Académique Documents
Professionnel Documents
Culture Documents
TICAL2011
Gestin de las TI en Ambientes Universitarios, Panam, 20 y 21 de Junio de 2011
PONENCIAS
______________________________________________________________________________________
1
Ingeniera de Sistemas, Especialista en Gerencia de Proyectos Informticos, Magistra en
Ciencias Computacionales, Auditor ISO 9001, EXIN .Fundamentos IT Service Management de
acuerdo ISO 20000.
2
Ingeniero de Sistemas. Especialista en Automatizacin Industrial. Especialista en
Seguridad de la Informacin. En curso maestra en Seguridad Informtica.
1. Introduccin
La calidad es un tema que siempre se discute en las Organizaciones, y las Instituciones de
Educacin Superior, no son ajenas a esa discusin, pues el trmino calidad, abarca diferentes
opciones dentro del mbito acadmico, se requiere calidad en los programas acadmicos, en la
infraestructura, en los procesos, en los materiales educativos y obviamente en la Infraestructura
Informtica que respalda la misin de las Universidades.
Sin embargo, el trmino calidad, tambin es muy amplio y puede tener diferentes criterios,
para este caso se aborda desde el punto de vista de cmo mejorar la calidad de los servicios de
Tecnologa dentro de la Universidad garantizando que se le aporta valor a la organizacin y que
el rea de tecnologa acredita los servicios prestados a travs de estndares.
la Inversin en los departamentos de Tecnologa es considerada como un gasto [1] de
acuerdo con un estudio elaborado por la consultora SETESCA, basado en una encuesta
realizada a ms de 1000 CEOs y directores generales, el departamento de informtica es uno
de los peor percibidos en la relacin valor aadidocoste en los procesos estratgicos
empresariales.
Segn la investigacin, las principales causas para tal valoracin son la percepcin del
departamento de informtica como un coste y no como un valor diferencial, la ausencia de
comunicacin respecto al valor real aportado y la falta de proactividad en la mejora de los
procesos de negocio3, junto con la percepcin del incumplimiento general en la entrega de los
proyectos.
Una estrategia para el cambio de esa percepcin es enfocar estrategias de buenas prcticas
bajo los estndares internacionales que demostraran, como los departamentos de tecnologa le
agregan valor a la organizacin y permiten que sean ms eficientes en el uso planificado y
controlado de los recursos requeridos, ventajas que se pueden obtener con ISO 20000.
Adems cada da es ms comn escuchar que se han sufrido ataques informticos, ejemplos
en Colombia para las pasadas elecciones de junio de 2010, o algunos ataques a la banca, Estos
casos son ms comunes de lo que se piensa, solo que en la mayora de ocasiones no se conoce
la informacin, ya sea porque no son publicadas para no causar prdida de imagen corporativa,
prdidas econmicas, entre otras; o porque la vulnerabilidad es parchada rpidamente.
Una pregunta recurrente es, cmo evitar este tipo de incidentes? Aunque la respuesta no es
tan precisa como quisiramos, si se puede estar preparado y de alguna manera controlarlos. Una
respuesta inmediata es, realizando un debido anlisis y evaluacin de riesgos, tomando como
referencia un modelo formal de seguridad, como por ejemplo la norma ISO 27001.
Este Documento presenta inicialmente como fue el proceso de implementacin y
certificacin en ISO 9001:2008 para la Universidad Pedaggica y Tecnolgica de Colombia, y
como el rea de Tecnologa, certifico su proceso, destacando que beneficios se obtuvo con esta
certificacin, luego se encuentra una visin de que se puede lograr si se adoptan buenas
prcticas en servicios bajo estndares como ISO 20000 e ISO 27000, destacando los pasos a
seguir para lograr la adopcin de esas buenas prcticas y al finalizar se presentan unas
conclusiones, de lo expuesto.
cubrir las necesidades de todos los procesos del Sistema Integrado de Gestin de la
Calidad relacionados con la prestacin de servicios que garanticen la
funcionalidad bsica del hardware y software
La sigla NTCGP, no debe confundirse con la sigla NTC Utilizada por el Organismo
Nacional de Normalizacin en la redaccin de otras normas tcnicas de carcter voluntario.
Cuenta con una infraestructura que corresponde con una organizacin de tamao medio
alto as:
Una sede Central Ubicada en Tunja y 3 sedes seccionales ubicadas en Duitama,
Conexin de Fibra ptica entre los edificios y cableado certificado en categora 5E.
Data Center con 30 servidores, nivel de seguridad de acceso y respaldo elctrico
En la Tabla 1 se observa un resumen de los recursos de Infraestructura por cada una de las
sedes:
Tabla 1. Recursos Informticos de las Sedes de la UPTC. Fuente Grupo Organizacin y
Sistemas UPTC
SEDE
INTERNET DATOS
COMPUTADORES CENTROS
DE
CABLEADO
Tunja
60 Mbps
8 Mbps
1900
23
Duitama
35 Mbps
2 Mbps
250
6
Sogamoso
35 Mbps
2 Mbps
250
7
Chiquinquira
10 Mbps
1 Mbps
100
3
La Universidad cuenta con una poblacin de 26000 estudiantes, 1536 docentes, y 1031
funcionarios.
solicitudes de Aulas de Informtica que realizan los docentes bien sea para todo el semestre o
una fecha especfica y luego poder visualizar su horario, adems por ser este un procedimiento
relacionado con la parte misional de la Universidad que es la Educacin, se establecen tambin
actividades encaminadas al alistamiento de las aulas con el software y hardware requerido por
los docentes.
El Desarrollo de los Sistemas de Informacin se document en el procedimiento de
Incorporacin de Sistemas de Informacin, y garantiza que desde el momento de solicitud de la
creacin de un sistema de informacin, un nuevo mdulo para uno existente o una mejora,
quede documentadas todas las actividades realizadas de anlisis, diseo, desarrollo y pruebas
desde el modelo de ciclo de vida clsico del Software. As los funcionarios responsables de
estas actividades documentan los sistemas de Informacin en cada una de las fases.
Garantizar que la Informacin registrada en los diferentes sistemas de Informacin se salva
guarda de manera apropiada es lo que se logr con el procedimiento Seguridad de la
Informacin, pues ha permitido programar las copias de seguridad de los servidores, y de los
equipos activos para no perder configuraciones. As se garantiza que en caso de algn dao o
desastre se pueda recuperar la informacin con las copias de seguridad diarias de la
informacin de misin crtica.
Adems el Grupo Organizacin y Sistemas apoyo el Sistema de Gestin de manera
transversal y desarroll un Sistema de Informacin para almacenar toda la Documentacin del
Sistema, adems de crear y guardar directamente en el sistema los procesos, procedimientos,
sin necesidad de generar informacin en procesadores de Texto como Word, todo se almacena
directamente en el Sistema de Informacin. En la Figura 2, se observa una pantalla de opciones
del Sistema SIGMA.
Fig. 2. Sistema de Informacin SIGMA que respalda toda la documentacin de los procesos
del Sistema Integrado de Gestin Acadmico Administrativo SIGMA.
Finalmente se logr medir el desempeo del proceso a travs de los indicadores, con lo cual
se puede ver la evolucin en la prestacin de los servicios y tambin generar acciones en los
casos que se requiera.
tiene como meta lograr cumplir la norma NTC ISO 20000, para el caso de la Universidad es
ella el proveedor de servicios TI.
En la figura 4 se observa la relacin delos procesos de gestin de servicios que contiene la
norma ISO 20000 en su propuesta de actualizacin para el ao 2011, de acuerdo con Linda
Cooper5 [6], donde se ve la interaccin de los procesos.
Se deben crear todos los procesos exigidos por la norma que no existen hoy en el
mapa de procesos de ISO 9000, que seran:
Proceso de implementacin de nuevos servicios o servicios modificados.
Linda Cooper es coautora de la Norma ISO 20000. Representante del Reino Unido en
ISO/IECSC7JTC1WG25. ITIL Master. Formadora y consultora independiente.
10
11
12
Al finalizar, la Organizacin contar con un documento, que, dependiendo del alcance (DRP,
BCP), contiene todos aquellos procedimientos que involucran tecnologa, personas, procesos,
etc, el cual debe ser actualizado ante cualquier cambio de estos elementos, debidamente
probados y con roles y funciones claramente definidas. Para ampliar informacin al respecto se
recomienda tener en cuenta la norma BS 25999.
13
5. La Propuesta
En principio todo lo anterior parece una tarea colosal, de hecho lo es, si se tomaran todos los
procesos de la Organizacin y si se realizara en un solo esfuerzo. Una de las maneras ms
prcticas de llevar a cabo un proyecto de este tipo, y as lo han realizado Universidades
Colombianas, tales como la Universidad del Valle y la Universidad Tecnolgica de Pereira,
consiste en dividirlo en fases, de tal forma que en cada fase se incluya los elementos de gestin
anteriormente mencionados, para el caso de la Universidad Pedaggica y tecnolgica de
Colombia representa una ventaja contar ya con un modelo funcionando por procesos bajo el
enfoque de norma ISO 9001:2008.
En la fase inicial o fase 0, se considera realizar un diagnstico con respecto a las normas
planteadas en este documento. En trminos de consultora se denomina anlisis GAP o anlisis
de brecha, con el fin de conocer el estado de la Universidad frente a la norma. Se considera
muy importante conocer el estado actual de la Organizacin, con el fin de evitar esfuerzos en
procesos, procedimientos y/o elementos ya existentes. Al finalizar este proceso se obtendr el
diagnstico de la
Organizacin y se enfocarn los esfuerzos en los dominios con menor cantidad de controles
implementados.
En la fase 1 se incluiran la gestin de activos, gestin de riesgos; de parte de la norma ISO
27001 que se complementan con la gestin de capacidad, procesos de presupuesto y
contabilidad, y de gestin de Nivel del servicio para la norma ISO 20000.
En una segunda fase, gestin de incidentes, gestin de la cultura, gestin de cumplimiento
desde ISO 27001 y des de ISO 20000 los procesos de control, los procesos de relacin y los
procesos de solucin.
14
Se finalizara en la tercera fase con la gestin de la continuidad desde ISO 27001 y los
procesos de puesta en produccin, y gestin de la continuidad y disponibilidad del servicio
desde ISO 2000.
En la Figura 7, se puede observar de manera grfica que procesos se implementaran en cada
fase por cada norma.
Fig. 7. Fases para la implementacin de servicios con las normas ISO 2000 e ISO 27000.
Fuente Los Autores.
Lo anterior llevado a la realidad, en trminos de tiempo, puede variar de acuerdo a los
recursos asignados. Para el caso de las Universidades mencionadas, el tiempo no fue superior a
tres aos, pero como se indic, pueden ser ms cortos si se tuviera mayor disponibilidad de los
recursos.
Todo este proceso no necesariamente con el fin de obtener la certificacin, sino, con el
propsito de adaptar normas y estndares al da a da de la Universidad, haciendo un uso
eficiente de los recursos informticos y administrativos. Adems de esas fases para la
implementacin se debera realizar una auditora de tercera parte que permita medir la madurez
del sistema y lograr establecer si se est preparado o no para una certificacin.
Conclusiones
15
Referencias
1.
Departamento de Informtica es Considerado un Gasto. Fuente Setesca. 29/03/2011.
http://www.diarioti.com/gate/n.php?id=29358.
2.
INSTITUTO COLOMBIANO DE NORMA TECNICAS Y DE CERTIFICACION.
Norma Tcnica de Calidad en la Gestin Pblica NCTGP 1000:2009. P 1.
3.
Sistema
Integrado
de
Gestin
Acadmico
Administrativa
SIGMA.
http://desnet.uptc.edu.co/Sigma.
4.
OSIATIS. Formacin ITIL, Fundamentos de la Gestin de Servicios de TI.
http://www.osiatis.es/formacion/Formacion_ITIL_web_version2.pdf.
5.
INSTITUTO COLOMBIANO DE NORMA TECNICAS Y DE CERTIFICACION.
Norma Tcnica Colombiana. NTC-ISO/IEC 20000-1. P 3.
6.
Cooper, Linda.: La Evolucin de la ISO 20000, 1er Forum Internacional ISO 20000,
marzo de 2011. www.forumiso20000.com
7.
INSTITUTO COLOMBIANO DE NORMAS TCNICAS Y DE CERTIFICACIN.
Norma Tcnica Colombiana Sistemas de Gestin de la Seguridad de la Informacin. NTCISO/IEC 27001. P 2.
8.
INSTITUTO COLOMBIANO DE NORMAS TCNICAS Y DE CERTIFICACIN.
Norma Tcnica Colombiana Sistemas de Gestin de la Seguridad de la Informacin. NTCISO/IEC 27001. P 5.
9.
INSTITUTO COLOMBIANO DE NORMAS TCNICAS Y DE CERTIFICACIN.
Norma Tcnica Colombiana Sistemas de Gestin de la Seguridad de la Informacin. NTCISO/IEC 27001. P 3.
16