viernes, 13 de diciembre de 2013

NORMATIVA ISO 20000

La ISO 20000 fue publicada en el 2005 teniendo como base la norma Británica BS 15000 la cual se encuentra estrechamente relacionada con el modelo ITIL (IT Infraestructure Library). La norma BS 15000 establece una serie de requisitos mínimos que una compañía debe tener para lograr procesos de gestión de servicios de TI eficaces. También proporciona un nivel de calidad auditable para los procesos. La norma BS 15000 contiene 5 grupos de procesos: Prestación de servicios, relaciones, solución de problemas, puesta en producción y control, estos en su mayoría se definen con detalle en las mejores prácticas de ITIL.

La norma internacional ISO 20000 es el primer estándar orientado a la gestión de los servicios de información, la cual esta dirigida a las organizaciones de las Tecnologías de la Información. Este estándar describe un conjunto integrado de procesos donde se maneja un enfoque de gestión para proveer de forma efectiva los servicios de TI a los clientes internos o externos.

Una de las ventajas más importante que obtiene una organización al momento de adquirir la certificación en ISO 20000, es demostrar a los clientes y a las demás empresas del sector que los servicios de TI de la compañía cumplen con las mejores prácticas, dando como resultado una mayor calidad, fiabilidad, efectividad y coherencias en los servicios prestados.

La norma ISO 20000 se concentra en la gestión de problemas de tecnología de la información mediante el uso de un planteamiento de servicio de asistencia en donde los servicios se clasifican, ayudando a identificar los problemas que son continuos o persistentes. La norma también considera la capacidad del sistema, los niveles gestión necesarios cuando cambia el sistema, la asignación del presupuesto financiero y el control y distribución del software.


La ISO 20000 se encuentra estructura en dos documentos:

- ISO 20000-1: Este documento de la norma incluye el conjunto de los requisitos obligatorios que debe cumplir el proveedor de servicios de TI, para realizar una gestión eficaz de los servicios que responda a las necesidades de las empresas y sus clientes.

- ISO 20000-2: Esta parte contiene un código de prácticas para la gestión de los servicios que trata cada uno de los elementos contemplados en la parte 1 analizando y aclarando su contenido. En síntesis este documento pretende ayudar a las organizaciones a establecer los procesos de forma que cumplan con los objetivos de la parte 1.

- El Sistema de Gestión de Servicios de TI (SGSTI): Esta sección contempla la política y las actividades de trabajo necesarias para que una organización puede realizar una eficiente implementación y gestión posterior de los servicios de TI. Este cubre los aspectos de responsabilidad de la dirección, requisitos de la documentación, competencia, conciencia y formación.

- Planificación e Implementación de la Gestión del Servicio: Es necesario lograr que la calidad de los servicios mejoren de forma continua. Se utiliza el modelo de mejora de la calidad definido por W. Edwards Deming.

- Planificación e Implementación de Servicios Nuevos o Modificados: El objetivo es asegurar la creación de nuevos servicios, las modificaciones a los existentes e incluso la eliminación de algún servicio, se puede gestionar y proveer los costos, calidad y plazos acordados.

- Procesos de Provisión de Servicios: Se tratan los requisitos necesarios para cubrir la provisión de los servicios que el cliente necesita, y todo aquello que es necesario en TI para poder prestar estos servicios. Entre los cuales tenemos: Gestión de nivel de servicio, Generación de informes de servicio, Gestión de la continuidad y disponibilidad del servicio, Elaboración de presupuesto y contabilidad de los servicios de TI, Gestión de la capacidad y Gestión de la seguridad de la información.

- Procesos de Relaciones: Hay dos tipos de relaciones, por una parte se encuentra la relación con el negocio y los clientes a los que da el servicio, y por otra está la relación con sus proveedores, fundamental para el soporte y la evolución del servicio. Entre estos tenemos: Gestión de las relaciones con el negocio y Gestión de proveedores.

- Procesos de Resolución: Son la gestión del incidente y gestión del problema, con un alto grado de relación aunque tienen objetivos diferenciados. Se encarga de la recuperación de los servicios a los usuarios tan pronto como sea posible. Entre los cuales tenemos: Gestión del incidente y Gestión de problemas.

- Procesos de Control: Soportado por la gestión de la configuración y del cambio. Entre ellos tenemos: Gestión de la configuración y Gestión del cambio.

- Procesos de Entrega: El objetivo del proceso es entregar, distribuir y realizar el seguimiento de uno o más cambios en la entrega en el entorno de producción real. Realiza la planificación y la gestión de los recursos que permite distribuir correctamente una entrega al cliente.


Por que es importante implementar ISO 20000 en las organizaciones:

- Las empresas dependen cada vez más de sus Sistemas TI y necesitan una correcta gestión y mantenimiento de éstos.

- Los fallos e incidencias son cada día más visible.

- Aumenta exponencialmente el número de demandantes de servicios TI a nivel mundial.

- Las infraestructuras son cada vez más complejas y el mercado necesita especialistas en el sector.

- Continuo cambio de los Sistemas TI (continuo avance de la tecnología).


Cuales son las ventajas de implementar la norma ISO 20000 en una compañía:

- Demuestra que una organización dispone de controles y procedimientos adecuados para prestar coherentemente un servicio de TI de calidad y rentable.

- Ofrece la posibilidad de seleccionar y gestionar a los proveedores de servicios externos con mayor eficacia.

- Más oportunidades de mejorar la eficacia, fiabilidad y coherencia de los servicios de TI que repercuten en los costes y el servicio.

- El proceso de certificación puede reducir la cantidad de auditorías a proveedores y disminuir así los costes.

- Permite demostrar altos niveles de calidad y fiabilidad de los servicios de tecnología de información, cuando presente ofertas para contratos internacionales o cuando realice ampliaciones locales para aumentar su volumen de negocio.


En conclusión se tiene que la norma ISO se concentra en problemas de tecnología de la información mediante el uso de un planteamiento de sistema de asistencia. La norma ISO 20000 contribuye a la gestión efectiva de los proveedores entre el servicio provisto y cualquiera de las terceras partes del servicio. Asegurar y demostrar el cumplimiento de la función de TI en la entrega de servicios de acuerdo con las mejores prácticas de la industria mundialmente aceptada.
Publicado por en No hay comentarios:

jueves, 12 de diciembre de 2013

COMPARATIVA - SIMILITUDES


Publicado por en No hay comentarios:

CERTIFICACIONES

  • ITIL (Information Technology Infrastructure Library)
Existen tres niveles de certificación ITIL para profesionales:

  1. Foundation Certificate (Certificado Básico): acredita un conocimiento básico de ITIL en gestión de servicios de tecnologías de la información y la comprensión de la terminología propia de ITIL. Está destinado a aquellas personas que deseen conocer las buenas prácticas especificadas en ITIL.
  2. Practitioner's Certificate (Certificado de Responsable): destinado a quienes tienen responsabilidad en el diseño de procesos de administración de departamentos de tecnologías de la información y en la planificación de las actividades asociadas a los procesos.
  3. Manager's Certificate (Certificado de Director): garantiza que quien lo posee dispone de profundos conocimientos en todas las materias relacionadas con la administración de departamentos de tecnologías de la información, y lo habilita para dirigir la implantación de soluciones basadas en ITIL.

  • COBIT (Control Objectives for Information and Related Technology)
-  COBIT 5 Foundation

  • ISO 20000 (Service Management)
- ISO 20000-1, para certificar un Sistema de Gestión de Servicios de TI
- ISO 27001, para certificar un Sistema de Gestión de Seguridad de la Información
- ISO 38500, para certificar el Gobierno Corporativo en TI
- ISO 15504, para certificar la madurez en Ingeniería del Software
- ISO 19770-1, para certificar la Gestión de Activos Software
- UNE 71599-2, para certificar un Sistema de Gestión de la Continuidad de Negocio
Publicado por en No hay comentarios:

COMPONENTES

  • ITIL (Information Technology Infrastructure Library)
1. Estrategia del Servicio.
2. Gestión del Servicio.
3. Transición del Servicio.
4. Operación del Servicio.
5. Mejora continua del Servicio.

  • COBIT (Control Objectives for Information and Related Technology)
-  34 Objetivos de control. 
-  Guías de auditoría. 
-  Procesos.

  • ISO 20000 (Service Management)
-  Procesos de provisiòn de servicio. 
-  Procesos de relación. 
-  Procesos de resolución. 
-  Procesos de entrega. 
-  Procesos de control.
Publicado por en No hay comentarios:

CARACTERISTICAS

  • ITIL (Information Technology Infrastructure Library)
-  Es un framework de procesos de IT no propietario.
-  Es independiente de los proveedores.
-  Es independiente de la tecnología.
-  Está basado en "Mejores Practicas".



Provee:
-  Una terminología estándar.
-  Las interdependencias entre los procesos.
-  Los lineamientos para la implementación.
-  Los lineamientos para la definición de roles y responsabilidades de los procesos.
-  Las bases para comparar la situación de la empresa frente a las “mejores prácticas”.


  • COBIT (Control Objectives for Information and Related Technology)
-  Orientado al negocio.
-  Alineado con estándares y regulaciones "de facto".
-  Basado en una revisión crítica y analítica de las tareas y actividades en TI.
-  Alineado con estándares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA).

  • ISO 20000 (Service Management)

-  Especifica los requisitos mínimos que debe cumplir un sistema de gestión de calidad para ser certificada. 
-  Se fundamenta en la gestión de calidad.
-  El concepto de mejoramiento continuo es un requisito especificado.
Conseguir la satisfacción del cliente, cumpliendo sus requerimientos y legislación aplicable al producto. 
-  La norma puede ser utilizada en procesos de auditoria interna, como externa. 
-  Esta norma es aplicable a toda organización pública o privada sin importar su tamaño, tipo de institución y productos que ofrece.
-  Permite la exclusión de requisitos normativos bajo ciertas consideraciones.
Publicado por en No hay comentarios:

HISTORIA

  • ITIL (Information Technology Infrastructure Library)


En 1987 la CCTA, un organismo del gobierno británico (ahora llamado la OGC) inició un proyecto llamado GITIMM (Government IT Infrastructure Management Method), en el cual involucraron a varias firmas de consultoría para investigar y documentar las mejores prácticas para planear y operar la infraestructura de TI. Poco después, conforme el proyecto evolucionaba de administración de infraestructura a administración de servicios de TI, se le cambió el nombre a ITIL.

Como marco de referencia, ITIL se creó como un modelo para la administración de servicios de TI e incluye información sobre las metas, las actividades generales, las entradas y las salidas de los procesos que se pueden incorporar a las áreas de TI.

Desde sus inicios ITIL fue puesta a disposición del público en forma de un conjunto de libros, de ahí su nombre, para que las organizaciones de todo el mundo pudieran adoptarlo.

La primera versión consistía de 10 libros principales que cubrían dos grandes temas: “Soporte al servicio” y “Entrega del servicio”, con una serie de libros complementarios que cubrían temas como la administración de la continuidad o cuestiones relacionadas con cableado. Posteriormente, en 2001 se hizo una reestructura importante que reunió los 19 libros principales en sólo 2, mientras que otros temas siguieron en libros separados, dando así un total de 7 libros para la segunda versión de ITIL:

-  Soporte al servicio (1). 
-  Entrega del servicio (2). 
-  Administración de la seguridad (3). 
-  Administración de la infraestructura ICT (4). 
-  Administración de las aplicaciones (5). 
-  La perspectiva del negocio (6). 
-  Planeación para implantar la administración de servicios (7). 
-  Estrategia de servicios. 
-  Diseño de servicios 
-  Transición de servicios. 
-  Operación de servicios. 
-  Mejora continua de servicios. 


Precisamente con la versión 2, a mediados de los años 90, ITIL fue reconocido como un “estándar de facto” para la administración de servicios de TI, el cual, como siempre, tuvo que seguir evolucionando para considerar las nuevas escuelas de pensamiento y alinearse mejor a otros estándares, metodologías y mejores prácticas, lo que llevó en 2007 a la liberación de la versión 3 de ITIL.


ITIL V3 sólo consta de cinco libros, que están estructurados en torno al ciclo de vida del servicio: Esta nueva estructura organiza los procesos de ITIL V2 con contenido y procesos adicionales encaminados a una mejor administración del periodo de vida de los servicios de TI. Partiendo de esta observación, podemos afirmar que la V3 refuerza el foco en los servicios de TI, sin dejar de lado los procesos, pero haciendo patente que aunque los procesos son importantes son secundarios y sólo existen para planificar, entregar y dar soporte a los servicios.


  • COBIT (Control Objectives for Information and Related Technology)

El proyecto COBIT se emprendió por primera vez en el año 1995, con el fin de crear un mayor producto global que pudiese tener un impacto duradero sobre el campo de visión de los negocios, así como sobre los controles de los sistemas de información implantados. 

La primera edición del COBIT, fué publicada en 1996 y fue vendida en 98 paises de todo el mundo. La segunda edición (tema de estudio en este informe) publicada en Abril de 1998, desarrolla y mejora lo que poseía la anterior mediante la incorporación de un mayor número de documentos de referencia fundamentales, nuevos y revisados (de forma detallada) objetivos de control de alto nivel, intensificando las lineas maestras de auditoría, introduciendo un conjunto de herramientas de implementación, así como un CD-ROM completamente organizado el cual contiene la totalidad de los contenidos de esta segunda edición.

Una temprana adición significativa visualizada para la familia de productos COBIT, es el desarrollo de las Guías de Gerencia que incluyen Factores Críticos de Exito, Indicadores Clave de Desempeño y Medidas Comparativas. Los Factores Críticos de Éxito, identificarán los aspectos o acciones más importantes para la administración y poder tomar, así, dichas aciones o considerar los aspectos para lograr control sobre sus procesos de TI. Los Indicadores Clave de Desempeño proporcionarán medidas de éxito que permitirán a la gerencia conocer si un proceso de TI esta alcanzando los requerimientos de negocio. La Medidas Comparativas definirán niveles de madurez que pueden ser utilizadas por la gerencia para: determinar el nivel actual de madurez de la empresa; determinar el nivel de madurez que se desea lograr, como una función de sus riesgos y objetivos; y proporcionar una base de comparación de sus prácticas de control de TI contra empresas similares o normas de la industria. Esta adición, proporcionará herramientas a la gerencia para evaluar el ambiente de TI de su organización con respecto a los 34 Objetivos de Control de alto nivel de COBIT.

En definitiva, la organización ISACF espera que el COBIT sea adoptado por las comunidades de auditoría y negocio como un estándar generalmente aceptado para el control de las Tecnologías de la Información.

Cobit ha tenido varias ediciones, siendo publicada la primera en 1996; La segunda edición en 1998; La tercera edición en el 2000 (La edición on-line estuvo disponible en 2003); la cuarta edición en diciembre de 2005, la versión 4.1 en mayo de 2007 y la nueva versión de COBIT 5 oficial fue publicada por ISACA el 10 de Abril, posee algunos cambios en cuanto a cantidad y distribución de procesos respecto a la versión “draft” de Junio 2011.

  • ISO 20000 (Service Management)

La norma ISO 20000 tiene sus orígenes en la BS 15000 y está alineada con el planteamiento del proceso definido por la IT Infrastructure Library (ITSM - Biblioteca de infraestructuras de tecnología de la información) de The Office of Government Commerce (OGC).

Aunque la publicación de la norma ISO 20000 es relativamente reciente, es importante que las organizaciones empiecen a evaluar el impacto potencial de la norma y decidir si deberían solicitar o no la certificación. En cualquier caso, aquéllas que estén implementando o tengan previsto implementar el modelo ITSM para mejorar la calidad de sus servicios de TI pueden utilizar la norma ISO 20000 como guía y forma de medir sus progresos. Pero lo que es fundamental tener claro sobre la norma ISO 20000 y sobre ITSM es que ambos estándares necesitan una mejora continua que puede mejorar la credibilidad y competitividad de las empresas.
Publicado por en No hay comentarios:
Suscribirse a: Entradas (Atom)