INTRODUCCION

Con los avances en la tecnologa y teniendo en cuenta que el activo ms valioso e

importante de las empresas en su informacin, se nos hace relevante ver el papel que
juegan las TIC en el funcionamiento del negocio y en su entorno, ya que actualmente el
uso de estas es de gran importancia ya que beneficia en mayor proporcin al mejor uso
y manejo de los recursos que posee la empresa, adems facilita y mejora la relacin
entre los usuarios y trabajadores de la organizacin, mejora la relacin clienteproveedor, as como tambin el manejo y uso de los procesos del negocio.
Los negocios que tengan mejores sistemas administrativos, mejores relaciones con sus
clientes y proveedores, que tengan mejores condiciones de crdito y mejores ndices de
rentabilidad sern aquellas que tengan un mejor uso y manejo de sus tecnologas de
informacin.(asociado a mejores practica en la seguridad, confiabilidad, integracin y
disponibilidad)
Entendiendo que las TIC hoy en da son parte fundamental del negocio y teniendo en
cuenta que cada vez estamos expuestos a un mercado ms competitivo y globalizado, se
nos hace necesario realizar un anlisis de uso de las TIC en las pymes para saber de qu
manera y en qu relacin influyen estas en los objetivos y metas del negocio,
identificando ac el cuidado y uso que les dan a sus sistemas informacin y
comunicacin, a su uso de software y hardware en los cuales manejan todo o en parte el
control interno de sus procesos y metodologas de trabajo
Dado lo anterior la presente investigacin la cual lleva por ttuloDiagnstico de uso de
norma de buenas prcticas en el desarrollo de las tecnologas de informacin para las
pequeas y medianas empresas, tiene como norte evaluar en qu situacin se
encuentran las pymes de la regin del Bioboen lo referente a la seguridad de su
informacin, por lo que sebusca probar que en muchos casos las empresas tienen
escasas normas de usos de buenas prcticas de tecnologa de la informacin o en

muchos casos no tienen conocimientos de estas, por lo que esta investigacin busca
entregar un diagnostico claro y certero de cmo es la situacin en lo referente al uso de
las buenas prcticas de tecnologa de informacin en las pequeas y medianas empresas,
adems de incentivar a las empresas a mejorar en este aspecto relevante para la
continuidad del negocio y en aquellas que no exista norma alguna generar una cultura
de seguridad de informacin dentro de las organizaciones.

PLANTEAMIENTO DEL PROBLEMA.

Los sistemas de informacin apoyados por TI se han ido convirtiendo en un rea

funcional de la organizacin, as como son la contabilidad, finanzas, costos, produccin,
etc. En la actualidad toda organizacin exitosa ha visto la gran importancia de la
tecnologas de la informacin (TI) puesto que brinda ventajas competitivas con respecto
a la competencia.
Los responsables de la seguridad de la informacin diariamente se encuentran con la
disyuntiva de procurar de que el activo ms importante para una empresa como lo es su
informacin se encuentre seguro
Algunas organizaciones han implementado sistemas de seguridad para prevenir esta
problemtica, pero en un mundo que avanza a pasos agigantados estos procesos puede
que estn obsoletos de no llevarse una actualizacin peridica por lo cual es necesario
la evaluacin para observar si estn acordes con las necesidades y riesgos que
actualmente tienen las organizaciones.
Dado lo anterior, la problemtica que esta investigacin tiene como enfoque resolveren
las PYME, es la falta de un estudio practico y veraz que permita identificar si las
empresas en la regin del Biobo cuentan con normas de seguridad de tecnologa de la
informacin acordes a los requerimientos existentes en la actualidad para evaluar que
tan bien preparadas estn en este mbito el cual de no llevarse de forma debida puede
llevar consigo grandes problemas para las organizaciones como lo son perdida de
informacin, robo de esta, etc.
Con el enfoque anterior centrado en la definicin de procesos, una adecuada gestin de
los incidentes y de los problemas facilitar que el rea de TI pueda pasar
progresivamente de ser un rea con tareas de soporte exclusivamente (que garantiza la
operatividad de los sistemas) a ser un rea generadora de valor para el negocio,
enfocndose en el cliente. Esto debido a que los clientes no compran servicios, ellos
compran el cumplimiento de necesidades particulares, el valor aportado por el servicio
se define estrictamente en el contexto del resultado del negocio. Entre los distintos
marcos referenciales que ofrecen lineamientos para los procesos mencionados, el

presente trabajo considerar las recomendaciones de las mejores prcticas de ITIL v 3.0
(Information Technology Infrastructure Library) donde los procesos son llamados
gestin de incidentes y gestin de problemas.

JUSTIFICACON DEL PROYECTO

En la actualidad las Pymes chilenas se enfocan principalmente en sus costes,

oportunidades y riesgos de negocios a los cuales estn expuestos, y por ende, no le dan
la importancia adecuada a lo que son sus sistemas y canales de Tecnologas de
informacin y comunicacin, siendo estas (las TIC) un factor crtico de xito y
supervivencia para las organizaciones, ya que agiliza y mejora los diversos procesos
empresariales en cuanto a su eficiencia y productividad.
Este proyecto est enfocado (cuidado con esta expresin me parece que esta muy
repetitiva

Este proyrct..)principalmente a investigar si los principios y normas

basados en las buenas prcticas de TI de tipo estndar son utilizados actualmente en las
pymes, adems de identificar las polticas y procedimientos de seguridad utilizadas por
las pymes a nivel de integridad, disponibilidad y confidencialidad de la informacin.
A su vez se pretende identificar el nivel de anlisis, gestin y evaluacin de riegos que
utilizan las pymes en cuanto a la seguridad de la informacin de TI e identificar si estas
cuentan un plan de continuidad del negocio en caso de fallas o perdidas de informacin
en sus bases de datos, y los mtodos que se utilizan al momento de mitigar las falencias
que puedan ser producidas en los sistemas de informacin.

METODOLOGA

Este proyecto est enfocado principalmente a investigar si los principios y normas

basados en las buenas prcticas de TI de tipo estndar son utilizados actualmente en las
pymes, adems de identificar las polticas y procedimientos de seguridad utilizadas por
las pymes a nivel de integridad, disponibilidad y confidencialidad de la informacin.
A su vez se pretende identificar el nivel de anlisis, gestin y evaluacin de riegos que
utilizan las pymes en cuanto a la seguridad de la informacin de TI e identificar si estas
cuentan un plan de continuidad del negocio en caso de fallas o perdidas de informacin
en sus bases de datos, y los mtodos que se utilizan al momento de mitigar las falencias
que puedan ser producidas en los sistemas de informacin.
Dado lo anterior se analizaran las distintas buenas prcticas de tecnologa de la
informacin contenidas en los manuales ITIL y COBIT la cual nos dar una gua para
entender cmo debe implementarse una adecuada seguridad de informacin,
entendiendo las amenazas, controles y posteriores evaluaciones para saber si se estn
llevando a cabo correctamente los controles.
Con todos estos datos se confeccionara una encuesta con las buenas prcticas de
tecnologa de la informacin que deben llevar las organizaciones la cual ser aplicada a
xx empresas de la regin del Bio Bio la que ser representativa para obtenerlo una
visin global de cmo estn preparadas para proteger de manera adecuada su
informacin
Diseo de estudio: tipo cuantitativo descriptivo-explicativo.
El proceso de estudio se lleva a cabo a travs de las siguientes etapas:
Primera etapa: Establecimiento del marco terico la cual ser llevada a cabo obteniendo
informacin referente al tema obtenida de la bibliografa acorde con el tema.

 Segunda etapa: Identificas las principales buenas prcticas de tecnologa de la

informacin que las empresas debieran contar para proteger su informacin.
Tercera etapa: Elaborar una encuesta, basada en los estndares y buenas prcticas de la
seguridad de los sistemas de informacin la cual ser aplicada a distintas empresas de la
regin del Bio Bio
Cuarta etapa: Con los resultados de la encuesta sealada anteriormente se realizaran las
conclusiones correspondientes las cuales nos permitirn obtener una visin global de
qu tipo de buenas prcticas utilizan la mayora de las pymes de la regin del bio bio en
lo referente a la seguridad de su informacin.

OBJETIVOS
OBJETIVO GENERAL
Diagnosticar de qu forma influyen las normas de buenas prcticas y si realmente son
utilizadas en los requerimientos de las TIC en las pequeas y medianas empresas en la
regin del BioBio.
OBJETIVOS ESPECIFICOS

Definir la situacin actual en la que se encuentran las pequeas y medianas empresas

con respecto al uso de buenas prcticas de tecnologa de la informacin.

Demostrar que si bien existen normas y procedimientos de buenas prcticas, estos no

son utilizados de manera eficiente en algunas pymes.

Indagar que normas de implementacin de TI y de seguridad de la informacin utilizan

actualmente las pymes para proteger su informacin.

Establecer que consecuencias conllevara un incorrecto uso de las normas de seguridad

de las TIC para las pymes.

Indagar si las pymes cuentan con las exigencias mnimas establecidas en las normas de
buenas prcticas para garantizar la confidencialidad, integridad y disponibilidad de la
informacin que sea solicitada en la empresa.

Demostrar que con el uso de las buenas prcticas de TI, las compaas reducen sus
costos, mejoran sus niveles de productividad, disminuyen sus horas hombre trabajadas y
sus recursos energticos; es decir, aumentan la eficiencia de la organizacin.

Demostrar que sin el uso de las buenas prcticas de TI la informacin disponible en la

empresa acaba perjudicando la calidad de la toma de decisiones de la gerencia.

MARCO CONCEPTUAL.
1. CONCEPTOS GENERALES.
1.1. TECNOLOGIA DE INFORMACION:
El trmino "TI" es una abreviatura de tecnologas de la informacin, y un diccionario
general lo define como el desarrollo, instalacin e implementacin de sistemas
informticos, de telecomunicaciones y aplicaciones de software.
En trminos prcticos, est compuesto de:
1. Computadores de escritorio, servidores, porttiles, ordenadores centrales, etc. y los
datos que poseen.
2. Software como sistemas operativos (Windows, Unix, Linux, Novell, sistemas
especializados de operacin) y aplicaciones como procesadores de texto, hojas de
clculo, bases de datos, herramientas de productividad, aplicaciones empresariales,
aplicaciones a medida, etc.
3. Equipos de comunicacin y telecomunicaciones, tales como PBX, lneas de
arrendamiento, el Internet, las redes de telefona, de rea local y redes de rea amplia,
etc.
4. Otros equipos y software especializado. La definicin exacta de las TI es:
El uso de la tecnologa para el almacenamiento, la comunicacin o el procesamiento de
la informacin. La tecnologa normalmente incluye informtica, telecomunicaciones,
aplicaciones y dems software. La informacin puede incluir datos de negocio, voz,
imgenes, vdeo, tecnologa, etc. La informacin se utiliza a menudo para apoyar
losprocesos de negocio a travs de servicios de TI.

1.2. SERVICIOS DE TI

Los Servicios de Tecnologas de Informacin es un conjunto de funciones de soporte y

mantenimiento a cargo de personal tcnico calificado (interno o externo) para una
organizacin que utiliza varios ordenadores, software,impresoras, hardware y servicios
de comunicacin. Un servicio de TI pueden ir desde el acceso a una simple aplicacin
como un procesador de textos para todos los usuarios finales, o el acceso en una
compleja red de cientos de diferentes tipos de computadoras, sistemas operativos,
servidores, sistemas decorreo electrnico, sitios web, bases de datos, sistemas de
telecomunicaciones,acceso a Internet, etc., utilizados por cientos de usuarios finales
dentro de unaorganizacin.
Un servicio de TI se basa en el uso de la tecnologa de la informacin y soporte a los
procesos de negocio del cliente, se compone de una combinacinde personas, procesos
y tecnologa y debe definirse en un acuerdo de nivel de servicio. Fuentes: Practical IT
Service Management: A Concise Guide for Busy for Executives by Thejendra BS

1.3. GESTION DE SERVICIOS TIGestin de Servicios TI, se refiere a un mtodo ordenado y profesional seguida por un
departamento de TI para proporcionar sistemas de informacin confiable, eficiente y
cumplir con los requerimientos del negocio, se lleva a cabo gracias a los proveedores de
servicios de TI a travs de una combinacin adecuada de la tecnologa de las personas,
procesos e informacin. Para analizar la importancia de la Gestin de Servicios se pone
a consideracin los siguientes ejemplos:
Ninguna organizacin moderna puede ejecutar sus operaciones o sobrevivir sin el uso
de uno o ms ordenadores, software, telecomunicaciones, Internet, etc.
Si un sistema informtico importante deja de funcionar entonces las empresas pueden
tener que cerrar si no es posible cambiar a alternativas de procesos manuales para
cualquier periodo de tiempo.

1.4. DATO, INFORMACION Y REGISTRO

Un punto a tener muy claro, es que entendemos por dato y que se entiende por
informacin.
Un Dato es un valor especfico, por ejemplo "15", el cual, por s slo, no entrega ningn
conocimiento til.
La Informacin, por su parte, corresponde a un par ordenado, el conjunto de un dato
y una descripcin.
Por ejemplo: "Edad = 15" lo cual ya es entendible.
Desde una perspectiva ms filosfica se seala que Informacin son
Datos que reducen incertidumbre...
El tercer trmino, Registro, se refiere al conjunto de informacin relacionadas y
agrupada. As tenemos que:
Ramo: Sistemas de Informacin
Profesor: Jos Miguel Santibez
Web Site: http://www.caos.cl/jms
E-mail: jms@caos.cl
Es un registro de informacin relacionada, que permite ubicar al autor de estas pginas
en el ciberespacio.
Finalmente, conviene destacar que un registro debe ser identificable fcilmente. Es
decir, para ello es conveniente que exista una clave de bsqueda, que nos permita
encontrar rpida y fcilmente el registro. La Clave de bsqueda es informacin que se
presume conocida o fcilmente averiguable y que adems identifica nica y
exclusivamente al Registro. En el caso presentado, no existe informacin que cumpla
con la definicin, pues, aunque me disguste, puede existir otra persona que se llame
igual, e incluso, en alguna otra Universidad dicte un ramo llamado "Sistemas de

Informacin"; la informacin restante, aunque es nica, no puede presumirse conocida,

y es un hecho, que no es fcil de obtener (salvo que se pida directamente al profesor).
Claves de bsqueda tpicas, estn relacionadas con cdigos, por ejemplo: Rut, Cdigo
de Carrera, Cdigo de Ramo, etc.
Para solucionar el problema de claves de bsqueda conocida y fcilmente recuperable,
existen los ndices, donde a partir de informacin que no es nica (por ejemplo el
nombre) pero no demasiado repetitiva (por lo que no servira la edad) se obtiene la lista
de claves posibles.
1.5. CARACTERIZACION DE UN SISTEMA DE INFORMACION.
Los Sistemas de Informacin difieren de cualquier otro software por dos razones
principales:
1. Almacenan gran cantidad de Informacin
2. Realizan un bajo grado de procesamiento sobre la informacin, y ste es,
fundamentalmente, de tipo estadstico
Aunque suene redundante, no est dems sealar, que la informacin que entrega un SI,
es utilizada para tomar decisiones organizacionales. As se catalogan como SI,
aquellos sistemas de informacin como:

Contabilidad: Informacin de flujos y estados financieros de la organizacin.

Personal: Toda la informacin referente al Recurso Humano de la institucin.

Registro Curricular (en una Universidad): Informacin respecto de los alumnos

y su situacin acadmica.

1.6. ELEMENTOS QUE CONFORMAN UN SISTEMA DE INFORMACION.

Un SI est compuesto por 6 elementos claramente identificables, tal y como se muestran
en la siguiente figura:(hay que indicar la fuente de la figura, si es de Uds deben colocar
propia fuente)

(nota: las cabezas de flechas son importantes, pues muestran el sentido del flujo de
informacin)
Ellos son:
Base de Datos:
Es donde se almacena toda la informacin que se requiere para la toma de decisiones.
La informacin se organiza en registros especficos e identificables.
Transacciones:
Corresponde a todos los elementos de interfaz que permiten al usuario: consultar,
agregar, modificar o eliminar un registro especfico de Informacin.

 Informes:
Corresponden a todos los elementos de interfaz mediante los cuales el usuario puede
obtener uno o ms registros y/o informacin de tipo estadstico (contar, sumar) de
acuerdo a criterios de bsqueda y seleccin definidos.
Procesos:
Corresponden a todos aquellos elementos que, de acuerdo a una lgica predefinida,
obtienen informacin de la base de datos y generan nuevos registros de informacin.
Los procesos slo son controlados por el usuario (de ah que aparezca en lnea de
puntos).(no esoty tan seguro de esta definicin)

Usuario:
Identifica a todas las personas que interactan con el sistema, esto incluye desde el
mximo nivel ejecutivo que recibe los informes de estadsticas procesadas, hasta el
usuario operativo que se encarga de recolectar e ingresar la informacin al sistema.
Procedimientos Administrativos:
Corresponde al conjunto de reglas y polticas de la organizacin, que rigen el
comportamiento de los usuarios frente al sistema. Particularmente, debieran asegurar
que nunca, bajo ninguna circunstancia un usuario tenga acceso directo a la Base de
Datos ("cocinar datos")...
1.7. TECNOLOGIAS DE LA INFORMACION Y COMUNICACIN (TIC)
Son el conjunto de tecnologas desarrolladas para gestionar informacin y enviarla de
un lugar a otro. Abarcan un abanico de soluciones muy amplio. Incluyen las tecnologas
para almacenar informacin y recuperarla despus, enviar y recibir informacin de un
sitio a otro, o procesar informacin para poder calcular resultados y elaborar informes

1.8. BUENAS PRCTICAS.

Aunque existen diversas definiciones, para efectos prcticos podemos decir que las
mejores prcticas son un conjunto de prcticas (que es ??) que alguien obtiene
analizando y estudiando qu hacen y qu no hacen los mejores exponentes de un tema
en particular. La idea es que al terminar el anlisis se tendr un conjunto de prcticas
comunes a todos aquellos que estn a la vanguardia, y es precisamente ese conjunto el
que se recopila y se lanza como las mejores prcticas para un tema dado.
As pues, las mejores prcticas no tienen un fundamento matemtico o analtico puro,
simplemente son obtenidas del mundo real y representan lo que parece ser lo mejor
hasta el momento. Como tales, las mejores prcticas pueden cambiar con el transcurso
del tiempo y, lo que tambin es muy importante, ser muy cuidadoso al establecerlas para
no llegar a conclusiones erradas o ilgicas que lleven a unas mejores prcticas
absurdas.
1.9. PYME:
La sigla PYME significa Pequea y Mediana Empresa. Adicionalmente, la ley hace
las siguientes definiciones:
Microempresas: Empresas cuyos ingresos anuales por ventas y servicios y otras
actividades del giro, no hayan superado las 2.400 UF en el ltimo ao
calendario.
Pequeas empresas: Empresas cuyos ingresos anuales por ventas y servicios y
otras actividades del giro, sean superiores a 2.400 UF, pero inferiores a 25.000
UF en el ltimo ao calendario.
Medianas empresas: Empresas cuyos ingresos anuales por ventas y servicios y
otras actividades del giro, sean superiores a 25.000 UF, pero inferiores a 100.000
UF en el ltimo ao calendario.

Adicionalmente, para efectos laborales, se hace la siguiente clasificacin segn nmero

de trabajadores:
Microempresas: Empresas que cuentan con uno a nueve trabajadores.
Pequeas empresas: Empresas que cuentan con 10 a 49 trabajadores.
Medianas empresas: Empresas que cuentan con 50 a 199 trabajadores.
No pueden ser PYMES las empresas que exploten bienes races no agrcolas, realicen
negocios inmobiliarios o actividades financieras que no sean las necesarias para el
desarrollo de su actividad principal, empresas en cuyo capital participen, en ms de un
30%, sociedades que tengan acciones que se coticen en la Bolsa, ni filiales de stas.
( en su trabajo deben decidir que definicin tomar para definir una PYME
2. COBIT.
(Control Objectives for Information Systems and related Technology) es el modelo para
evaluar y/o auditar la gestin y control de los de Sistemas de Informacin y Tecnologa
relacionada
Es el resultado de una investigacin con expertos de varios pases, desarrollada por la
Information, Systems Audit and Control Association ISACA.
Esta asociacin se ha constituido en el organismo normalizador y orientador en el
control y la auditora de los sistemas de Informacin y Tecnologa (IT).
Objetivos:
Proveer un marco nico reconocido a nivel mundial de las mejores prcticas
de control y seguridad de TI
Consolidar y armonizar estndares originados en diferentes pases desarrollados.
Concientizar a la comunidad sobre importancia del control y la auditora de TI.

 Enlaza los objetivos y estrategias de los negocios con la estructura de control de

la TI, como factor crtico de xito
Aplica a todo tipo de organizaciones independiente de sus plataformas de TI
Ratifica la importancia de la informacin, como uno de los recursos ms
valiosos de toda organizacin exitosa
Para satisfacer los objetivos del negocio la informacin debe cumplir con criterios que
COBIT extrae de los ms reconocidos modelos:

2.1. DEFINICIONES.
Control:

Las

Polticas,

Procedimientos,

Prcticas

Estructuras

Organizacionales, diseadas para asegurar razonablemente el logro de los

objetivos del negocio y que los eventos indeseables sern prevenidos o
detectados o corregidos.
Objetivos de control de TI: Son declaraciones del resultado esperado o del
propsito a lograr mediante la implementacin de los controles en una actividad
de IT especfica.
Efectividad: Se refiere a la informacin que es relevante para el negocio y que
debe ser entregada de manera correcta, oportuna, consistente y usable.
Eficiencia: Se refiere a la provisin de informacin a travs del ptimo (ms
productivo y econmico) uso de los recursos
Confidencialidad: Relativa a la proteccin de la informacin sensitiva de su
revelacin no autorizada.

 Integridad: Se refiere a la exactitud y completitud de la informacin, as como su

validez, en concordancia con los valores y expectativas del negocio.
Disponibilidad: Se refiere a la que la informacin debe estar disponible cuando
es requerida por los procesos del negocio ahora y en el futuro. Involucra la
salvaguarda de los recursos y sus capacidades asociadas.
Cumplimiento: Se refiere a cumplir con aquellas leyes, regulaciones y acuerdos
contractuales, a los que estn sujetos los procesos del negocio.
Confiabilidad: Se refiere a la provisin de la informacin apropiada a la alta
gerencia, para operar la entidad y para ejercer sus responsabilidades financieras
y de cumplir con los reportes de su gestin.

2.2. DOMINIOS DEL COBIT.

I.

Planeacin y Organizacin

Objetivos:
Abarca aspectos estratgicos y tcticos
Se vincula con la identificacin de la forma en que la tecnologa de informacin
puede contribuir ms adecuadamente con el logro de los objetivos del negocio.
Incluye las actividades de planificar, comunicar y administrar la realizacin de la
visin estratgica desde distintas perspectivas.
Procesos:
Proceso: PO1 Definicin de un plan estratgico de TI
Proceso: PO2 Definicin de la arquitectura de la informacin

 Proceso: PO3 Determinacin de la direccin tecnolgica

Proceso: PO4 Definicin de la organizacin y el relacionamiento en TI
Proceso: PO5 Administracin de la inversin en TI
Proceso: PO6 Comunicacin de los objetivos y directivas de la gerencia
Proceso: PO7 Administracin de los recursos humanos
Proceso: PO8 Aseguramiento del cumplimiento de los requerimientos externos
Proceso: PO9 Evaluacin de riesgos
Proceso: PO10 Administracin de proyectos
Proceso: PO11 Administracin de la calidad

II.

Adquisicin e Implementacin

Objetivos:
Identificacin, desarrollo o adquisicin de soluciones de Ti
Implantacin e integracin en el proceso de negocio.
Cambios y mantenimiento de los sistemas existentes para garantizar la natural
continuidad del ciclo de vida para estos sistemas.
Procesos:
Proceso: AI12 Identificacin de soluciones
Proceso: AI13 Adquisicin y mantenimiento de software de aplicacin
Proceso: AI14 Adquisicin y mantenimiento de la infraestructura tecnolgica

 Proceso: AI15 Desarrollo y mantenimiento de procedimientos de TI

Proceso: AI16 Instalacin y certificacin de sistemas
Proceso: AI17 Administracin de cambios

III.

Entrega y Soporte

Objetivos:
Prestacin efectiva de los servicios requeridos, que comprenden desde las
operaciones tradicionales sobre aspectos de seguridad y continuidad hasta la
capacitacin.
Procesos de soporte necesarios.
Procesamiento real de los datos por los sistemas de aplicacin.
Procesos:
Proceso: DS18: Definicin de los niveles del servicio
Proceso: DS19: Administracin de los servicios prestados terceros
Proceso: DS20: Administracin de la capacidad y del desempeo del sistema
Proceso: DS21: Aseguramiento de la continuidad del servicio
Proceso: DS22: Establecimiento de pautas para la seguridad de los sistemas
Proceso: DS23: Identificacin e imputacin de costos
Proceso: DS24: Educacin y capacitacin de los usuarios
Proceso: DS25: Asistencia y asesoramiento a los clientes de TI

 Proceso: DS26: Administracin de la configuracin

Proceso: DS27: Administracin de problemas e incidentes
Proceso: DS28: Administracin de datos
Proceso: DS29: Administracin de instalaciones
Proceso: DS30: Administracin de las operaciones

IV.

Monitoreo

Objetivos:
Evaluar regularmente todos los procesos de TI para determinar su calidad y el
cumplimiento de los requerimientos de control.
Seguimiento de la gerencia sobre los procesos de control de la organizacin
Garanta independiente provista por la auditora interna y externa u obtenida de
fuentes alternativas.
Procesos:
Proceso: ME31: Monitoreo de los procesos
Proceso: ME32: Evaluacin de la adecuacin del control interno
Proceso: ME33: Obtencin de aseguramiento independiente
Proceso: ME34: Provisin de auditora independiente

3. ITIL.

ITIL fue desarrollada por primera vez en el Reino Unido con la participacin y
contribucin de numerosas organizaciones gubernamentales, el trmino "ITIL
(Biblioteca de Infraestructura de Tecnologas de la Informacin) se refiere a un marco
de mejores prcticas para la gestin de servicios de TI y se compone de una serie de
publicaciones que ofrece asesoramiento sobre cmo ofrecer la calidad de los servicios
de TI en su organizacin, y los diversos procesos e instalaciones necesarias para apoyar.
La gua ensea al personal de apoyo tcnico en sus organizaciones la forma de prestar
servicios eficientes de TI para su negocio y sus usuarios finales. ITIL, fue desarrollada
al reconocer que las organizaciones dependen cada vez ms de la Informtica para
alcanzar sus objetivos corporativos, obteniendo como resultado una necesidad creciente
de servicios informticos de calidad que se correspondan con los objetivos del negocio,
y que satisfagan los requisitos y las expectativas del cliente. ITIL es una marca
registrada de la OGC, esto significa que el copyright es de OGC, y el material,
diagramas, tablas, etc., todos ellos protegidos por derechos de autor. Por lo que no
puede ser reproducido por cualquier persona sin la autorizacin por escrito de la OGC.
Sin embargo, los conceptos, la interpretacin e implementacin de ITIL pueden ser
comentados y explicados por los dems.
3.1. DESCRIPCIN GENERAL DE ITIL V3.
Como en cualquier proceso, hay una necesidad de actualizar y mejorar las teoras y
mejores prcticas basadas en hechos nuevos y modernos complejos demandas del
negocio. ITIL no es diferente. La versin 3 es una versin mejorada de la versin 2 de
las mejores prcticas. Como la tecnologa y su aplicacin se estn expandiendo a un
ritmo feroz, es necesario mantener los procesos y las mejores prcticas al da con
nuevos conceptos e informacin con el fin de manejar los requerimientos de negocios
ms recientes. La estructura y el contenido de la versin 3 se basan en amplias consultas
pblicas y las contribuciones de los lderes de la industria, clientes, usuarios,
proveedores, prestadores de servicios y las mejores prcticas de otras organizaciones

para determinar cules son las mejoras que lo hacen adecuado para los requerimientos
del negocio moderno complejo para los prximos aos.
La versin 3 se centra en la alineacin de TI y el negocio, tambin en la gestin de TI a
lo largo de su ciclo de vida. ITIL Versin 3 ayudar a los proveedores de servicios
puedan competir y eficaz en la provisin de valor a sus clientes.
El OGC describe la nueva versin de ITIL as: La versin 3 representa un paso
evolutivo importante en ITIL. Permite a los usuarios construir sobre los xitos de la
versin 2, pero tiene la gestin de servicios an ms al guiar a las organizaciones de
limitarse a proporcionar un gran servicio a convertirse en innovadores y las mejores de
su clase.
ITIL Versin 3 ofrece un valor basado en la prctica de servicios y de negocios enfocada
a la gestin del servicio. Tambin la interfaz entre los enfoques antiguos y nuevos es
perfecta para que los usuarios no tengan que reinventar la rueda cuando se adoptan. Esto
significa que muchos de los libros y herramientas de apoyo que se han desarrollado
hasta la fecha para apoyar la gestin de servicios seguirn siendo vlidos y tiles.
Los procesos ITIL v3 son conjuntos estructurados de actividades diseados para
cumplir un objetivo concreto. De este modo, los procesos ITIL v3 requieren de una o
ms entradas y producen una seria de salidas, ambas definidas con anterioridad.
Los procesos ITIL v3 suelen incorporar la definicin de los roles que intervienen, las
responsabilidades, herramientas y controles de gestin necesarios para obtener las
salidas de forma eficaz.
Los procesos ITIL v3 siguientes definen las polticas, estndares, guas de actuacin,
actividades e instrucciones de trabajo necesarias para una correcta gestin de los
servicios TI.
En resumen:

 Se define como una biblioteca que documenta las Buenas Prcticas de la Gestin
de Servicios de TI
Es el estndar de facto reconocido a nivel mundial para la Administracin de
Servicios de TI.
Define la gestin de servicios como procesos relacionados e integrados para
entregar servicios de calidad al cliente.
Reconocido a nivel mundial para la gestin de los servicios TI y el alineamiento
de TI con los objetivos del negocio.
Es complementario, suplementario y modular a otros estndares y marcos de
referencia
Recomienda prcticas slidas y comprobables para cualquier tipo o tamao de
organizacin pblica o privado.

3.2. BENEFICIOS.
Con la aproximacin sistemtica a la gestin de los Servicios TI ofrecida por ITIL, se
pueden conseguir beneficios como:
A. Para la Organizacin de TI
Incrementar la satisfaccin de los usuarios con los servicios TI
Reducir el riesgo de no cumplir con los requisitos de negocio relacionados con
la provisin de los servicios TI
Mejorar la comunicacin y flujo de informacin entre el personal de TI y los
clientes

 Brindar gua y estndares para el personal TI

Aplicar planes de mejora continua a los servicios TI, sobre la base de
indicadores de desempeo (KPIs) que mide la eficiencia de cada proceso
recomendado por ITIL
Integracin con otros estndares y modelos de referencia, tales como, CMMi,
ISO 27001 (gestin de la seguridad), riesgo operacional, ISO9000 (Gestin de
calidad).

B. Para los clientes (negocio) de los servicios TI.

Reafirmacin que los servicios TI son dados de acuerdo a procedimientos
documentados que pueden ser auditados.
La capacidad de depender de los servicios TI, haciendo posible que los clientes
cumplan con los objetivos del negocio.
Identificacin de los puntos de contacto para preguntas o discusiones sobre
requerimientos de cambio / mejoras de los procesos de negocio.
Mayor informacin para la justificacin de cobros por los servicios TI y del
control de los acuerdos de niveles de servicio.
Dar apoyo con evidencias para auditorias (internas y externas) y programas de
mejoras corporativos.

3.3. FUNCIONAMIENTO DE ITIL EN LAS ORGANIZACIONES.

Paso 1 y 2 (a): Todo comienza con la organizacin como gran demandante de

servicios informticos, el cliente o el que asigna y decide el presupuesto para
estos servicios de la organizacin acuerda o negocia los acuerdos de servicios
(SLA) con la direccin de informtica. Se crea un catlogo de servicios, costes,
tiempos, y otras condiciones de los servicios que prestar informtica a la
organizacin. Por ejemplo, servicios de e-Mail, Intranet, ERP, CRM, Internet,
impresin, entre otros.

Paso 3 (b):Una vez puestos en marcha los servicios se define e instala un

departamento o unidad de Service Desk (escritorio de ayuda), el cual ser el
punto de contacto de los usuarios de los servicios con el departamento de
informtica. Se trata de un nico punto de comunicacin de los usuarios con
informtica, en donde se podrn abrir incidentes y nuevos requerimientos de
servicios.

Paso 3 (c): Los responsables del Service Desk, reciben y registran las solicitudes
de los usuarios. En incidentes de incidentes de los servicios, primero buscan en
la base de datos de errores conocidos o una especie de base de datos de
conocimientos, para verificar si la solucin al incidente existe, y as dar la
solucin al usuario de forma inmediata.

Paso 3 (d): En incidente de no poder solucionar el incidente al usuario, el

operador de Service Desk lo escala a la persona apropiada para que lo
soluciones. En otras palabras se pasa a la Gestin de Incidentes para que se
busque la solucin al usuario.

Paso 4 (e): Si el incidente es recurrente y/o no es encontrado, se pasa a la

Gestin de problemas en donde se buscar la solucin definitiva. De ser posible
se escala a proveedores externos (por ejemplo IBM, SUN, etc.) para que ayude
en la solucin del mismo. Una vez solucionado el problema, se documenta e
incorpora a la base de datos de errores conocidos.

Paso 4 (f): Muchas veces los usuarios solicitan nuevos servicios a la gerencia de
informtica. Service Desk en este incidente abre una peticin de servicios y lo
pasa a la Gestin del Cambio para que se abra un Cambio y se proceda, previa
evaluacin por parte de un comit asesor (CAB), con su implementacin. Un
cambio es toda peticin de servicios que cambia la infraestructura informtica de
la organizacin.

Paso 4 (g): La gestin de versiones se refiere, como su nombre lo indica, al

mantenimientos de versiones de software por parte de la direccin informtica.

Abarca la gestin tecnolgica y control legal de las versiones de software

instaladas en la infraestructura de la organizacin.

Paso 4 (h): La base de datos de configuracin o CMDB mantiene el inventario

de todos los tems de configuracin (por ejemplo, PCs, impresoras, software,

documentacin, personas, etc.) de la organizacin, la cual es accedida y

actualizada por los diferentes procesos que conforman ITIL.

Pasos 2 (i), (j), (k) y (l): Son necesarios y estratgicos para mantener los
servicios informticos operando de manera efectiva y eficaz. Y tambin utilizan
a la CMDB como referencia y consulta de los componentes de la infraestructura
informtica.

3.4. CICLO DE VIDA DEL SERVICIO.

3.4.1. Definicin de Ciclo de Vida del Servicio
La versin 3 tiene un sistema de gestin de vida til que se enfoca en el ciclo de vida.
Un diccionario define la general "ciclo vital" como las diferentes etapas a travs del
cual un ser vivo o de un servicio pasa a la derecha de la evolucin de su vencimiento.
El ciclo de vida de una aplicacin incluye requisitos, disear, construir,
implementar, operar, optimizar.
El ciclo de vida ampliado incidente incluye detectar, responder, diagnosticar,
reparar, recuperar, restaurar.
El ciclo de vida de un servidor pueden incluir: pedidos, recibidos, en la prueba,
dispuestos en directo, etc.
La primera versin de ITIL estaba conformada por un gran volumen de libros que
describan diversos aspectos relacionados con la operacin de infraestructura de TI. La
v2 redujo esta coleccin a 10 libros enfocada en procesos relacionados con las fases de
operacin del servicio, mientras que ITIL V3 se focaliza en el Ciclo de Vida del
Servicio a partir de la gestin de un servicio desde la solicitud del mismo hasta su
entrega.

3.4.2. Etapas del Ciclo de Vida del Servicio ITIL V3

La V3 est conformada por cinco etapas, que buscan facilitar su aplicacin.
1. Estrategia de Servicio
2. Diseo del Servicio
3. Transicin del Servicio
4. Operaciones del Servicio
5. Mejora Continua del Servicio
A continuacin se muestra un resumen de las 5 etapas que forman parte ITIL V3.
3.4.2.1.

Estrategia de Servicio y Procesos

Estrategia de Servicio
Fase que busca conseguir el alineamiento entre el negocio y TI. Es decir pretende
entender y trasladar las necesidades del negocio a las estrategias de TI y proporciona las
herramientas para una planeacin de la gestin de servicio de TI.
Las organizaciones deberan usar la estrategia como una orientacin en los siguientes
aspectos:
Identificar, seleccionar y priorizar oportunidades de negocio.
Crear aspectos distintivos respecto de la competencia que refuercen el
posicionamiento en el mercado.
Asegurar que la organizacin es capaz de soportar el costo y el riesgo asociados
a su catlogo de servicios.
Mejorar la alineacin de las capacidades de gestin de los Servicios con las
estrategias de negocio.

 Establecer qu servicios deben implementarse y por qu antes de preguntarse el

cmo hacerlo.

Procesos ITIL V3 de la Fase de Estrategia del Servicio

a) Gestin Financiera: Este proceso se ha tomado de la versin 2. La gestin financiera
es responsable de la gestin de presupuestos y contabilidad, y opcionalmente los
sistemas de devolucin de cargo de servicios de TI.
b) Gestin de la Cartera de Servicios (SPM): Se trata de un nuevo proceso para la
estrategia de servicio introducido en la versin 3. Este proceso gestiona el inventario
completo de servicios de TI, tales como:

Los servicios que se planifican y se aprob (pipeline).

Los servicios que se han diseado, implementado y en funcionamiento (catlogo

de servicio).

Servicios que ya no estn disponibles.

c) Gestin de la demanda: En la versin 2, este proceso es un subconjunto de la

capacidad de gestin. En la versin 3, que se expande y se trata como un proceso
separado. Este proceso es responsable de entender e influir en la demanda del cliente
para los servicios, y para proporcionar la capacidad para satisfacer esa demanda.
Tambin implica la optimizacin y racionalizacin de los recursos de TI.
d) Generacin de estrategia: Se trata de un nuevo proceso estratgico de la versin 3. Su
objetivo es definir el mercado de negocios para los nuevos servicios, en primer lugar
entender las necesidades y los problemas de los clientes
empresariales, y ofrece servicios para satisfacer esas necesidades. El objetivo final es
contar con la empresa el tratamiento de gestin de servicios TI como un

activo estratgico.
3.4.2.2.

Diseo del Servicio y Procesos

Diseo del Servicio

Esta fase pretende suministrar una gua en la produccin y mantenimiento del diseo de
arquitecturas y polticas de TI sobre el desarrollo de servicios incluyendo Insourcing y
Outsourcing.
Procesos ITIL V3 de la Fase de Diseo del Servicio
a) Gestin del Nivel de Servicio (SLM): Este proceso se ha tomado de la versin 2.
Gestin de nivel de servicio implica negociar los niveles de servicio, la finalizacin de
los contenidos y la revisin peridica de tres documentos claves:
1. Acuerdos de nivel de servicio (SLAs).
Negociado con los clientes de negocios. El SLA debe recoger en un lenguaje no tcnico,
o cuando menos comprensible para el cliente, todos los detalles de los servicios
brindados.
Tras su firma, el SLA debe considerarse el documento de referencia para la relacin con
el cliente en todo lo que respecta a la provisin de los servicios acordados, por tanto, es
imprescindible que contenga claramente definidos los aspectos esenciales del servicio
tales como su descripcin, disponibilidad, niveles de calidad, tiempos de recuperacin.
Los SLAs deben contener una descripcin del servicio que abarque desde los aspectos
ms generales hasta los detalles ms especficos del servicio.

Es conveniente estructurar los SLAs ms complejos en diversos documentos de forma

que cada grupo involucrado reciba exclusivamente la informacin correspondiente al
nivel en que se integra, ya sea en el lado del cliente como del proveedor.
2. Acuerdos de nivel de operacin (OLA)
Negociado con los grupos de apoyo interno. OLA es un documento interno de la
organizacin donde se especifican las responsabilidades y compromisos de los
diferentes departamentos de la organizacin TI en la prestacin de un determinado
servicio.
3. Contratos de Soporte (UCs)
Negociado con terceros externos proveedores. Un UC es un acuerdo con un proveedor
externo para la prestacin de servicios no cubiertos por la propia organizacin TI.
b) Gestin de la Capacidad: Este proceso tambin se lleva a partir de la versin
2. Este es responsable de asegurar que la capacidad de los servicios de TI y la
infraestructura es adecuada al cumplimiento de los objetivos de nivel de servicio
comprometido.
c) Gestin de la Disponibilidad: Este proceso se ha llevado a ms de la versin 2.
Consiste fundamentalmente en garantizar que los niveles propuestos de la
disponibilidad de todos los servicios de TI se efecten o superen.
d) Gestin de la Continuidad del Servicio TI (ITSCM): Este proceso se ha llevado a
ms de la versin 2. Es responsable de la gestin del riesgo a los servicios de TI para
asegurar la continuidad del servicio en incidente de desastres. Otro objetivo es mantener
los necesarios planes de continuidad de servicio de TI y los planes de recuperacin que
apoyen los planes de negocio de la organizacin de continuidad.
e) Gestin de la Seguridad de la Informacin: Se trata de un nuevo proceso para la
versin 3. En la versin 2, la seguridad era un libro aparte, donde la principal

responsabilidad de gestin de la seguridad era la de proteger la confidencialidad,

integridad y disponibilidad de los datos de la empresa. En la versin 3, esta
responsabilidad se ampla para incluir los activos de una empresa, informacin y
servicios de TI.
f) Gestin de Suministradores: Este es un nuevo proceso para la versin 3. Gestin de
proveedores es responsable de administrar todas las externas de terceros proveedores
que proporcionan o apoyan los servicios de TI.
3.4.2.3.

Transicin del Servicio y Procesos

Transicin del Servicio

Fase que busca hacer la transicin de la estrategia y diseo del servicio a produccin
amparndose en los procesos de gestin de cambios y gestin de lanzamientos.

Procesos ITIL V3 de la Fase de Transicin del Servicio

a) Planificacin y Soporte de la Transicin: Se trata de un nuevo proceso para la versin

3 relacionados con la fase de transicin de servicios del ciclo de vida til de gestin.
Este proceso tiene dos metas. Para planificar y coordinar los recursos necesarios para
asegurar que los requisitos de la estrategia de servicio que se incorporan en el diseo de
servicios son llevados a la prctica en las operaciones de servicio. Para identificar,
gestionar y controlar los riesgos de incidente en las actividades de transicin.
b) Gestin de Cambios: Esto ha tomado de la versin 2. Gestin del cambio es el
responsable de la vigilancia y el control de cambios en la infraestructura.
Supervisar, autorizar, priorizar, planificar, programar, probar e implementar nuevos
servicios o cambios importantes en los servicios existentes.

c) Gestin de Configuracin y Activos del Servicio SACM: gestin de la configuracin

se parte de la Versin 2. En la versin 3, que se expande para incluir la gestin del
servicio activo, que rastrea y registra el valor y la propiedad de los activos financieros
asociados con los servicios de TI. Gestin de la configuracin es similar a la versin 2 y
proporciona un modelo lgico de la infraestructura de TI, que consta de los elementos
de configuracin, sus atributos y sus relaciones.
d) Gestin de Entregas y Despliegues: En la versin 2, este proceso se llama gestin de
lanzamientos. En la versin 3, este proceso consta de dos reas claves, la entrega y
despliegue.

e) Validacin y pruebas del servicio: Se trata de un nuevo proceso para la versin 3. Se

asegura que los resultados del diseo de servicios y el paquete de lanzamiento ofrecer
un servicio nuevo o modificado que aade valor al cliente. Tambin asegura que es
adecuado para el propsito y apto para su uso. Este proceso confirma estas garantas a
travs de la validacin a fondo y los procedimientos de prueba.

f) Evaluacin: Se trata de un nuevo proceso para la versin 3 y se centra en la prestacin

de un servicio nuevo o modificado. El propsito de este proceso es proporcionar los
medios estndar para determinar si el rendimiento real de un servicio nuevo o
modificado se compara favorablemente con el rendimiento previsto, y si funciona
aceptablemente, proporcionando valor al cliente.
3.4.2.4.

Operacin del Servicio y Procesos

Operacin del Servicio

Fase del ciclo de vida del servicio en donde se gestionan los servicios en un entorno de
produccin y se centra en los procesos de gestin de incidentes, gestin de problemas y
gestin de solicitudes de servicios.

Procesos ITIL V3 de la Fase de Operacin del Servicio

Gestin de incidentes

Este proceso se lleva a partir de la versin 2 y es responsable de restaurar el servicio tan

pronto como sea posible y minimizar los impactos adversos de las interrupciones del
servicio.
El nivel de prioridad se basa esencialmente en dos parmetros
A. Impacto: Determina la importancia del incidente dependiendo de cmo este
afecta a los procesos de negocio y/o nmero de usuarios afectados.
B. Urgencia: Dependiendo del tiempo mximo de demora que acepte el cliente
para la resolucin del incidente y/o el nivel de servicio.
Existen dos factores auxiliares tales como el tiempo de solucin esperado y los
recursos necesarios, los incidentes sencillos se tramitarn cuanto antes.
Dependiendo de la prioridad se asignarn el recurso necesario. La prioridad del
incidente puede cambiar durante su ciclo de vida, es decir encontrar soluciones
temporales que restauren los niveles de servicio y que permitan retrasar el cierre
del incidente sin graves afectos.

Tipos de Atencin del Incidente

Escalado y soporte

Es frecuente que el centro de servicios no sea capaz de resolver en primera instancia un

incidente y por ende debe recurrir a un especialista o algn superior que pueda tomar
decisiones que se escapan de su responsabilidad a esto se llama escaldo.
Bsicamente hay dos tipos diferentes de escalado:
I.

Escalado funcional: Se requiere el apoyo de un especialista de ms alto

nivelpara resolver el problema.

II.

Escalado jerrquico: Se debe acudir a un responsable de mayor autoridadpara

tomar decisiones que se escapen de las atribuciones asignadas a ese nivel, como,
por ejemplo, asignar ms recursos para la resolucin de unincidente especfico.

CMDB(base de datos de la gestin de configuracin):

Permite conocer todas las implicaciones que puedan tener en otros servicios el mal
funcionamiento de un determinado CI. AL resolver el incidente se debe actualizar el
CMDB en incidente de que haya sido necesario cambiar o modificar ciertos elementos
de configuracin.

Gestin de problemas: Este proceso se lleva a partir de la versin 2. Evita que

los problemas de los servicios de TI, junto con los incidentes resultantes, elimina
la recurrencia de incidentes, e identifica la causa de las interrupciones del
servicio y propone soluciones permanentes para eliminar esta causa. Este
proceso tambin se presenta una solicitud para el cambio que va a implementar
la solucin, y ofrece una solucin temporal para el problema.

Las funciones principales de la gestin de problemas son:

Investigar las causas subyacentes a toda alteracin, real o potencial, del servicio
TI.

Determinar posibles soluciones a las mismas.

Proponer las peticiones de cambio (RFC) necesarias para restablecer la calidad

del servicio.

Realizar revisiones Post Implementacin (PIR) para asegurar que los cambios
han surtido los efectos buscados sin crear problemas de carcter secundario.

La gestin de problemas puede ser:

Reactiva: Analiza los incidentes ocurridos para descubrir su causa y

proponesoluciones a los mismos.

Proactiva: Monitoriza la calidad de la Infraestructura TI y analiza su

configuracin con el objetivo de prevenir incidentes incluso antes de que estos
ocurran.

Las principales actividades de la Gestin de Problemas son:

Control de Problemas: se encarga de registrar y clasificar los problemas para

determinar sus causas y convertirlos en errores conocidos.

Control de Errores: registra los errores conocidos y propone soluciones a los

mismos mediante RFCs que son enviadas a la Gestin de Cambios. Asimismo
efecta la Revisin Post Implementacin de los mismos en estrecha
colaboracin con la Gestin de Cambios. Y cuando la estructura de la
organizacin lo permite, desarrollar una Gestin de Problemas Proactiva que
ayude a detectar problemas incluso antes de que estos se manifiesten
provocando un deterioro en la calidad del servicio.

Proceso Control de problemas

El principal objetivo de control de problemas es conseguir que estos se conviertanen

errores conocidos para que el Control de Errores pueda proponer las soluciones
correspondientes.

 Gestin de acceso: Se trata de un nuevo proceso para la versin 3. Este proceso

de ayudas las personas autorizadas, el derecho a utilizar un determinado servicio
de TI al tiempo que evita el acceso de usuarios no autorizados. Gestin de
acceso, garantiza y ejecuta las polticas definidas por la gestin de seguridad de
la informacin y la gestin de la disponibilidad. Este proceso se refiere a veces
como la gestin de los derechos o la gestin de identidades.
Gestin de eventos: Este es un nuevo proceso para la versin 3. En cuanto a
ITIL, un "evento" es cualquier suceso detectable o discernible que tiene
importancia para la gestin de la infraestructura de TI o la prestacin de un
servicio de TI. Gestin de eventos es el proceso responsable de la deteccin,
gestin y determinar las acciones de control adecuadas para estos eventos a lo
largo de su ciclo de vida.
Cumplimiento de la solicitud: En la versin 2, las solicitudes de servicio se
manejan normalmente, ya sea la funcin de mesa de servicio o incidente, el o los
procesos de gestin del cambio. En la versin 3, el cumplimiento de peticin es
un proceso independiente para tramitar las solicitudes de servicio de los
usuarios, ya que muchas de estas solicitudes implican pequeos cambios, riesgos
bajos o simples solicitudes de informacin.
3.4.2.5.

Mejora Continua del Servicio y Procesos

Mejora Continua del Servicio

Se enfoca en el ciclo de mejora continua de E. W. Demming. Busca las entradas y
salidas necesarias para el adecuado ciclo de mejora continua sobre los servicios
vigentes.

Procesos ITIL V3 de la Fase de Mejora Continua del Servicio

a) Medicin del Servicio

b) Proceso de mejora de CSI

c) Informes de Servicio

4. COSO.

El Informe COSO es un documento que contiene las principales directivas para la

implantacin, gestin y control de un sistema de control.
Debido a la gran aceptacin de la que ha gozado, desde su publicacin en 1992, el
Informe COSO se ha convertido en el estndar de referencia.

IV.1.

Marco Integrado COSO III

Tres categoras de objetivos:

Objetivos de la Operacin
Objetivos de Informacin
Objetivos de Cumplimiento
IV.2.

Objetivo de las operaciones. (est representado en 3 categoras)

Operaciones
Eficacia y eficiencia de las operaciones
Objetivos de desempeo
Salvaguarda de los activos
Informacin
Informes financieros y no financieros

 Internos y externos
Pueden abarcar confiabilidad, oportunidad, transparencia u otros trminos
Adhesin a las leyes y regulaciones
IV.3.

Entorno de control.

Normas, Procesos y Estructuras que son la base del control interno

El Directorio y la alta Gerencia establecen el tono en la cspide

Asignan la relevancia del control interno

Asignan normas de conductas esperados

El entorno de Control, comprende:

Integridad y valores ticos de la organizacin

Lineamientos que permiten al Gobierno Corporativo y al Directorio llevar a

cabo sus responsabilidades de supervisin

Estructura organizacional y asignacin de autoridad y responsabilidad

Procesos de atraer, desarrollar y retener a personas competentes

Rigor en torno a las medidas de desempeo, incentivos y recompensas para

impulsar las rendiciones de cuentas.

El entorno de control resultante tiene un impacto generalizado en el sistema de control
interno

IV.3.1. Principios del Entorno de Control

1. La Organizacin demuestra un compromiso con la integridad y valores ticos.
2. El Directorio demuestra independencia de la Administracin y supervisa el
desarrollo y cumplimiento del control interno.
3. La Administracin establece con el Directorio la supervisin de las estructuras,
las lneas de reportes y los sistemas de autoridad y responsabilidad para el logro
de los objetivos.
4. La Organizacin demuestra un compromiso para atraer, desarrollar y retener
personas capaces que ayudan al logro de los objetivos.
5. La Organizacin responsabiliza a los individuos por sus responsabilidades en la
bsqueda de los objetivos.

IV.4.

Evaluacin de riesgos.

Toda empresa enfrenta a una variedad de riesgos externos e internos

Riesgo: Posibilidad de que ocurra un evento y afecte el logro de los objetivos
Evaluacin de riesgos: proceso dinmico e iterativo para identificar y evaluar los
riesgos
Los riesgos para el logro de objetivos se consideran respecto a tolerancias al
riesgo establecidas
La evaluacin de riesgos es la base para determinar cmo se gestionarn los
riesgos
Condicin previa para la evaluacin de riesgos es el establecimiento de
objetivos, enlazados a travs de la entidad:
La Gerencia establece objetivos para operaciones, reporte y cumplimiento

 Los objetivos deben ser suficientemente claros para poder identificar y analizar
sus riesgos
La Gerencia considera la idoneidad de los objetivos para la entidad
La evaluacin de riesgos requiere que la Gerencia considere el impacto de los
posibles cambios en el entorno externo y en su propio modelo de negocios que
pueden hacer que el control interno sea inefectivo
IV.4.1. Principios de la Evaluacin de Riesgos:
1) La Organizacin especifica los objetivos con suficiente claridad para permitir la
identificacin y evaluacin de riesgos en relacin a los objetivos.
2) La Organizacin identifica los riesgos para el logro de los objetivos en toda la
entidad y analiza los riesgos como base para determinar cmo los riesgos deben
ser administrados.
3) La Organizacin considera el potencial de fraude en la evaluacin de riesgos
para el logro de los objetivos.
4) La Organizacin identifica y evala los cambios que podran impactar
significativamente el sistema de control interno.
IV.5.
I.

Actividades de control.

Acciones establecidas mediante polticas y procedimientos para asegurar que las

directrices de gerencia para mitigar los riesgos se cumplen

II.

Las actividades de control se llevan a cabo en todos los niveles de la entidad, en

las diversas etapas de los procesos de negocio, y sobre el entorno tecnolgico

III.

Pueden ser preventivos o detectivos y pueden abarcar una amplia gama de

actividades manuales y automatizados

IV.

Autorizaciones, aprobaciones, verificaciones, conciliaciones, revisiones de

desempeo

V.

La segregacin de funciones tpicamente se incorpora en la seleccin y el

desarrollo de las actividades de control

VI.

Cuando la separacin de funciones no es prctica, la Gerencia selecciona y

desarrolla actividades de control alternativa

IV.5.1. Principios de las Actividades de Control.

La Organizacin selecciona y desarrolla las actividades de control que contribuyen a la
mitigacin de riesgos para el logro de los objetivos a niveles aceptables.

La Organizacin selecciona y desarrolla las actividades de control generales

sobre la tecnologa para apoyar el logro de los objetivos.

La Organizacin despliega las actividades de control mediante polticas que

establecen lo que es esperado y los procedimientos que ponen en prctica las
polticas.

IV.6.

Informacin y comunicacin.

a. La informacin es necesaria para que la entidad lleve a cabo las

responsabilidades de control interno para apoyar al logro de sus objetivos
b. La gerencia obtiene o genera y utiliza informacin relevante y de calidad de
fuentes internas y externas para apoyar el funcionamiento de los otros
componentes de control interno
c. La comunicacin es el proceso e iterativo para proporcionar, compartir y obtener
la informacin necesaria
d. La comunicacin interna es el medio por el cual la informacin se difunde en
toda la organizacin, fluye hacia arriba, abajo, y en toda la entidad
e. Esto permite al personal recibir un mensaje claro de la alta Gerencia que las
responsabilidades de control deben ser tomadas en serio

f. La comunicacin externa es doble, permite la comunicacin entrante de

informacin externa relevante, y proporciona informacin a las partes externa en
respuesta a las necesidades y expectativas
IV.6.1. Principios de la Informacin y Comunicacin
a. La Organizacin obtiene o genera y usa informacin relevante y de calidad para
apoyar el funcionamiento del control interno.
b. La Organizacin internamente comunica la informacin, incluyendo los
objetivos y responsabilidades para el control interno, necesario para apoyar el
funcionamiento de control interno.
c. La Organizacin se comunica con las partes externas en relacin a asuntos que
afectan el funcionamiento del control interno.

IV.7.

Actividades de monitoreo.

Evaluaciones continuas, evaluaciones independientes o una combinacin de

ambas se utilizan para determinar si cada uno de los cinco componentes de
control interno, incluidos los controles sobre los principios dentro de cada
componente, estn presentes y funcionan
Evaluaciones continuas, integradas en los procesos de negocio de los diferentes
niveles de la entidad proporcionan informacin oportuna
Evaluaciones independientes, realizadas peridicamente, varan en alcance y
frecuencia en funcin de la evaluacin del riesgo, la eficacia de las evaluaciones
continuas, y otras consideraciones de la Gerencia
Los hallazgos son evaluados con respecto a criterios establecidos por los
reguladores, organizamos de normalizacin, o la Gerencia y el Directorio
La deficiencia se comunican a la Gerencia y al Directorio, segn corresponda.

IV.7.1. Principios de la Actividades de Monitoreo

I.

La Organizacin selecciona, desarrolla y realiza evaluaciones continuas y/o

separadas para asegurar si los componentes de control interno estn presentes y
funcionando.

II.

La Organizacin evala y comunica deficiencias de control interno de forma

oportuna a tales partes responsables de tomar acciones correctivas, incluyendo la
Gerencia Superior y el Directorio, segn corresponda.

5. ISO 20000: CALIDAD DE LOS SERVICIOS TI.

Es la primera norma de calidad a nivel mundial dirigida especficamente a las
organizaciones de TI (Tecnologa de la Informacin).
Describe un conjunto integrado de procesos y un enfoque de gestin para la provisin
efectiva de servicios de TI a clientes internos o externos.
5.1.

SGT

La TI (tecnologa de la informacin) es imprescindible en las empresas de hoy en da.

Sin embargo, las preocupaciones en torno a los servicios de TI tanto internos como
subcontratados crecen debido a que estos servicios no se ajustan a las necesidades de
empresas y clientes. Una solucin reconocida a este problema es utilizar un sistema de
gestin de servicios de TI (SGSTI) basado en ISO 20000, la norma internacional para
gestin de servicios de TI. la ISO 20000, ofrece a las compaas la oportunidad de
demostrar a sus clientes y accionistas la integridad y seguridad de sus operaciones, y
promueve una cultura de mejora continua de la calidad en materia de gestin de
servicios tecnolgicos.

La certificacin para esta norma permite demostrar de una forma independiente a los
clientes que la entidad cumple con las mejores prcticas.
La certificacin ISO 20000 proporciona a las organizaciones un planteamiento
estructurado para desarrollar servicios de tecnologa de la informacin fiables. Es un
reto, pero tambin es una oportunidad que tienen las empresas para salvaguardar sus
sistemas de gestin de tecnologa de la informacin
La norma ISO 20000 se concentra en la gestin de problemas de tecnologa de la
informacin mediante el uso de un planteamiento de servicio de asistencia - los
problemas se clasifican, lo que ayuda a identificar problemas continuados o
interrelaciones.
La norma considera tambin la capacidad del sistema, los niveles de gestin necesarios
cuando cambia el sistema, la asignacin de presupuestos financieros y el control y
distribucin del software.

5.2.

Partes de la ISO 20000.

5.2.1. Parte 1
La parte uno es la especificacin para la gestin de servicios que abarca la gestin de
servicios de TI. sta es la parte que se puede auditar y establece unos requisitos
mnimos que deben cumplirse para obtener la certificacin
Su alcance incluye:
Requisitos para un sistema de gestin
Planificacin e implantacin de la gestin del servicio
Planificacin e implantacin de servicios nuevos o cambiados
prestacin de servicios

Proceso de

 Procesos de relaciones
Procesos de resolucin
Procesos de control y liberacin

5.2.2. Parte 2
La parte dos es el cdigo profesional para la gestin de servicios, que describe las
mejores prcticas para los procesos de gestin de servicios en el mbito de la
especificacin El Cdigo de procedimiento resulta especialmente til para
organizaciones que se preparan para someterse a una auditora segn la norma ISO
20000-1 o para planificar mejoras del servicio.

5.3.

Objetivos.

Los objetivos de la ISO 20000 son:

Promover la adopcin de procesos integrados con el fin de suministrar la gestin
de los servicios para obtener los requisitos tanto de nuestros clientes cmo del
mercado en s.
Medir la comprensin de nuestras buenas prcticas, objetivos, beneficios y
posibles problemas dentro de nuestro Sistema de Gestin.
Ayudar a las organizaciones a generar facturacin, o bien, generar costes
efectivos o beneficios dentro de la va profesional del servicio TI que se
suministra a los clientes.

5.4.

Ventajas:

 Demuestra que una organizacin dispone de controles y procedimientos

adecuados para prestar coherentemente un servicio de TI de calidad y rentable.
Ofrece la posibilidad de seleccionar y gestionar a los proveedores de servicios
externos con mayor eficacia.
Ms oportunidades de mejorar la eficacia, fiabilidad y coherencia de los
servicios de TI que repercuten en los costes y el servicio.
El proceso de certificacin puede reducir la cantidad de auditoras a proveedores
y disminuir as los costos.
Permite demostrar altos niveles de calidad y fiabilidad de los servicios de
tecnologa

de

informacin,

cuando

presente

ofertas

para

contratos

internacionales o cuando realice ampliaciones locales para aumentar su volumen

de negocio.