5.1.

Las mejores prcticas para la gestin de servicios de TI

Por mejores prcticas se entiende un conjunto coherente de acciones que han tenido
xito en un determinado contexto y que se espera que, en contextos similares, rindan
similares resultados. O bien son el conjunto de capacidades especializadas de la
organizacin para proporcionar valor a los clientes en forma de servicios.
Sin estas capacidades, una organizacin de servicio no es ms que un conjunto de
recursos que de por s es relativamente de bajo valor e intrnseco para los clientes.
Las organizaciones son cada vez ms dependientes de la Tecnologa de Informacin para
soportar y mejorar los procesos de negocio requeridos para cumplir las necesidades de
los clientes y de la propia organizacin.
En muchos casos, los servicios de TI conforman la base del modelo de negocio en su
totalidad, en estos casos TI no brinda soporte al negocio, es el negocio. Ms all de la
importancia de TI en la organizacin, la competitividad y las presiones econmicas se ven
reflejadas en presiones para en lo posible disminuir el presupuesto de TI.
Las organizaciones dependen cada vez ms de la TI para el funcionamiento del negocio.
La TI se vuelve cada vez ms compleja.
El riesgo operativo abarca a TI como un elemento del negocio.
La confidencialidad de la informacin se ha visto comprometida y hay nuevas
regulaciones.
Existen marcos de mejores prcticas que recopilan las mejores prcticas para TI.
Los estndares para administracin de TI y seguridad son creados por consenso de las
mejores prcticas, que han sido discutidas por un grupo de individuos de varias
organizaciones.

No es descubrir el hilo negro sentido comn.

Ahorro de recursos.
Utilizacin de las Mejores Prcticas de otros en nuestro beneficio.
Estndares de facto se refieren al mejor camino para actuar.

Ventajas y Desventajas de los Estndares

Ventajas
1. Utilizacin de mejores prcticas basadas en experiencias de otras organizaciones.

2. Ahorro, ya que al desarrollar propias polticas es costoso y poco exitoso.

3. En caso de outsourcing los niveles de servicio entre la organizacin y el tercero tendrn
mejor entendimiento y sern menos costosos.
4. Los auditores no tienen que crear sus propios estndares para auditar.
Desventajas
1. Los estndares no cubren todos los temas en detalle.
2. No existe un estndar que abarque todos los temas (gestin, seguridad, calidad,
desarrollo, continuidad, etc.).
3. Se requiere de un esfuerzo de la organizacin, para adoptar los estndares.
Consejos para Implementar
1. Hacer un caso de negocio. Justificar en base a beneficios no a costos.
2. Implementar lo que da valor al negocio. Buscar resultados rpidos, ser prctico y
realista.
3. Aplicar los estndares. Definir un Sistema de Gestin de procesos.
4. Considerar la arquitectura tecnolgica para poder crecer.
5. Al implementar considerar procesos, tecnologa y gente
ITIL
Por sus siglas en ingles Information Technology Infrastructure Lybrary, Biblioteca de
infraestructura de Informacin, proporciona un planteamiento sistemtico para proveer
servicios de TI con calidad. En otras palabras se refiere al conjunto de normas de buenas
prcticas para alinear los recursos humanos, los procesos y la tecnologa, a la necesidad
de mejorar la eficacia de la gestin de servicios.
Aunque ITIL incorpora directrices sobre un conjunto comn de buenas prcticas, cada
implementacin de ITIL es diferente y puede cambiar en funcin de las necesidades de la
organizacin.
Los objetivos de una buena gestin de servicios TI son:

Proporcionar una adecuada gestin de la calidad.

Aumentar la eficiencia.

Alinear los procesos de negocio y la infraestructura TI.

Reducir los riesgos asociados a los Servicios TI.

Generar negocio.

La Biblioteca de Infraestructura de Tecnologas de Informacin, implica una serie de

procedimientos, normas y polticas para hacer que las tecnologas de la informacin de
una empresa sean ms eficientes, (Marino, 2010)
Algunas de las ventajas para una empresa de contar con una certificacin de ITIL segn
Valencia & Snchez (2009) son:

Agrega mayor valor

Sostiene la competitividad

Los empleados trabajan de manera efectiva

Demostrar a sus clientes, competidores, proveedores e inversionistas que emplea

las mejores prcticas

ISO 2000
Es el estndar reconocido internacionalmente en gestin de servicios de TI. Esta norma
determinada una serie de requisitos que los proveedores de servicios deben cumplir con
el fin de proporcionar nuevas mejoras del servicio.
La norma ISO 20000 para Gestin de Servicios de TI incluye ocho principios:

Enfoque al cliente

Liderazgo

Implicacin de las personas

Planteamiento de procesos

Mejora continua

Planteamiento basado en hechos para la toma de decisiones

Relaciones de mutuo beneficio con los suministradores

Planteamiento de sistema para la gestin

Para desarrollar e implementar un sistema de gestin de calidad, segn Selm &

Haren, (2008), se deben segur los siguientes pasos:

Determinar las necesidades y expectativas de los clientes

Definir la poltica y los objetivos de calidad de la organizacin

Determinar los procesos y responsabilidades que se necesitan para alcanzar los

objetivos de calidad

Determinar y proporcionar los recursos necesarios para alcanzar los objetivos de

calidad

Definir mtodos para medir la eficacia y la eficiencia de cada proceso

Medir la eficacia y la eficiencia de cada proceso

Determinar formas de prevenir incumplimientos y eliminar sus causas

Definir y aplicar un proceso para la mejora continua del sistema de gestin de la

calidad

En la siguiente tabla comparativa puedes ver los beneficios y debilidades de cada

estndar:
Estndar
Caractersticas
Beneficios
Debilidades

COBIT
COBIT
Control
(ObjectivesforInfo
rmation
and

En materia de seguridad de informacin no plantea un modelo de gestin como lo hace ISO27001; plantea ciertos
objetivos de control y controles para la seguridad, como controles de acceso, continuidad, etc. No llega al nivel de
cantidad de controles propuestos por ISO27001, y no es certificable para las organizaciones.

relatedTechnology) por ISACA (InformationSystemsAudit and Control Association), en su cuarta edicin, tiene 34 objetivos
de alto nivel que cubren 210 objetivos de control (especficos o detallados) clasificados en cuatro dominios: planificacin y
organizacin; adquisicin e implementacin; entrega y soporte, y supervisin y evaluacin.
Ayuda a salvar las brechas existentes entre riesgos de negocio, necesidades de control y aspectos tcnicos.
Proporciona prcticas sanas a travs de un marco referencial de dominios y procesos, y presenta actividades en una
estructura manejable y lgica.
En materia de seguridad de informacin no plantea un modelo de gestin como lo hace ISO27001; plantea ciertos objetivos
de control y controles para la seguridad, como controles de acceso, continuidad, etc. No llega al nivel de cantidad de
controles propuestos por ISO27001, y no es certificable para las organizaciones
ITIL
ITIL (InformationTechnologyInfrastructure Library) es un conjunto de conceptos y prcticas para la gestin de servicios de
tecnologas de la informacin, el desarrollo de tecnologas de la informacin y las operaciones relacionadas con la misma
en
general.
ITIL te puede llevar al cmo hacer las cosas; por ejemplo, el modelo de ITIL de manejo de capacidad tiene un nivel de
detalle muy profundo de forma que es como los planos para poder elaborar y operar un proceso de manejo de capacidad
Ofrece

una

visin

clara

de

la

capacidad

del

rea

TI.

Aumenta la satisfaccin en el trabajo mediante una mayor comprensin de las expectativas y capacidades del servicio de TI
Es

complejo

implementarlo

en

organizaciones

con

bajos

niveles

de

madurez

en

prcticas

de

IT.

Como el COBIT, no tiene un modelo de gestin robusto de seguridad como el ISO27001

ISO27001
ISO/IEC 27001:2005, en su Anexo A consta de once clusulas con 39 objetivos de control y 133 controles; contiene un
sistema
de
gestin
basado
en
plan-do-check-act.
Es sin duda la piedra fundamental que se puede considerar hoy en da al estar desarrollando un modelo de seguridad de
informacin.
La reputacin de ISO y la certificacin de la norma internacional ISO 27001:2005 aumentan la credibilidad de cualquier
organizacin. La norma claramente demuestra la validez de su informacin y un compromiso real de mantener la seguridad
de la informacin.
El establecimiento y certificacin de un SGSI (sistema de gestin) puede, asimismo, transformar la cultura corporativa tanto
interna como externa, abriendo nuevas oportunidades de negocio con clientes y partes interesadas conscientes de la
importancia de la seguridad.
Establece objetivos de control de alto nivel; muchas de las definiciones de controles son de muy alto nivel y no te llevan de
la mano para una implementacin estndar detallada.

La implementacin de un sistema efectivo ISO27001 puede variar de organizacin en organizacin dependiendo del
alcance y rigurosidad que la organizacin decida.