISO/IEC Lenguaje de programación Ada
8652:1995
ISO 9000 Sistemas de Gestión de la Calidad – Fundamentos y vocabulario
ISO 9001 Sistemas de Gestión de la Calidad – Requisitos
ISO 9004 Sistemas de Gestión de la Calidad – Directrices para la mejora del
desempeño
ISO 9660 Sistema de archivos de CD-ROM
ISO 9899 Lenguaje de programación C
ISO 10279 Lenguaje de programación BASIC
ISO 10646 Universal Character Set
ISO/IEC 11172 MPEG-1
ISO/IEC 12207 Tecnología de la información / Ciclo de vida del software
ISO 13450 Formato de carrete de 110
ISO/IEC 13818 MPEG-2
ISO 14000 Estándares de Gestión Medioambiental en entornos de producción
ISO/IEC 14496 MPEG-4
ISO/IEC 15444 JPEG 2000
ISO 15693 Estándar para «tarjetas de vecindad
ISO 26300 Open Document
ISO/IEC 17025 Requisitos generales relativos a la competencia de los laboratorios de
ensayo y calibración
ISO/IEC 26300 Open Document Format (.odf)
ISO/IEC 27001 Sistema de Gestión de Seguridad de la Información
ISO/IEC 20000 Tecnología de la información. Gestión del servicio
ISO 32000 Formato de Documento Portátil (.pdf)
ISO/IEC 17025 Garantía contra todo tipo de fallos en la grabación de discos compactos,
excepto problemas de compatibilidad.
A. TECNOLOGÍAS DE INFORMACIÓN
También podemos decir que son los sistemas de información (sistemas que soportan
procesos relacionados al manejo de la información en las organizaciones), el hardware de
computadoras, redes y comunicaciones, así como el software de base (sistemas operativos,
servidores proxy, manejadores de bases de datos, servidores web, etc.)
Responsabilidad del comité de dirección y de los ejecutivos. Es una parte integral del
gobierno de la organización y consiste en el liderazgo y las estructuras y procesos
organizativos que aseguran que las Tecnologías de Información de la organización
sostienen y extienden la estrategia y los objetivos de la organización (ITGI 2003).
Es una estructura de relaciones y procesos que brinda dirección a la empresa para lograr los
objetivos de negocios con una adecuada implementación de los procesos de TI en su
interior, haciendo que las inversiones en TI retornen valor, logrando gestionar
adecuadamente los riesgos de TI, entre otras metas.
Entrega de
valor de TI
Alineamiento Gerencia de
estratégico riesgos
Medición de
desempeño
C. CONCEPTOS DE SEGURIDAD
Activo
Elemento impreso o digital que contenga información, así como todo sistema
conformado por software, hardware y su documentación pertinente - que cree, maneje y
procese información para una organización; también se puede incluir a la infraestructura
tecnológica donde se desenvuelven dichos sistemas. Se considera activo esté o no
registrado contablemente (Tupia 2010: 21)
Seguridad de la Información
Amenaza
Vulnerabilidad
La debilidad de un activo o grupos de activos que puede ser explotada por una o más
amenazas. (ISO 2004).
La tendencia hacia un mercado global y sus correspondientes desafíos hace que muchas
organizaciones, especialmente sus sistemas de información y redes de trabajo, se vean
enfrentadas a continuas amenazas de seguridad.
La ISO 27002 es una guía para, en distintos ámbitos, conocer qué se puede hacer para
mejorar la seguridad de la información. Expone, en distintos campos, una serie de
apartados a tratar en relación a la seguridad, los objetivos de seguridad a perseguir, una
serie de consideraciones (controles) a tener en cuenta para cada objetivo y un conjunto
de "sugerencias" para cada uno de esos controles. Sin embargo, la propia norma ya
indica que no existe ningún tipo de priorización entre controles, y que las "sugerencias"
que realiza no tienen por qué ser ni siquiera convenientes, en función del caso en
cuestión.
La ISO 27002 es en esencia una guía que describe los objetivos de control y los
controles recomendables en cuanto a seguridad de la información en las organizaciones.
b. NTP 27001
Norma Técnica Peruana NTP-ISO/IEC 27001:2008 que especifica los requisitos para el
establecimiento, implantación, la puesta en funcionamiento, control, revisión,
mantenimiento y mejoramiento de un sistema de Gestión de Seguridad de la Información
de una organización.
Plan Do
Act Check
Mantener y mejorar Monitorear y revisar
el SGSI el SGSI
c. NTP 17799
La NTP 17799:2007 tiene como finalidad proporcionar una base común en el desarrollo
de normas de seguridad en las organizaciones y ser una buena práctica de la gestión de la
seguridad.
Comprende de 11 ítems de control de seguridad que envuelven un total de 39 categorías
principales, que (con sus respectivos objetivos) son:
A. Política de seguridad
a. Política de seguridad de la información: para la gestión de Seguridad de la
Información según los requerimientos del negocio, las leyes y regulaciones.
B. Aspectos organizativos para la seguridad
a. Organización interna: gestionar internamente la seguridad de la información.
b. Seguridad en los accesos de terceras partes: para mantener la seguridad de los activos
de información y los recursos que manejen información por parte de terceros.
C. Clasificación y control de activos
a. Responsabilidad sobre los activos: para la protección adecuada de los activos de la
organización.
b. Clasificación de la información: para establecer un nivel de protección a los activos
de información.
D. Seguridad en Recursos Humanos
a. Seguridad antes del empleo: asegurando que los empleados, contratistas y terceros
sean los adecuados y que conozcan sus responsabilidades, reduciendo así el riesgo de
fraude, hurto o mal uso de las instalaciones.
b. Durante el empleo: que los empleados, contratistas y terceros sean consientes de las
políticas de seguridad de información de la organización.
c. Finalización o cambio del empleo: que los empleados, contratistas y terceros
terminen su relación laboral con la organización de manera ordenada.
E. Seguridad física y del entorno
a. Áreas seguras: Prescindir los accesos no autorizados, daños e interferencias contra los
locales y la información de la organización.
b. Seguridad de los equipos: para los activos de información y la interrupción de las
actividades de la organización.
F. Gestión de comunicaciones y operaciones
a. Procedimientos y responsabilidades de operación: manejo correcto y seguro de los
recursos que utilicen información de la organización.
b. Gestión de servicios externos: para mantener un nivel de seguridad apropiado y de
entrega de servicio en línea con los acuerdos con terceros.
c. Planificación y aceptación del sistema: atenuar los riesgos de fallos del
sistema.
d. Protección contra software malicioso: dar protección a la integridad del software y de
la información
e. Gestión de respaldo y recuperación: que los servicios que manejan la información y
comunicación se mantengan en fluidez continua.
f. Gestión de seguridad en redes: asegurar la información en las redes así como de su
infraestructura.
g. Utilización de los medios de información: que las actividades de información no se
interrumpan y que los activos no sufran modificaciones, daños y accesos no
autorizados.
h. Intercambio de información: evitar la pérdida, modificación o mal uso de
información que se intercambia entre organizaciones.
i. Servicios de correo electrónico: dar seguridad al uso y servicios de comercio
electrónico.
j. Monitoreo: para detectar las actividades no autorizadas que quieran manejar la
información de la organización.
G. Control de accesos
La Presidencia del Consejo de Ministros, decretó que de uso obligatorio esta norma con
la finalidad de poder generar un plan de seguridad de la información en la
Administración Pública. Esta medida muestra que el estado peruano tiene como
consigna el introducir cada vez más la cultura de seguridad en sus empresas estatales
para brindar mejor servicio a los ciudadanos peruanos.
La norma exige que el SGSTI esté implementado para uno o más servicios de TI
dependen de la entidad de certificación y debe cubrir necesariamente los 13 procesos
que incluye la norma.
La ISO 9000 es una certificación de calidad genérica que, por supuesto, es aplicable a
un área de informática. La ISO 20000 es una norma específica de gestión de servicios
de TI. Ambas normas pueden convivir en una organización y compartir parte de su base
documental y procedimientos.
1.1.2.1. ORGANIGZACIÓN
La parte dos es el código profesional para la gestión de servicios, que describe las
mejores prácticas para los procesos de gestión de servicios en el ámbito de la
especificación.
Gestión de servicio
- Personas.
- Procesos.
- Productos/tecnología.
- Suministros/asociados.
Procesos Personas
Roles
Suministradores
(Asociados) Productos/
Tecnología
¿Cómo Definición de
llegamos? procesos
¿Cómo sabemos
que hemos Métricas y
llegado? Auditoria
Este nuevo logro reafirma la condición de líderes absolutos dentro de este nicho de
mercado y garantiza un servicio de calidad para todos nuestros clientes, quienes cada vez
más apuestan por servicios con valor, y qué mayor valor que la empresa que lo asesora
esté certificada en aquellas buenas prácticas que luego lo ayudarán a conseguir beneficios
a través de proyectos de consultoría y alineamiento.
Cabe señalar que PMC® Latam, cuenta entre sus filas con el único Auditor Jefe ISO/IEC
20000 e ISO/IEC 27001 del país, y uno de los pocos en toda Latinoamérica, como un
verdadero valor diferencial y agregado en nuestro servicio de consultoría que nos
convierten en únicos.
GMD, cuenta con las más altas certificaciones de calidad como la ISO 20000, ISO
27001,OSHAS 18001, ISO 9001, CMMI*3, Certificación Tier III en nuestro Data Center,
Certificación de la Asociación de Buenos Empleadores, SAP Hosting Partner, entre otras.
Las normas ISO/IEC 20000 definen los procesos y las actividades esenciales para que las
áreas de TI puedan prestar un servicio eficiente y alineado con las necesidades de una
empresa u organización. “Esta certificación es de gran importancia para el segmento, ya
que reconoce nuestra capacidad de brindarle a nuestros clientes un servicio de alta
calidad”, señaló Guillermo Checa, director de Telefónica Grandes Empresas.
Es importante destacar que el estándar mencionado suele ser aplicado por compañías que
se dedican a tercerizar servicios basados en TI, aunque es mucho menos frecuente
encontrar áreas de Sistemas que busquen la certificación debido a que prestan servicios
internos a la organización. En este contexto, el desafío que enfrentó SPCC fue doble en
virtud de los altos niveles de exigencia que los requisitos normativos imponen, siendo que
dichos servicios no se “comercializan” en el sentido estricto de la palabra.
Así fue como luego de una pre-auditoría inicial, se hicieron los ajustes necesarios para
resolver las no conformidades detectadas, y se llegó a la tan ansiada Certificación en mayo
de 2014.
De la mano de Estratega, SPCC logró su objetivo. Fue el primero en el Perú y primera
minera en el mundo en certificar su Sistema de Gestión de Servicios de TI con la norma
ISO/IEC 20000. El cliente confió 100% en Estratega sabiendo que en Perú nadie contaba
con experiencia previa en la certificación de esa norma específica. Esa confianza y la
excelencia del trabajo en conjunto, permitieron una vez más, la concreción de un exitoso
proyecto.
CAPITULO III CONCLUSIONES
CAPITULO IV RECOMENDACION
BIBLIOGRAFIA
ANEXOS