Este documento describe los estándares y mejores prácticas recomendadas en el uso e implementación de tecnologías de información y comunicación. Explica las normas ISO/IEC 27001 y 20000, las cuales establecen requisitos para la seguridad de la información y gestión de servicios TI. También destaca la metodología ITIL como marco de referencia para las mejores prácticas en la gestión de servicios de TI.
Estándares y mejores prácticas en el uso de TIC’s.
1. U N I V E R S I D A D D E G U A D A L A J A R A
SISTEMA DE UNIVERSIDAD VIRTUAL
Licenciatura en Tecnologías e Información 2010B.
Contextualización de las tecnologías de la información y
comunicación.
Objeto de estudio IV
Propuesta de implementación de las mejores prácticas de las TIC’s
en proyectos tecnológicos.
Actividad de aprendizaje 1: Estándares y mejores prácticas en el
uso de TIC’s
2. Alumno:
C. Alejandro Serralde Romero.
210219574
Estándares y mejores prácticas en el uso de TIC’s
Introducción.
Los estándares internacionales son producto de diferentes organizaciones, algunas
para uso interno solo, otras para uso por grupos de gente, grupos de compañías, o una
subsección de una industria. Un problema surge cuando diferentes grupos se reúnen,
cada uno con una amplia base de usuarios haciendo alguna cosa bien establecida que
entre ellos es mutuamente incompatible. Establecer estándares internacionales es una
manera de prevenir o superar este problema.
El uso de las tecnologías de información y comunicación entre los habitantes de una
población, ayuda a disminuir la brecha digital existente en dicha localidad, ya que
aumentaría el conglomerado de usuarios que utilizan las Tic como medio tecnológico
para el desarrollo de sus actividades y por eso se reduce el conjunto de personas que
no las utilizan.
3. Los estándares internacionales relacionados con el uso e implementación de las
tecnologías de información y comunicación.
La Organización Internacional para la Estandarización o ISO, es el organismo
encargado de promover el desarrollo de normas internacionales de fabricación,
comercio y comunicación para todas las ramas industriales a excepción de la eléctrica
y la electrónica. Su función principal es la de buscar la estandarización de normas de
productos y seguridad para las empresas u organizaciones a nivel internacional.
En lo referente a los estándares internacionales relacionados con el uso e
implementación de las tecnologías de información y comunicación, se han desarrollado
y publicado una serie de normas ISO orientadas a las Tecnologías de Información y
Comunicaciones relativas a la gestión y supervisión de los Centros de Proceso de
Datos.
Estas normas internacionales, aprobadas con el consenso de 145 países y de acceso
libre a cualquier organización, han recogido las buenas prácticas y han definido y
elaborado una serie de requisitos, que basándose en los Sistemas de Gestión
tradicionales, vienen a facilitar el uso e implementación de las tecnologías de
información y comunicación.
4. Entre las más importantes destacan;
ISO/IEC 27001
El estándar para la seguridad de la información ISO/IEC 27001 (Information technology
- Security techniques - Information security management systems - Requirements) fue
aprobado y publicado como estándar internacional en octubre de 2005 por International
Organization for Standardization y por la comisión International Electrotechnical
Commission.
Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un
Sistema de Gestión de la Seguridad de la Información (SGSI) según el conocido “Ciclo
de Deming”: PDCA - acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar,
Actuar). Es consistente con las mejores prácticas descritas en ISO/IEC 17799 (actual
ISO/IEC 27002) y tiene su origen en la norma BS 7799-2:2002, desarrollada por la
entidad de normalización británica, la British Standards Institution (BSI).
La seguridad de la información tiene asignada la serie 27000 dentro de los estándares
ISO/IEC:
ISO 27000: Publicada en mayo de 2009. Contiene la descripción general y vocabulario
a ser empleado en toda la serie 27000. Se puede utilizar para tener un entendimiento
más claro de la serie y la relación entre los diferentes documentos que la conforman.
UNE-ISO/IEC 27001:2007 “Sistemas de Gestión de la Seguridad de la Información
(SGSI). Requisitos”. Fecha de la de la versión española 29 noviembre de 2007. Es la
norma principal de requisitos de un Sistema de Gestión de Seguridad de la
5. Información. Los SGSIs deberán ser certificados por auditores externos a las
organizaciones. En su Anexo A, contempla una lista con los objetivos de control y
controles que desarrolla la ISO 27002 (anteriormente denominada ISO17799).
ISO 27002: (anteriormente denominada ISO17799).Guía de buenas prácticas que
describe los objetivos de control y controles recomendables en cuanto a seguridad de
la información con 11 dominios, 39 objetivos de control y 133 controles.
ISO 27003: En fase de desarrollo; probable publicación en 2009. Contendrá una guía
de implementación de SGSI e información acerca del uso del modelo PDCA y de los
requisitos de sus diferentes fases. Tiene su origen en el anexo B de la norma BS 7799-
2 y en la serie de documentos publicados por BSI a lo largo de los años con
recomendaciones y guías de implantación.
ISO 27004: Publicada en diciembre de 2009. Especifica las métricas y las técnicas de
medida aplicables para determinar la eficiencia y eficacia de la implantación de un
SGSI y de los controles relacionados.
ISO 27005: Publicada en junio de 2008. Consiste en una guía para la gestión del riesgo
de la seguridad de la información y sirve, por tanto, de apoyo a la ISO 27001 y a la
implantación de un SGSI. Incluye partes de la ISO 13335.
ISO 27006: Publicada en febrero de 2007. Especifica los requisitos para acreditación
de entidades de auditoría y certificación de sistemas de gestión de seguridad de la
información.
6. ISO/IEC 20000
La serie ISO/IEC 20000 - Service Management normalizada y publicada por las
organizaciones ISO (International Organization for Standardization) e IEC (International
Electrotechnical Commission) el 14 de diciembre de 2005, es el estándar reconocido
internacionalmente en gestión de servicios de TI (Tecnologías de la Información). La
serie 20000 proviene de la adopción de la serie BS 15000 desarrollada por la entidad
de normalización británica, la British Standards Institution (BSI).
El estándar se organiza en cinco partes, de las cuales cuatro están ya publicadas y una
en proceso de publicación:
Parte 1: ISO/IEC 20000-1:2005 - Especificación. Preparada por BSI como BS 15000-1
Parte 2: ISO/IEC 20000-2:2005 - Código de Prácticas. Preparada por BSI como BS
15000-2
Parte 3: ISO/IEC TR 20000-3:2009 - Guía en la definición del alcance y la aplicabilidad
(informe técnico)
Parte 4: ISO/IEC DTR 20000-4: - Modelo de referencia de procesos (informe técnico)
Parte 5: ISO/IEC TR 20000-5:2010 - Ejemplo de implementación (informe técnico)
Además, las partes 1 y 2 se encuentran en proceso de revisión y previsiblemente en
2011 se publicarán actualizando su título de la siguiente forma:
Parte 1: ISO/IEC 20000-1:2011 - Requisitos de los sistemas de gestión de servicios
7. Parte 2: ISO/IEC 20000-2:2011 - Guía de implementación de los sistemas de gestión
de servicios
La primera parte (Especificación) define los requerimientos (217) necesarios para
realizar una entrega de servicios de TI alineados con las necesidades del negocio, con
calidad y valor añadido para los clientes, asegurando una optimización de los costes y
garantizando la seguridad de la entrega en todo momento. El cumplimiento de esta
parte, garantiza además, que se está realizando un ciclo de mejora continuo en la
gestión de servicios de TI. La especificación supone un completo sistema de gestión
(organizado según ISO 9001) basado en procesos de gestión de servicio, políticas,
objetivos y controles.
El marco de procesos diseñado se organiza con base en los siguientes bloques:
Grupo de procesos de Provisión del Servicio.
Grupo de procesos de Control.
Grupo de procesos de Entrega.
Grupo de procesos de Resolución.
Grupo de procesos de Relaciones.
La segunda parte (Código de Prácticas) representa el conjunto de buenas prácticas
adoptadas y aceptadas por la industria en materia de Gestión de Servicio de TI. Está
basada en el estándar de facto ITIL (Biblioteca de Infraestructura de TI) y sirve como
guía y soporte en el establecimiento de acciones de mejora en el servicio o preparación
de auditorías contra el estándar ISO/IEC 20000-1:2005.
8. Las mejores prácticas recomendadas en el uso e implementación de las
tecnologías de información y comunicación.
ITIL - Information Technology Infrastructure Library
las mejores prácticas recomendadas en el uso e implementación de las tecnologías de
información y comunicación destaca la Biblioteca de Infraestructura de Tecnologías de
Información, frecuentemente abreviada ITIL (del inglés Information Technology
Infrastructure Library), es un marco de trabajo de las buenas prácticas destinadas a
facilitar la entrega de servicios de tecnologías de la información (TI). ITIL resume un
extenso conjunto de procedimientos de gestión ideados para ayudar a las
organizaciones a lograr calidad y eficiencia en las operaciones de TI. Estos
procedimientos son independientes del proveedor y han sido desarrollados para servir
como guía que abarque toda infraestructura, desarrollo y operaciones de TI.
ITIL fue desarrollada al reconocer que las organizaciones dependen cada vez más de
la Informática para alcanzar sus objetivos corporativos. Esta dependencia en aumento
ha dado como resultado una necesidad creciente de servicios informáticos de calidad
que se correspondan con los objetivos del negocio, y que satisfagan los requisitos y las
expectativas del cliente. A través de los años, el énfasis pasó de estar sobre el
desarrollo de las aplicaciones TI a la gestión de servicios TI. La aplicación TI (a veces
nombrada como un sistema de información) sólo contribuye a realizar los objetivos
corporativos si el sistema está a disposición de los usuarios y, en caso de fallos o
9. modificaciones necesarias, es soportado por los procesos de mantenimiento y
operaciones.
A lo largo de todo el ciclo de los productos TI, la fase de operaciones alcanza cerca del
70-80% del total del tiempo y del coste, y el resto se invierte en el desarrollo del
producto (u obtención). De esta manera, los procesos eficaces y eficientes de la
Gestión de Servicios TI se convierten en esenciales para el éxito de los departamentos
de TI. Esto se aplica a cualquier tipo de organización, grande o pequeña, pública o
privada, con servicios TI centralizados o descentralizados, con servicios TI internos o
suministrados por terceros. En todos los casos, el servicio debe ser fiable, consistente,
de alta calidad, y de coste aceptable.
ISO 20000-2: Código de buenas prácticas
Describe las mejoras prácticas adoptadas por la industria en relación con los procesos
de gestión del servicio TI, que permite cubrir las necesidades de negocio del cliente,
con los recursos acordados, así como asumir un riesgo entendido y aceptable.
10. Conclusiones.
Los estándares y mejores prácticas recomendadas en el uso e implementación de
tecnologías de información y comunicación buscan resolver problemas y satisfacer
necesidades individuales y sociales, transformando el entorno y la naturaleza mediante
la utilización racional, crítica y creativa de recursos y conocimientos. Así, el
conocimiento tecnológico, se adquiere tanto por ensayo y error, como a través de
procesos sistematizados provenientes de la propia tradición tecnológica y de la
actividad científica.
11. Bibliografía:
Wikipedia. (s.f.). Information Technology Infrastructure Library. Obtenido de
http://es.wikipedia.org/wiki/Information_Technology_Infrastructure_Library
Wikipedia. (s.f.). Tecnologías de la información y la comunicación. Obtenido de
http://es.wikipedia.org/wiki/TIC
Wikipedia. (s.f.). Mejores Prácticas en Implementación de Modelos y Estándares de
Calidad: Estado del Arte y Futuro. Obtenido de http://ecofield.com.ar/blog/?p=774
Wikipedia. (s.f.). Organización Internacional para la Estandarización. Obtenido de
http://es.wikipedia.org/wiki/Organizaci%C3%B3n_Internacional_para_la_Estandarizaci
%C3%B3n
Wikipedia. (s.f.). ISO/IEC 27001. Obtenido de
http://es.wikipedia.org/wiki/ISO/IEC_27001
Perez Sanchez, Alejandro M. (s.f.). ISO/IEC 20000 el estándar para la Gestión de
Servicios TI. Obtenido de
http://www.uc3m.es/portal/page/portal/congresos_jornadas/congreso_itsmf/ISO%20200
00%20-%20El%20estandar%20para%20la%20gestion%20de%20servicios%20TI.pdf
EDUTEKA. (s.f.). Estandares TIC. Obtenido de
http://www.eduteka.org/directorio/index.php?t=sub_pages&cat=231
12. Fernandez, Carlos Manuel. (2008). Las Normas ISO. Obtenido de http://www.revista-
ays.com/DocsNum27/Normas/Fernandez.pdf
Wikipedia. (s.f.). ISO/IEC 20000. Obtenido de
http://es.wikipedia.org/wiki/ISO/IEC_20000
Osiatis. (s.f.). ITIL-Gestión de Servicios TI. Obtenido de
http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/fundamentos_de_la_gestion_TI/qu
e_es_ITIL/que_es_ITIL.php
ITILv3. (s.f.) ITIL. Obtenido de http://www.itil.com.mx/