Tema 1.docx

TEMA 1. PRINCIPIOS DE LA SEGURIDAD INFORMATICA (parte1)

¿QUE SE ENTIENDE POR SEGURIDAD INFORMÁTICA? Podemos definir la seguridad informática como una disciplina que se encarga de proteger la integridad y la privacidad de la información que esté en el sistema informático, pero aunque intentes poner la máxima seguridad nunca obtendrás el 100% en seguridad ya que todos los sistemas formativos son violables. Puedes protegerles de una forma tanto lógica como física, pero las maquinas pueden ser infectadas tanto por programas instalados en la misma maquina como por via remota a través de Internet pudiendo que cambien el rendimiento de los equipos o bloquear el usuario del sistema. Hay ciertos aspectos o cuestiones que están relaciones cuando hablas de seguridad informática como: 1. El cumplimiento de las regularizaciones legales dentro de cada ámbito. 2. Mantener un control en el acceso de los servicios que ofrecen y tener la información guardada en un sistema informático. 3. Controlar el acceso y la utilización de ficheros protegidos por la ley. 4. Solicitar la identificación del autor de los mensajes o de la información. 5. Realizar un registro del uso de los servicios de un sistema informático.

La seguridad de la información se define como la conservación de :

Confidencialidad: Asegurar que la información es accesible solo para

 aquellos autorizados a tener acceso.

Integridad: garantizar la exactitud de la información y de los métodos de su

 procesamiento.

Disponibilidad:

 Asegurar que los usuarios autorizados tienen acceso cuando lo requieran a la información y sus activos asociados.

LAS NORMAS ISO Las normas ISO son estándares o normas de seguridad que son establecidas por la Organizacion Internacional para la Estandarización (ISO).

LA FAMILIA ISO Las series de normas ISO relacionadas con la calidad constituyen lo que se denomina familia de normas, las que abarcan distintos aspectos relacionados con la calidad:  ISO 9000: Sistemas de Gestión de Calidad. Fundamentos, vocabulario, requisitos, elementos del sistema de calidad, calidad en diseño, fabricación, inspección, instalación, venta, servicio post venta, directrices para la mejora del desempeño. Mas información en : WIKIPEDIA  ISO 10000: Guías para implementar Sistemas de Gestión de Calidad/ Reportes Técnicos.Guía para planes de calidad, para la gestión de proyectos, para la documentación de los SGC, para la gestión de efectos económicos de la calidad, para aplicación de técnicas estadísticas en las Normas ISO 9000. Requisitos de aseguramiento de la calidad para equipamiento de medición, aseguramiento de la medición. Mas información en: WIKIPEDIA  ISO 14000: Sistemas de Gestión Ambiental de las Organizaciones. Principios ambientales, etiquetado ambiental, ciclo de vida del producto, programas de revisión ambiental, auditorias. Mas información: MONOGRAFIAS  ISO 19011: Directrices para la Auditoria de los SGC y/o Ambiental Mas información en: HEREDEROS CONSULTORES

De todas las normas ISO la que nos interesa para la seguridad informática es la norma ISO-7498 que define la seguridad informática como una serie de mecanismos que minimizan la vulnerabilidad de bienes y recursos informáticos. La seguridad es un sistema informático que depende de múltiples factores como: 1. La sensibilización de los directivos y responsables de la organización. 2. Los conocimientos, capacidades e implantaciones de los responsables del sistema informático. 3. La formación y responsabilidad de todos los usuarios del sistema. 4. La correcta instalación, configuración y mantenimiento de equipos 5. La restricción de la asignación de los permisos y privilegios de los usuarios usando el denominado "mínimo de privilegios". 6. Mantener actualizado al día el hardware y el software según las indicaciones del fabricante. 7. Observar la seguridad frente a las amenazas en general ( tanto como del exterior como del interior). Ha esto se le llama: "Principio de defensa en profundidad". 8. La acomodación de los objetivos de seguridad a las necesidades reales de la empresa.

PRINCIPIOS DE DEFENSA EN SEGURIDAD

Consiste en la implantación y diseño de varios niveles de seguridad dentro del sistema informatico de la organización. Los datos es nuestra prioridad ya que son lo mas sensible y tenemos que proteger.

Objetivos de la seguridad informática Como objetivo principal, la seguridad informática, pretende minimizar los riesgos, gestionarlos y detectar posibles amenazas o problemas en la información o infraestructuras informática. Otros objetivos son: 

Garantizar la conveniente utilización de los recursos y de las aplicaciones del sistema.

 Limitar los daños y conseguir la conveniente recuperación del sistema en caso de un percance de seguridad.  Cumplir con el marco legal y los requisitos impuestos por los clientes Para cumplir estos objetivos se deben de completar cuatro planes de actuación: 1. Plano técnico, tanto a nivel físico como lógico 2. plano legal, lo que obliguen las leyes 3. Plano humano, sensibilización y formación de empleados funciones y obligaciones del personal. 4. Plan organizativo, definición e implantación de políticas de seguridad.(Planes, normas, procedimientos y buenas practicas de actuación)

Servicios de seguridad de la información Confidencialidad:

 A través de este servicio se garantiza que cada mensaje trasmitido o almacenado solo se podrá leer por el propio destinatario. Ejemplo: cifrado y ocultación de comunicación.

Autenticación:

 La autenticación garantiza que la identidad del creador de un mensaje o documento es legítima. Ejemplo: entregar en mano a quién quiero darle un usuario y contraseña en concreto.

Integridad:

 Se encarga de garantizar que el mensaje o fichero no ha sido modificado durante su transmisión. Ejemplo: para modificar que te pida unos datos requeridos, un chequeo de validez o un tipo de integridad, ya sea entidad o referencial.

No repudiación:

 Consiste en implementar un mecanismo acreditativo que permita demostrar su envió para que mas tarde no pueda impedir en envió. Ejemplo: certificados digitales, como por ejemplo la firma digital.

Disponibilidad:

 Los recursos del sistema informático es un tema de especial importancia ya que el sistema debe ser robusto para asegurar su correcto funcionamiento y puede estar a disposición de los usuarios. (Mecanismos para solucionar este problema.) Ejemplo: tener una segunda fuente de energía como mínimo, más conocida como SAI, también llamado Sistemas de Alimentación Interrumpida.

Autorización:

 Este servicio intenta controlar el acceso de los usuarios. Ejemplo: para ello se suelen crear las denominadas ACL (Listas de Control de Acceso).

Auditación:

 (También denominado trazabilidad) Permite registrar y monitorizar el empleo de los distintos recursos del sistema. Ejemplo: utilizar programas que auditen lo que queremos saber para tener la información necesaria.

Reclamación de origen:

 Se permite probar quien es el creador del documento o mensaje determinado. Ejemplo: a través de los certificados digitales, al mismo tiempo también podemos utilizar la firma digital.

Reclamación de propiedad:

 Este servicio permite probar que cierto documento con contenido digital está protegido por derechos de autor. Ejemplo: a través de los certificados digitales, al mismo tiempo también podemos utilizar la firma digital.

Anonimato en el uso de los servicios: También a veces es conveniente garantizar el anonimato de los usuarios 

que acceden a los recursos. Ejemplo: utilizar una VPN.

Protección a la replica:

 mediante este servicio se trata de impedir la realización de ataques de repetición. Ejemplo: con autenticaciones como Captcha.

Confirmación de la prestación de un servicio: este servicio de seguridad permite confirmar la realización de una 

operación o transacción reflejando los usuarios o entidades que han intervenido en ella. Ejemplo: tener acceso digital digital a la información detallada que necesites para poder ver todas las operaciones y transacciones.

Referencia temporal:

 mediante este servicio se consigue demostrar el instante concreto en que se ha enviado un mensaje o se ha realizado una determinada operación. Ejemplo: utilizar un proxy.

Certificación mediante terceros de confianza: la realización de todo tipo de transacciones a través de medios 

electrónicos requieren nuevos requisitos de seguridad para garantizar las partes que intervienen. Existe una figura llamada tercero de confianza que suele ser un organismo que se encarga de certificar la realización y contenido de las operaciones. Ejemplo: realizar pagos mediante Pay-Pal.

METODOLOGIAS 1. PDCA:

1. PLAN: Selección y definición de medidas y procedimientos 2. DO: implantación de medidas y procedimiento 3. CHECK: Comprobación y verificación de las medidas instauradas. 4. ACT: Actuación para corregir los defectos detectados. Mas información en : WIKIPEDIA

2.SGSI: El SGSI es la abreviatura utilizada para referirse a un sistema de gestion de la información

Personas:

 sensibilización e información, obligaciones y responsabilidad del personal, control y supervisión, y colectivos a considerar. 

Legislación: Cumplimiento y adaptación a la legislación vigente. Organización: Políticas, normas y procedimientos; Planes de contingencia y

 respuesta a incidentes; relaciones con terceros.

Tecnología:

 Selección, instalación, configuración y actualización de hardware y software; encriptación; estandarización del producto. Mas información en: WIKIPEDIA

NIVELES DE MADUREZ EN LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN 1ª etapa: Implantación de medidas básicas de seguridad: De sentido común como copias de seguridad, control de acceso... 2º etapa: Cumplimiento de la legislación vigente 3º etapa: Gestión global de la seguridad de la información 4º etapa: Certificación de la gestión de la seguridad. Publicado por Guille Fora en 5:49

SLA: Qué son, para qué sirven Tags: Servicios



Compartir



Compartir



José L. Benito y Gabriel Jimena.

Aunque en los últimos tiempos Comunicaciones World ha venido tratando ampliamente los acuerdos de nivel de servicio o SLA, es ahora cuando están cobrando plena vigencia a medida que crecen las alternativas. En este artículo se vuelve sobre ellos desde una perspectiva eminentemente práctica, describiendo de un modo sencillo qué son y, sobre todo, para qué sirven. El término SLA corresponde a las siglas de la expresión inglesa “service level agreement”, que traducimos como acuerdo de nivel de servicio. Un SLA es, simplemente, un acuerdo contractual entre una empresa de servicios y su cliente, donde se define, fundamentalmente, el servicio y los compromisos de calidad. Este tipo de contrato existe, en su forma más elemental, desde hace mucho tiempo; por ejemplo los contratos de suministro de agua o electricidad. Pero han sido las empresas de telecomunicaciones y de informática las que han popularizado su uso y las siglas SLA. La razón es que los servicios de estas empresas son enormemente flexibles y versátiles, con lo que la selección de las prestaciones adecuadas es difícil y el control de calidad complejo. La consecuencia de todo esto es que las expectativas y concepto de calidad entre prestador y cliente van a diferir si no se fijan y documentan a priori. Veamos un ejemplo. Una empresa que tiene conectadas sus numerosas oficinas comerciales con su centro de proceso de datos contrata servicios de telefonía (voz) y de transmisión de datos. Para esta empresa, una interrupción del servicio de datos de 15 minutos a las 3 de la madrugada entre una oficina de segundo orden y su centro de proceso de datos puede ser irrelevante, e incluso no ser detectado por los empleados, pues a esas horas sólo se atienden llamadas unas pocas llamadas telefónicas. Pero si esa interrupción ocurre a las 12 horas del medio día entre la oficina comercial más importante de la empresa y el centro de proceso de datos, la cuestión puede ser bastante grave. En ambos casos se trata de un corte de 15 minutos, pero la trascendencia ha sido muy diferente. El prestador, que se esfuerza por dar un buen servicio, considera que éste ha tenido una disponibilidad muy alta durante la semana, y está satisfecho. Pero el responsable de la oficina afectada por la interrupción a las 12 del medio día no opina lo mismo. Sólo si hemos establecido un acuerdo de nivel de servicio donde hayamos especificado nuestras necesidades con claridad y precisión, y hayamos asumido el coste que nuestras exigencias tienen podremos discutir con fundamento si el servicio prestado está al nivel solicitado o no, y si esto es así en sólo uno de los servicios que tenemos contratados o en varios. Descripción del servicio

Es evidente, por tanto, que un SLA debe contener una descripción clara del servicio a prestar, tanto de lo que sí es parte del servicio como lo que queda excluido, e irá acompañada de la cuantificación de algunos parámetros de carácter técnico que enmarquen el volumen del servicio a prestar, así como otros parámetros o indicadores que den idea del nivel de calidad que se desea del servicio. Recurriendo al ejemplo enunciado anteriormente, supongamos que el centro de cálculo está gestionado por una empresa diferente a la que usa los servicios, situación frecuente en el caso de los ASP (Proveedores de Servicio de Aplicaciones). Al definir el servicio, habrá de identificarse la aplicación sobre la que va a trabajar el solicitante del servicio, con la que pretende resolver una funcionalidad determinada (la gestión comercial, por ejemplo). En esta descripción habrá una indicación de la funcionalidad cubierta por esta aplicación que se pone a disposición del cliente/usuario final, pero además necesitaremos precisar el valor de algunos parámetros que nos van a permitir comprender el volumen del servicio. Estos parámetros, que van a caracterizar el servicio, pueden ser el número de elementos que figurarán en las tablas de productos a comercializar, el número de usuarios potenciales del servicio, el número de accesos concurrentes esperados, el número de transacciones comerciales que se realizarán cada día, etc. Con todo esto, el proveedor podrá dimensionar el sistema informático para que sea capaz de soportar el trabajo del usuario en operaciones online y de almacenar el volumen de información que su trabajo va a generar. Estos parámetros caracterizan el servicio para un cliente concreto. Niveles de Servicio Sin embargo, es probable que el cliente quiera tener garantías de que el proveedor va a soportar todo el trabajo que él va a generar, y que además lo va a hacer con un nivel de prestación o de calidad adecuado a sus necesidades. Para ello se establece el valor que deben alcanzar algunos indicadores de calidad del servicio, como la disponibilidad del servicio y el tiempo de respuesta en operaciones online. Llegados a este punto, ambas partes tienen intereses en precisar las cifras, pues un sistema de capacidad finita puede dar unos tiempos de respuesta excelentes con pocos usuarios solicitando información, pero volverse inoperante ante una sobrecarga. Además, los sistemas necesitan operaciones de mantenimiento que pueden suponer algún riesgo para los tiempos de respuesta o incluso para la disponibilidad del servicio, por lo que será útil matizar el período de tiempo en el que se precisa de un nivel u otro de disponibilidad y de tiempo de respuesta. De todo este conjunto se deducirán las características de los equipos, redes y recursos humanos a poner a disposición del cliente, y por tanto, de los costes del servicio. El cuadro de mando Pero como el mundo real no está exento de avatares, los sistemas fallan y los seres humanos se equivocan, seguramente ocurrirá algo que haga que el servicio no sea perfecto, y entonces necesitaremos tener datos para ver si el servicio ha entrado dentro de los márgenes de calidad que habíamos prefijado o no. Si no tenemos datos, cualquier afirmación es indemostrable y tan válida es la opinión del cliente cuando dice que el servicio ha sido malo, como el proveedor cuando dice que el servicio ha sido bueno.

De esta situación se sale con facilidad si se realiza una medición sistemática del servicio, en la que se obtenga el valor que van alcanzando los parámetros de volumen y de nivel de servicio enunciados. En una instalación de TI son muchos los elementos que nos proporcionan información sobre el funcionamiento de los sistemas, y lo que tendremos que hacer es disponer el sistema de medición y recogida de información de estas mediciones de un modo sistemático para que nos digan cómo se está comportando el sistema y como se están prestando los servicios. De las primeras mediciones se obtendrá información no válida para el cliente, pero si válida para explicar los posibles problemas de incumplimiento de los niveles de servicio acordados. Estamos así ante dos mediciones diferentes, mediciones de ocupación y rendimiento de los sistemas, por un lado y mediciones de actividad y calidad del servicio, por el otro. Si esto lo agrupamos y ordenamos adecuadamente habremos dado lugar al nacimiento de nuestro cuadro de mando de la instalación. De los datos recogidos en este cuadro de mando, sacaremos información para hacer el seguimiento del o de los servicios que prestamos, y tendremos datos para analizar las posibles causas de los incumplimientos o situaciones críticas en el cumpli

¿Qué es un Service Level Agreement? Un Service Level Agreement (SLA) es un contrato que describe el nivel de servicio que un cliente espera de su proveedor. En español, también se llama Acuerdo de Nivel de Servicio (ANS).

Los SLA sirven para establecer unos indicadores que se puedan medir para regular el servicio que prestamos y así asegurar el cumplimiento de las expectativas de nuestros clientes.

Los Service Desk como ServiceTonic permiten gestionar y automatizar los Acuerdos de Nivel de Servicio, facilitando que a cada ticket se le impute una prioridad o tiempo de resolución determinada según el tipo de SLA.

Tipos de SLA ITIL define 3 tipos de SLA:

SLA de servicio Aplica un SLA estándar a todos los clientes que contratan un mismo servicio. Es útil cuando nuestra empresa ofrece varios servicios con tiempos de resolución y respuesta diferentes.

Por ejemplo, los servicios Premium y los servicios Estándar, los servicios tipo incidencias y los tipo consulta o cualquier distinción propia entre servicios.

SLA basado en el cliente Aplica a todos los servicios contratados por un mismo cliente, un grupo de clientes o una misma área de negocio.

Por ejemplo, puede determinar un tiempo límite de resolución de incidencias tipo “petición de presupuesto”, y a la vez priorizar las que vengan del “departamento de finanzas” o de un cliente externo.

SLA multinivel Combina el SLA de servicio, cliente y también se aplica a nivel corporativo para todos los usuarios de una organización. Los SLA multinivel evitan duplicaciones e incompetencias entre varios acuerdos, haciendo posible integrar en un mismo sistema varias condiciones.

Por ejemplo, la persona que dirige el área de Comercial puede abrir peticiones creando tickets que apliquen el SLA estándar para el departamento, o un SLA más restrictivo para “dirección de negocio”, o un SLA de un servicio específico dentro de su departamento como “proveedores”.

ServiceTonic le ayuda a automatizar todos los SLA que quiera definir, incluso los más específicos para su empresa.

Además de los propuestos por ITIL, ServiceTonic automatiza otro SLA:

SLA de contacto Aplica únicamente a un usuario dentro de un servicio que ya tiene su SLA estándar. Es útil para ofrecer un trato diferente a un cliente al que se quiere captar, fidelizar o tener una atención específica.

Service Level Management El Service Level Management es el proceso de gestión de los acuerdos de nivel de servicio. Se encarga de definir, documentar, acordar, monitorear, medir, reportar y revisar el nivel de nuestros servicios. Es lo que hace de los SLA una ventaja competitiva en nuestra empresa.

Una buena gestión de los SLA nos permite que:

Acordemos condiciones realistas que nuestra empresa pueda soportar.

Conozcamos las expectativas de nuestros clientes.

Establezcamos parámetros concretos para medir el estado de nuestros servicios.

Cumplamos con los plazos y condiciones acordados con los clientes.

Evitemos conflictos futuros. Un acuerdo es una comunicación preventiva para establecer una relación transparente. Por esto, al cumplir un SLA se incrementa la confianza.

¿Cómo diseñar un buen SLA?

Los SLA son un seguro de calidad que o bien contribuyen a fidelizar a nuestro cliente o nos ayudan a mejorar nuestros servicios.

La condición más importante a la hora de diseñar un buen SLA es asegurar que nuestra empresa es capaz de cumplir el acuerdo. Para establecer acuerdos viables, analizaremos tanto el servicio que prestamos como la estructura interna que utilizamos para poder ofrecerlo.

Catálogo de Servicios Nos fijaremos en nuestro Catálogo de Servicios para entender la relación entre las áreas corporativas que intervienen y procesos que se llevan a cabo para ofrecer un servicio.

Operational Level Agreement Plantearemos automatizar SLA internos para asegurar el cumplimiento de los acuerdos con el cliente. Éstos son llamados Operational Level Agreement, y se encargan de establecer una coordinación interna que cumpla con los tiempos de respuesta y resolución finales.

Encuestas La gestión de los SLA no se acaba una vez se ha prestado el servicio. Es importante que analicemos el nivel de satisfacción de nuestros clientes a través de, por ejemplo, encuestas periódicas. Es fundamental conocer su opinión para conocer la efectividad de nuestra gestión de acuerdos y ajustar mejoras si es el caso.

En definitiva, los SLA son esenciales para toda empresa de servicios. Fortalecen la relación con el cliente porqué éste entenderá de forma clara qué se le ofrecerá mientras que nosotros sabemos exactamente lo que se espera de nuestra empresa.

Utilice ServiceTonic para automatizar sus SLA y acceda a cuadros de mando con información en tiempo real, con notificaciones y avisos sobre sus SLA automatizados.

L modelo de Acuerdo de Nivel de Servicios (Service Level Agreement, SLA) consiste en un contrato en el que se estipulan los niveles de un servicio en función de una serie de parámetros objetivos, establecidos de mutuo acuerdo entre ambas partes, así, refleja contractualmente el nivel operativo de funcionamiento, penalizaciones por caída de servicio, limitación de responsabilidad por no servicio, etc.... Este modelo no ha de estar relacionado necesariamente con la contratación de servicios a terceras partes, sino que puede implantarse a nivel interno, transformando una determinada unidad de negocio en centro de servicios que provea a la propia compañía. En esta parte del contrato se describe y obliga a un nivel específico de calidad en el suministro. Los principales puntos a cubrir deben ser:       

Tipo de servicio. Soporte a clientes y asistencia. Provisiones para seguridad y datos. Garantías del sistema y tiempos de respuesta. Disponibilidad del sistema. Conectividad. Multas por caida del sistema.

Estos puntos son importantísimos a la hora de formalizar de forma contractual una operación.

Implatanción de acuerdos de nivel de servicio con proveedores Para implantar con éxito un SLA han de tenerse en cuenta un serie de factores clave, de los que va a depender en gran medida la obtención de los resultados deseados: 

Aspectos críticos Los aspectos más críticos, son la definición de procedimientos estándares y los mecanismos de evaluación y seguimiento.



En la implatación de un SLA se deben seguir una serie de puntos 1. Definición de Objetivos: mejora de la eficacia, reducción de costes, formalización de la relación 2. Identificar expectativas: qué es lo que espera la organización de este acuerdo 3. Adecuada planificación temporal

4. Optimización/rediseño de procesos (revisar los procesos si el SLA no asegura ningún cambio o como mínimo formalizarlos) 

Errores más frecuentes en la implatación o Definir niveles de servicio inalcanzables o Regulación excesiva o Error en la definición de prioridades o Complejidad técnica o Irrelevancia (si un SLA no tiene ningún efecto sobre el cliente, el objetivo no tiene sentido).

¿Qué son las buenas prácticas en TI? Las buenas prácticas en TI es un conjunto de normas y estándares como por ejemplo ITIL, ISO 20000, ISO 27001, COBIT, CMMI basados en la experiencia de expertos y grandes organizaciones. La utilización de estas buenas prácticas en nuestra organización puede ayudarnos a conseguir nuestros objetivos, a la vez que reducimos riesgos. Gracias al conocimiento y la experiencia de los expertos que han creado esta serie de buenas prácticas podemos decir que su utilización es la forma más efectiva y eficiente de gobernar y gestionar TI en nuestra organización. Estos estándares tienen contenidos genéricos que deben ser adaptados para que se ajusten lo máximo posible a los objetivos de negocio de la organización donde van a ser utilizados. En las normas antes mencionadas las organizaciones que deseen implementar pueden obtener una certificación por parte de autoridades certificadoras. La consecución de estas certificaciones puede aportar un gran valor a la organización debido a que se muestra a los clientes y proveedores que la organización está trabajando cumpliendo con el marco legal del sector. En nuestra página dentro de la sección "Encuesta" podrá encontrar una serie de cuestiones gracias a las cuales usted puede autoevaluar el grado de implantación de las buenas prácticas dentro de su organización. Esta autoevaluación puede servirle cómo una primera toma de contacto con los estándares y normas de las buenas prácticas. Una vez realizada la autoevaluación usted conocerá que se está realizando correctamente en su organización y que es candidato de un posible cambio. También se puede utilizar nuestra autoevaluación como un estudio previo a la solicitud de una auditoría externa. Si se desea obtener una información más detallada sobre alguno de los estándares o normativas, ya sea para entender los resultados obtenidos o para mejorarlos se recomienda la lectura de los documentos oficiales que contienen dichos estándares y normativas.

ITIl v3 ITIl (IT Infrastructure Library) consiste en un marco de referencia en el que se describe un conjunto de buenas prácticas y recomendaciones para la correcta administración de servicios de TI. ITIL v3 proporciona un enfoque del ciclo de vida para gestionar correctamente los servicios de TI. Está formado por un conjunto de cinco libros, cada uno de dichos libros representa una dase del ciclo de vida de gestión de servicios de TI. A continuación se explica brevemente de que se encarga cada una de las fases de ITIL: 1) Estrategia de Servicio: esta fase del ciclo de vida se encarga del diseño, desarrollo e implementación de los servicios de TI como un activo para la organización. 2) Diseño del Servicio: esta fase del ciclo de vida se encarga del diseño y desarrollo de los servicios, así como de los procesos que son necesarios dentro de la organización para dichos servicios. 3) Transición del Servicio: esta fase del ciclo de vida se encarga de la gestión y la coordinación de procesos, sistemas y funciones. De entre todos los procesos, sistemas y funciones solo se encarga de las que son necesarias en las fases de creación, comprobación e implantación de servicios nuevos o modificados.

4) Operaciones de Servicio: esta fase del ciclo de vida se encarga de la coordinación de las actividades y de los procesos necesarios para gestionar aquellos servicios destinados a los clientes. 5) Mejora continua: esta fase del ciclo de vida se encarga de mejorar los servicios de la organización de forma constate, con el objetivo de garantizar que los servicios ofrecidos se ajustan completamente a las necesidades del negocio. A nivel individual cabe destacar que existen cuatro posibles niveles de certificación que las personas pueden obtener de ITIL. Los niveles son los siguientes: - ITIL Foundation. - ITIL Intermediate. - ITIL Expert. - ITIL Master.

ISO 20000 Las normas ISO/IEC 20000 definen los procesos y las actividades esenciales para que las áreas de TI puedan prestar un servicio eficiente y alineado con las necesidades de la empresa u organización. ISO 20000 es una norma que ha sido creada por la International Organization for Standardization con el objetivo de utilizarla para la certificación. Esta nueva norma viene a sustituir a la norma BS 15000. La norma ISO 20000 está dividida en dos partes: 1) ISO/IEC 20000-1:2011. Esta parte contiene los requisitos para lograr la conformidad con la norma y de esta manera optar a la certificación. 2) ISO/IEC 20000-2:2012. Esta parte contiene el código de buenas prácticas, y por lo tanto no es posible obtener certificación en esta parte. Cualquier organización puede optar a obtener la certificación en la norma ISO 20000 mediante la implementación de un Sistema de Gestión de Servicios de TI. Dicho sistema primero debe de cumplir con todos los requisitos que se exponen en el documento completo que recoje la norma ISO 20000. Una vez la organización está segura de cumplir con todos los requisitos puede solicitar a una empresa certificadora que realice una auditoría de su Sistema de Gestión y verifique que se cumple la norma ISO 20000. En caso afirmativo dicha entidad certificadora procederá a emitir el certificado en favor de la organización.

SO 27001

La norma ISO 27001 es una norma internacional que describe cómo gestionar la seguridad de la información de una organización. Este estándar especifica los requerimientos para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información. ISO 27001 es una norma que ha sido creada por la International Organization for Standardization con el objetivo de utilizarla para la certificación. Para obtener dicha certificación se debe de implantar un Sistema de Gestión de Seguridad de la Información que cumpla con los 130 requisitos que aparecen en el documento oficial que contiene la norma. Una vez implantado correctamente el Sistema de Gestión de Seguridad de la Información se puede solicitar a una autoridad certificadora una auditoría sobre el SGSI. Si la auditoría es favorable la autoridad organizativa procederá a la emisión del certificado en favor de la organización. ISO 27001 se creó teniendo en cuenta el ciclo de Deming, el cual es un ciclo de mejora basado en las siguientes cuatro actividades: Plan, Do, Check y Act.

COSO COSO en su versión de 2004 denominada Entrerprise Risk Management contiene las principales directivas para la implantación, gestión y control de un sistema de control. Además transmite la necesidad del esfuerzo involucrando a toda la organización. COSO se divide en los cinco componentes básicos que se muestran a continuación: 1) Ambiente de control: es un conjunto de normas, procesos y estructuras que crean las bases para establecer el control interno de la organización. El ambiente de control es el componente que hace de base para que el resto de los cinco componentes de COSO. Además proporciona disciplina y estructura para la organización. 2) Evaluación de riesgos: basado en un proceso dinámico e interactivo para identificar y analizar los riesgos que afectan a lograr los objetivos de la organización. 3) Actividades de control: son las actividades por las políticas para ayudar a mitigar los riesgos que influyen al lograr los objetivos de la organización. 4) Información y comunicación: la información es necesaria en la organización para poder ejercer el Control Interno. La comunicación se utiliza para proveer a la organización de la información necesaria. 5) Monitoreo: consiste en una serie de evaluaciones concurrentes o separadas para determinar si los componentes del control interno se encuentran funcionando. Además se realiza una comunicación de los resultados obtenidos a la alta gerencia cuándo los resultados son lo suficientemente relevantes.

CMMI

CMMI es el acrónimo de Capability Maturity Model Integration. Es una guía que ayuda en la mejora de procesos basada en dos enfoques. Un enfoque está basado en la capacidad mientras el otro enfoque está basado en el nivel de madurez. El enfoque de capacidad está basado en seis niveles de capacidad que se explican brevemente a continuación: - Nivel 0: Incompleto. En este nivel se encuentran los procesos que no se ejecutan o que solo lo hacen parcialmente. Esto quiere decir que al menos una de las metas específicas no se satisface y no existen metas genéricas. - Nivel 1: Realizado. En este nivel se encuentran los procesos que satisfacen las metas específicas del área de proceso. Existen una cantidad de posibles mejoras que deben institucionalizarse. - Nivel 2: Gestionado. En este nivel se encuentran los procesos realizados que tienen una infraestructura básica dispuesta para soportar el proceso. Estos procesos se planifican y ejecutan según las políticas de la organización. - Nivel 3: Definido. En este nivel se encuentran los procesos gestionados que se adaptan a partir del conjunto de procesos estándar de la organización, de acuerdo a las guías de adaptación de la organización, y contribuye a los activos de proceso con productos del trabajo, medidas e información adicional de mejora de procesos. - Nivel 4: Gestionado Cuantitativamente. En este nivel se encuentran los procesos definidos que se controlan utilizando técnicas estadísticas y otras técnicas cuantitativas. Se establecen los objetivos cuantitativos de calidad y de ejecución del proceso, que se utilizan como criterios para gestionar los procesos. - Nivel 5: En optimización. En este nivel se encuentran los procesos gestionados cuantitativamente que se mejoran en base a una compresión de las causas comunes de variación inherentes al proceso. El enfoque de un proceso en este nivel es mejorar continuamente el rango de la ejecución del proceso mediante mejoras, tanto incrementales como innovadoras. El enfoque de madurez está basado en cinco niveles de madurez que se explican brevemente a continuación: - Nivel 1: Inicial. En este nivel se encuentran los procesos ad-hoc y caóticos. La organización generalmente no proporciona un entorno estable para dar soporte a los procesos. En este nivel los procesos frecuentemente exceden sus costes y no cumplen plazos. - Nivel 2: Gestionado. En este nivel los proyectos de la organización han asegurado que los procesos se planifican y realizan de acuerdo a políticas. - Nivel 3: Definido. En este nivel se encuentran los procesos que están bien caracterizados y comprendidos, y se describen en estándares, procedimientos, herramientas y métodos. - Nivel 4: Gestionado Cuantitativamente. En este nivel la organización y los proyectos establecen objetivos cuantitativos en cuanto al rendimiento de calidad y del proceso, y los utilizan como criterios en la gestión de los procesos. - Nivel 5: En optimización. En este nivel los procesos de la organización mejoran continuamente basados en una comprensión cuantitativa de las causas comunes de variación inherentes a los procesos.

ISO 27001

La norma ISO 27001 es una norma internacional que describe cómo gestionar la seguridad de la información de una organización. Este estándar especifica los requerimientos para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información. ISO 27001 es una norma que ha sido creada por la International Organization for Standardization con el objetivo de utilizarla para la certificación. Para obtener dicha certificación se debe de implantar un Sistema de Gestión de Seguridad de la Información que cumpla con los 130 requisitos que aparecen en el documento oficial que contiene la norma. Una vez implantado correctamente el Sistema de Gestión de Seguridad de la Información se puede solicitar a una autoridad certificadora una auditoría sobre el SGSI. Si la auditoría es favorable la autoridad organizativa procederá a la emisión del certificado en favor de la organización. ISO 27001 se creó teniendo en cuenta el ciclo de Deming, el cual es un ciclo de mejora basado en las siguientes cuatro actividades: Plan, Do, Check y Act.