Académique Documents
Professionnel Documents
Culture Documents
muchos casos no tienen conocimientos de estas, por lo que esta investigacin busca
entregar un diagnostico claro y certero de cmo es la situacin en lo referente al uso de
las buenas prcticas de tecnologa de informacin en las pequeas y medianas empresas,
adems de incentivar a las empresas a mejorar en este aspecto relevante para la
continuidad del negocio y en aquellas que no exista norma alguna generar una cultura
de seguridad de informacin dentro de las organizaciones.
presente trabajo considerar las recomendaciones de las mejores prcticas de ITIL v 3.0
(Information Technology Infrastructure Library) donde los procesos son llamados
gestin de incidentes y gestin de problemas.
basados en las buenas prcticas de TI de tipo estndar son utilizados actualmente en las
pymes, adems de identificar las polticas y procedimientos de seguridad utilizadas por
las pymes a nivel de integridad, disponibilidad y confidencialidad de la informacin.
A su vez se pretende identificar el nivel de anlisis, gestin y evaluacin de riegos que
utilizan las pymes en cuanto a la seguridad de la informacin de TI e identificar si estas
cuentan un plan de continuidad del negocio en caso de fallas o perdidas de informacin
en sus bases de datos, y los mtodos que se utilizan al momento de mitigar las falencias
que puedan ser producidas en los sistemas de informacin.
METODOLOGA
OBJETIVOS
OBJETIVO GENERAL
Diagnosticar de qu forma influyen las normas de buenas prcticas y si realmente son
utilizadas en los requerimientos de las TIC en las pequeas y medianas empresas en la
regin del BioBio.
OBJETIVOS ESPECIFICOS
Indagar si las pymes cuentan con las exigencias mnimas establecidas en las normas de
buenas prcticas para garantizar la confidencialidad, integridad y disponibilidad de la
informacin que sea solicitada en la empresa.
Demostrar que con el uso de las buenas prcticas de TI, las compaas reducen sus
costos, mejoran sus niveles de productividad, disminuyen sus horas hombre trabajadas y
sus recursos energticos; es decir, aumentan la eficiencia de la organizacin.
MARCO CONCEPTUAL.
1. CONCEPTOS GENERALES.
1.1. TECNOLOGIA DE INFORMACION:
El trmino "TI" es una abreviatura de tecnologas de la informacin, y un diccionario
general lo define como el desarrollo, instalacin e implementacin de sistemas
informticos, de telecomunicaciones y aplicaciones de software.
En trminos prcticos, est compuesto de:
1. Computadores de escritorio, servidores, porttiles, ordenadores centrales, etc. y los
datos que poseen.
2. Software como sistemas operativos (Windows, Unix, Linux, Novell, sistemas
especializados de operacin) y aplicaciones como procesadores de texto, hojas de
clculo, bases de datos, herramientas de productividad, aplicaciones empresariales,
aplicaciones a medida, etc.
3. Equipos de comunicacin y telecomunicaciones, tales como PBX, lneas de
arrendamiento, el Internet, las redes de telefona, de rea local y redes de rea amplia,
etc.
4. Otros equipos y software especializado. La definicin exacta de las TI es:
El uso de la tecnologa para el almacenamiento, la comunicacin o el procesamiento de
la informacin. La tecnologa normalmente incluye informtica, telecomunicaciones,
aplicaciones y dems software. La informacin puede incluir datos de negocio, voz,
imgenes, vdeo, tecnologa, etc. La informacin se utiliza a menudo para apoyar
losprocesos de negocio a travs de servicios de TI.
1.2. SERVICIOS DE TI
1.3. GESTION DE SERVICIOS TIGestin de Servicios TI, se refiere a un mtodo ordenado y profesional seguida por un
departamento de TI para proporcionar sistemas de informacin confiable, eficiente y
cumplir con los requerimientos del negocio, se lleva a cabo gracias a los proveedores de
servicios de TI a travs de una combinacin adecuada de la tecnologa de las personas,
procesos e informacin. Para analizar la importancia de la Gestin de Servicios se pone
a consideracin los siguientes ejemplos:
Ninguna organizacin moderna puede ejecutar sus operaciones o sobrevivir sin el uso
de uno o ms ordenadores, software, telecomunicaciones, Internet, etc.
Si un sistema informtico importante deja de funcionar entonces las empresas pueden
tener que cerrar si no es posible cambiar a alternativas de procesos manuales para
cualquier periodo de tiempo.
(nota: las cabezas de flechas son importantes, pues muestran el sentido del flujo de
informacin)
Ellos son:
Base de Datos:
Es donde se almacena toda la informacin que se requiere para la toma de decisiones.
La informacin se organiza en registros especficos e identificables.
Transacciones:
Corresponde a todos los elementos de interfaz que permiten al usuario: consultar,
agregar, modificar o eliminar un registro especfico de Informacin.
Informes:
Corresponden a todos los elementos de interfaz mediante los cuales el usuario puede
obtener uno o ms registros y/o informacin de tipo estadstico (contar, sumar) de
acuerdo a criterios de bsqueda y seleccin definidos.
Procesos:
Corresponden a todos aquellos elementos que, de acuerdo a una lgica predefinida,
obtienen informacin de la base de datos y generan nuevos registros de informacin.
Los procesos slo son controlados por el usuario (de ah que aparezca en lnea de
puntos).(no esoty tan seguro de esta definicin)
Usuario:
Identifica a todas las personas que interactan con el sistema, esto incluye desde el
mximo nivel ejecutivo que recibe los informes de estadsticas procesadas, hasta el
usuario operativo que se encarga de recolectar e ingresar la informacin al sistema.
Procedimientos Administrativos:
Corresponde al conjunto de reglas y polticas de la organizacin, que rigen el
comportamiento de los usuarios frente al sistema. Particularmente, debieran asegurar
que nunca, bajo ninguna circunstancia un usuario tenga acceso directo a la Base de
Datos ("cocinar datos")...
1.7. TECNOLOGIAS DE LA INFORMACION Y COMUNICACIN (TIC)
Son el conjunto de tecnologas desarrolladas para gestionar informacin y enviarla de
un lugar a otro. Abarcan un abanico de soluciones muy amplio. Incluyen las tecnologas
para almacenar informacin y recuperarla despus, enviar y recibir informacin de un
sitio a otro, o procesar informacin para poder calcular resultados y elaborar informes
2.1. DEFINICIONES.
Control:
Las
Polticas,
Procedimientos,
Prcticas
Estructuras
Planeacin y Organizacin
Objetivos:
Abarca aspectos estratgicos y tcticos
Se vincula con la identificacin de la forma en que la tecnologa de informacin
puede contribuir ms adecuadamente con el logro de los objetivos del negocio.
Incluye las actividades de planificar, comunicar y administrar la realizacin de la
visin estratgica desde distintas perspectivas.
Procesos:
Proceso: PO1 Definicin de un plan estratgico de TI
Proceso: PO2 Definicin de la arquitectura de la informacin
II.
Adquisicin e Implementacin
Objetivos:
Identificacin, desarrollo o adquisicin de soluciones de Ti
Implantacin e integracin en el proceso de negocio.
Cambios y mantenimiento de los sistemas existentes para garantizar la natural
continuidad del ciclo de vida para estos sistemas.
Procesos:
Proceso: AI12 Identificacin de soluciones
Proceso: AI13 Adquisicin y mantenimiento de software de aplicacin
Proceso: AI14 Adquisicin y mantenimiento de la infraestructura tecnolgica
III.
Entrega y Soporte
Objetivos:
Prestacin efectiva de los servicios requeridos, que comprenden desde las
operaciones tradicionales sobre aspectos de seguridad y continuidad hasta la
capacitacin.
Procesos de soporte necesarios.
Procesamiento real de los datos por los sistemas de aplicacin.
Procesos:
Proceso: DS18: Definicin de los niveles del servicio
Proceso: DS19: Administracin de los servicios prestados terceros
Proceso: DS20: Administracin de la capacidad y del desempeo del sistema
Proceso: DS21: Aseguramiento de la continuidad del servicio
Proceso: DS22: Establecimiento de pautas para la seguridad de los sistemas
Proceso: DS23: Identificacin e imputacin de costos
Proceso: DS24: Educacin y capacitacin de los usuarios
Proceso: DS25: Asistencia y asesoramiento a los clientes de TI
IV.
Monitoreo
Objetivos:
Evaluar regularmente todos los procesos de TI para determinar su calidad y el
cumplimiento de los requerimientos de control.
Seguimiento de la gerencia sobre los procesos de control de la organizacin
Garanta independiente provista por la auditora interna y externa u obtenida de
fuentes alternativas.
Procesos:
Proceso: ME31: Monitoreo de los procesos
Proceso: ME32: Evaluacin de la adecuacin del control interno
Proceso: ME33: Obtencin de aseguramiento independiente
Proceso: ME34: Provisin de auditora independiente
3. ITIL.
ITIL fue desarrollada por primera vez en el Reino Unido con la participacin y
contribucin de numerosas organizaciones gubernamentales, el trmino "ITIL
(Biblioteca de Infraestructura de Tecnologas de la Informacin) se refiere a un marco
de mejores prcticas para la gestin de servicios de TI y se compone de una serie de
publicaciones que ofrece asesoramiento sobre cmo ofrecer la calidad de los servicios
de TI en su organizacin, y los diversos procesos e instalaciones necesarias para apoyar.
La gua ensea al personal de apoyo tcnico en sus organizaciones la forma de prestar
servicios eficientes de TI para su negocio y sus usuarios finales. ITIL, fue desarrollada
al reconocer que las organizaciones dependen cada vez ms de la Informtica para
alcanzar sus objetivos corporativos, obteniendo como resultado una necesidad creciente
de servicios informticos de calidad que se correspondan con los objetivos del negocio,
y que satisfagan los requisitos y las expectativas del cliente. ITIL es una marca
registrada de la OGC, esto significa que el copyright es de OGC, y el material,
diagramas, tablas, etc., todos ellos protegidos por derechos de autor. Por lo que no
puede ser reproducido por cualquier persona sin la autorizacin por escrito de la OGC.
Sin embargo, los conceptos, la interpretacin e implementacin de ITIL pueden ser
comentados y explicados por los dems.
3.1. DESCRIPCIN GENERAL DE ITIL V3.
Como en cualquier proceso, hay una necesidad de actualizar y mejorar las teoras y
mejores prcticas basadas en hechos nuevos y modernos complejos demandas del
negocio. ITIL no es diferente. La versin 3 es una versin mejorada de la versin 2 de
las mejores prcticas. Como la tecnologa y su aplicacin se estn expandiendo a un
ritmo feroz, es necesario mantener los procesos y las mejores prcticas al da con
nuevos conceptos e informacin con el fin de manejar los requerimientos de negocios
ms recientes. La estructura y el contenido de la versin 3 se basan en amplias consultas
pblicas y las contribuciones de los lderes de la industria, clientes, usuarios,
proveedores, prestadores de servicios y las mejores prcticas de otras organizaciones
para determinar cules son las mejoras que lo hacen adecuado para los requerimientos
del negocio moderno complejo para los prximos aos.
La versin 3 se centra en la alineacin de TI y el negocio, tambin en la gestin de TI a
lo largo de su ciclo de vida. ITIL Versin 3 ayudar a los proveedores de servicios
puedan competir y eficaz en la provisin de valor a sus clientes.
El OGC describe la nueva versin de ITIL as: La versin 3 representa un paso
evolutivo importante en ITIL. Permite a los usuarios construir sobre los xitos de la
versin 2, pero tiene la gestin de servicios an ms al guiar a las organizaciones de
limitarse a proporcionar un gran servicio a convertirse en innovadores y las mejores de
su clase.
ITIL Versin 3 ofrece un valor basado en la prctica de servicios y de negocios enfocada
a la gestin del servicio. Tambin la interfaz entre los enfoques antiguos y nuevos es
perfecta para que los usuarios no tengan que reinventar la rueda cuando se adoptan. Esto
significa que muchos de los libros y herramientas de apoyo que se han desarrollado
hasta la fecha para apoyar la gestin de servicios seguirn siendo vlidos y tiles.
Los procesos ITIL v3 son conjuntos estructurados de actividades diseados para
cumplir un objetivo concreto. De este modo, los procesos ITIL v3 requieren de una o
ms entradas y producen una seria de salidas, ambas definidas con anterioridad.
Los procesos ITIL v3 suelen incorporar la definicin de los roles que intervienen, las
responsabilidades, herramientas y controles de gestin necesarios para obtener las
salidas de forma eficaz.
Los procesos ITIL v3 siguientes definen las polticas, estndares, guas de actuacin,
actividades e instrucciones de trabajo necesarias para una correcta gestin de los
servicios TI.
En resumen:
Se define como una biblioteca que documenta las Buenas Prcticas de la Gestin
de Servicios de TI
Es el estndar de facto reconocido a nivel mundial para la Administracin de
Servicios de TI.
Define la gestin de servicios como procesos relacionados e integrados para
entregar servicios de calidad al cliente.
Reconocido a nivel mundial para la gestin de los servicios TI y el alineamiento
de TI con los objetivos del negocio.
Es complementario, suplementario y modular a otros estndares y marcos de
referencia
Recomienda prcticas slidas y comprobables para cualquier tipo o tamao de
organizacin pblica o privado.
3.2. BENEFICIOS.
Con la aproximacin sistemtica a la gestin de los Servicios TI ofrecida por ITIL, se
pueden conseguir beneficios como:
A. Para la Organizacin de TI
Incrementar la satisfaccin de los usuarios con los servicios TI
Reducir el riesgo de no cumplir con los requisitos de negocio relacionados con
la provisin de los servicios TI
Mejorar la comunicacin y flujo de informacin entre el personal de TI y los
clientes
Paso 3 (c): Los responsables del Service Desk, reciben y registran las solicitudes
de los usuarios. En incidentes de incidentes de los servicios, primero buscan en
la base de datos de errores conocidos o una especie de base de datos de
conocimientos, para verificar si la solucin al incidente existe, y as dar la
solucin al usuario de forma inmediata.
Paso 4 (f): Muchas veces los usuarios solicitan nuevos servicios a la gerencia de
informtica. Service Desk en este incidente abre una peticin de servicios y lo
pasa a la Gestin del Cambio para que se abra un Cambio y se proceda, previa
evaluacin por parte de un comit asesor (CAB), con su implementacin. Un
cambio es toda peticin de servicios que cambia la infraestructura informtica de
la organizacin.
Pasos 2 (i), (j), (k) y (l): Son necesarios y estratgicos para mantener los
servicios informticos operando de manera efectiva y eficaz. Y tambin utilizan
a la CMDB como referencia y consulta de los componentes de la infraestructura
informtica.
Estrategia de Servicio
Fase que busca conseguir el alineamiento entre el negocio y TI. Es decir pretende
entender y trasladar las necesidades del negocio a las estrategias de TI y proporciona las
herramientas para una planeacin de la gestin de servicio de TI.
Las organizaciones deberan usar la estrategia como una orientacin en los siguientes
aspectos:
Identificar, seleccionar y priorizar oportunidades de negocio.
Crear aspectos distintivos respecto de la competencia que refuercen el
posicionamiento en el mercado.
Asegurar que la organizacin es capaz de soportar el costo y el riesgo asociados
a su catlogo de servicios.
Mejorar la alineacin de las capacidades de gestin de los Servicios con las
estrategias de negocio.
activo estratgico.
3.4.2.2.
Fase que busca hacer la transicin de la estrategia y diseo del servicio a produccin
amparndose en los procesos de gestin de cambios y gestin de lanzamientos.
Fase del ciclo de vida del servicio en donde se gestionan los servicios en un entorno de
produccin y se centra en los procesos de gestin de incidentes, gestin de problemas y
gestin de solicitudes de servicios.
Gestin de incidentes
Escalado y soporte
II.
Permite conocer todas las implicaciones que puedan tener en otros servicios el mal
funcionamiento de un determinado CI. AL resolver el incidente se debe actualizar el
CMDB en incidente de que haya sido necesario cambiar o modificar ciertos elementos
de configuracin.
Investigar las causas subyacentes a toda alteracin, real o potencial, del servicio
TI.
Realizar revisiones Post Implementacin (PIR) para asegurar que los cambios
han surtido los efectos buscados sin crear problemas de carcter secundario.
4. COSO.
IV.1.
Operaciones
Eficacia y eficiencia de las operaciones
Objetivos de desempeo
Salvaguarda de los activos
Informacin
Informes financieros y no financieros
Internos y externos
Pueden abarcar confiabilidad, oportunidad, transparencia u otros trminos
Adhesin a las leyes y regulaciones
IV.3.
Entorno de control.
IV.4.
Evaluacin de riesgos.
Los objetivos deben ser suficientemente claros para poder identificar y analizar
sus riesgos
La Gerencia considera la idoneidad de los objetivos para la entidad
La evaluacin de riesgos requiere que la Gerencia considere el impacto de los
posibles cambios en el entorno externo y en su propio modelo de negocios que
pueden hacer que el control interno sea inefectivo
IV.4.1. Principios de la Evaluacin de Riesgos:
1) La Organizacin especifica los objetivos con suficiente claridad para permitir la
identificacin y evaluacin de riesgos en relacin a los objetivos.
2) La Organizacin identifica los riesgos para el logro de los objetivos en toda la
entidad y analiza los riesgos como base para determinar cmo los riesgos deben
ser administrados.
3) La Organizacin considera el potencial de fraude en la evaluacin de riesgos
para el logro de los objetivos.
4) La Organizacin identifica y evala los cambios que podran impactar
significativamente el sistema de control interno.
IV.5.
I.
Actividades de control.
II.
III.
IV.
V.
VI.
IV.6.
Informacin y comunicacin.
IV.7.
Actividades de monitoreo.
II.
SGT
La certificacin para esta norma permite demostrar de una forma independiente a los
clientes que la entidad cumple con las mejores prcticas.
La certificacin ISO 20000 proporciona a las organizaciones un planteamiento
estructurado para desarrollar servicios de tecnologa de la informacin fiables. Es un
reto, pero tambin es una oportunidad que tienen las empresas para salvaguardar sus
sistemas de gestin de tecnologa de la informacin
La norma ISO 20000 se concentra en la gestin de problemas de tecnologa de la
informacin mediante el uso de un planteamiento de servicio de asistencia - los
problemas se clasifican, lo que ayuda a identificar problemas continuados o
interrelaciones.
La norma considera tambin la capacidad del sistema, los niveles de gestin necesarios
cuando cambia el sistema, la asignacin de presupuestos financieros y el control y
distribucin del software.
5.2.
5.2.1. Parte 1
La parte uno es la especificacin para la gestin de servicios que abarca la gestin de
servicios de TI. sta es la parte que se puede auditar y establece unos requisitos
mnimos que deben cumplirse para obtener la certificacin
Su alcance incluye:
Requisitos para un sistema de gestin
Planificacin e implantacin de la gestin del servicio
Planificacin e implantacin de servicios nuevos o cambiados
prestacin de servicios
Proceso de
Procesos de relaciones
Procesos de resolucin
Procesos de control y liberacin
5.2.2. Parte 2
La parte dos es el cdigo profesional para la gestin de servicios, que describe las
mejores prcticas para los procesos de gestin de servicios en el mbito de la
especificacin El Cdigo de procedimiento resulta especialmente til para
organizaciones que se preparan para someterse a una auditora segn la norma ISO
20000-1 o para planificar mejoras del servicio.
5.3.
Objetivos.
5.4.
Ventajas:
de
informacin,
cuando
presente
ofertas
para
contratos