Descarga la aplicación para disfrutar aún más
Lea materiales sin conexión, sin usar Internet. Además de muchas otras características!
A4_E4
alebello1610
Compartir
Vista previa del material en texto
IT - Governance | Equipo 4 INSTITUTO POLITÉCNICO NACIONAL ESCUELA SUPERIOR DE CÓMPUTO Actividad 4: Modelo de gobierno Maestra: Guzmán Flores Jessie Paulina. Materia: IT Governance. Fecha de entrega: sábado, 10/09/22. Grupo: 3CM13. Equipo: · Ayala Martínez Juan Luis (Revisor) · Briseño Lira Andrés (Compilador) · López Reyna Bryan Ricardo (Evaluador) · Ortiz Rincón Christian Fernando (Revisor) · Pérez Vidales Yesua David (Alertas) · Reyes Rebollo Angel de Jesus (Compilador) · Valenzuela Góngora Eric Alejandro (Entregas) Índice Introducción 3 Objetivos 4 Cuerpo del trabajo 4 ITIL 4 TOGAF 5 PMBOK 7 ISO 19770 8 CMMI 9 CPM3 10 COBIT 11 ISO 38500 13 ISO 27001 14 ISO 27002 15 ISO 27005 16 ISO 20000-1 17 SIX SIGMA 18 GREEN IT 20 ISO 31000 21 ISO 15504 - ISO 12207 22 ISO 24762 23 ISO 27002 - ISO 27799 26 ISO 27011 27 ISO 27017 28 ISO 27018 29 Conclusiones 42 Referencias 42 Anexos 45 Índice de ilustraciones Imagen 1. ITIL 31 Imagen 2. TOGAF 31 Imagen 3. PMBOK 32 Imagen 4. ISO 19770 32 Imagen 5. CMMI 33 Imagen 6. CPM3 33 Imagen 7. COBIT 34 Imagen 8. ISO 38500 34 Imagen 9. ISO 27001 35 Imagen 10. ISO 27002 35 Imagen 11. ISO 27005 36 Imagen 12. ISO 20000-1 36 Imagen 13. SIX SIGMA 37 Imagen 14. Green IT 37 Imagen 15. ISO 31000 38 Imagen 16. ISO 15505 – 12207 38 Imagen 17. ISO 24762 39 Imagen 18. ISO 27002 - ISO 27799 39 Imagen 19. ISO 27011 40 Imagen 20. ISO 27017 40 Imagen 21. ISO 27018 41 Introducción Este trabajo de investigación se desarrolló con el propósito de informarse acerca de distintos frameworks que pueden ser utilizados en el Gobierno de Tecnologías de la Información, en específico se realizó la investigación de veintiún frameworks, los cuales son: ITIL, TOGAF, PMBOK, ISO 19770, CMMI, CPM3, COBIT, ISO 38500, ISO 27001, ISO 27002, ISO 27005, ISO 20000-1, SIX SIGMA, Green IT, ISO 31000, ISO 15505-12207, ISO 24762, ISO 27002-ISO 27799, ISO 27011, ISO 27017, e ISO 27018. La investigación se desarrolló en el orden que viene la lista anterior, tomando como primer elemento al framework ITIL, el cual es un conjunto que define buenas prácticas enfocadas en la Administración de Procesos de TI, al haber sido desarrollado por una organización esta misma se encarga de otorgar las certificaciones. El framework TOGAF establece todo un panorama distinto ya que este trabaja sobre el concepto de arquitectura empresarial, un enfoque distinto para el manejo de las organizaciones. TOGAF fue desarrollado por la institución Open Group siendo esta misma la encargada de las certificaciones. En PMBOK nos encontramos con una guía desarrollada por PMI, para la gestión de proyectos, la cual consiste en cinco macroprocesos principales los cuales a su vez se dividen en varios procesos que dictan prácticas ya sea ampliamente comprobadas o innovadoras en el desarrollo de proyectos. La norma ISO 19770 estandariza la Gestión de Activos de Software (SAM), lo cual esta estrechamente relacionado con la norma ISO 20000, y a su vez esta sirve como apoyo para el framework ITIL, mostrando como estos no son mutuamente excluyentes, sino que pueden ser usados en conjunto para la gestión de un proyecto. Después pasamos a los modelos de madurez como lo son el CMMI y el CMP3, ambos definen niveles de madurez con los cuales las organizaciones pueden identificar su nivel de madurez y de esta manera reconocer sus áreas de mejora si se desea seguir estos modelos. A parte de los niveles de madurez el CMMI también define los niveles de capacidad utilizados para evaluar el desempeño de una empresa. El framework COBIT también resulta de interés ya que este pretende discernir entre el concepto de Gobierno y Gestión, dándonos a entender las diferencias entre estos dos conceptos y ayuda a organizar, planear y diseñar estrategias para tanto Gobierno como Gestión. En el caso de los frameworks referentes a la serie ISO 27000 podemos notar como cada uno de ellos toma como base la ISO 27001, ya que podemos considerar que esta es la que establece de manera general el estándar para la seguridad de la información. De esta manera los frameworks que le preceden son centrándose en sectores particulares de diversas áreas, como es el caso de la ISO 27011 que se centra en la seguridad de la información en telecomunicaciones, la ISO 27017 e ISO 27018 que definen la seguridad de la información en la nube y la protección de información en la nube respectivamente. La norma ISO 24762 se encarga de la recuperación a desastres, siendo esto un aspecto que muchas veces no tomamos en cuenta. Esta norma plantea un marco general para la recuperación a desastres de tecnologías de la información, considerando aspectos como las instalaciones, el número de clientes de un proveedor para garantizar un servicio optimo, selección de sitios de recuperación e incluso determinar si es posible la recuperación en algunos casos. Objetivos El presente trabajo tiene como principal objetivo el conocer los diferentes frameworks que existen relacionados con la implementación y gestión de las tecnologías de la información, detallando en qué consiste su implementación y tener el conocimiento de cómo se puede obtener una certificación en cada uno de ellos. Otro de los objetivos es identificar las relaciones que existen entre ellos y como se complementan o para que áreas de las tecnologías de la información están enfocados, además de distinguir en que sección o secciones participa de acuerdo con el framework de Calder-Moir. Por último, se diseñarán diversos organizadores gráficos para cada uno de los frameworks donde se detalle la información importante y esencial encontrada como resultado de la investigación. Cuerpo del trabajo ITIL ITIL, Information Technology Infraestructure Library, es un conjunto de mejores prácticas y estándares en procesos para hacer más eficiente el diseño y administración de las infraestructuras de datos dentro de la organización. Por lo tanto, se puede interpretar como un framework para la Administración de Procesos de TI. El objetivo de ITIL es implementar las mejores prácticas en la gestión de servicios de Tecnologías de la Información de forma sistemática y coherente. Está enfocada a reducir los costos de provisión y soporte de los servicios de TI, garantizando los requerimientos de seguridad de la información. ITIL optimiza la disponibilidad, confiabilidad y seguridad de la infraestructura, dando prioridad a los servicios de “misión crítica”, con esto se facilita el aprendizaje mediante experiencias previas, evitando el trabajo redundante. Los principales beneficios al aplicar el marco de trabajo ITIL son los siguientes: Incremento en la productividad del negocio al tener mayor disponibilidad y fiabilidad de las Tecnologías de la Información. Reducción del riesgo de no cumplir los objetivos de negocio gracias a la capacidad de recuperación y a la consistencia de los servicios. Reducción de los costos operativos de desarrollo, procedimiento e instrucciones de trabajo. Definiciones de funciones, roles y responsabilidades en el sector de los servicios. El servicio puede ser representativamente medido, evaluado y gestionado. Mejora continua en la calidad de la prestación del servicio de las Tecnologías de la Información, esto se logra tomando en cuenta las necesidades de la compañía, así como sus objetivos. Entre las herramientas que podemos usar para el desarrollo del framework, encontramos: · ServiceNow. Facilidad de uso a la hora de configurar flujos de trabajos con facilidad de arrastrar y soltar elementos. · BMC. Soporte integrado para las mejores prácticas de ITIL, permite a las organizaciones obtener valor de esta herramienta en un tiempo relativamente corto. · Axios Systems. Administra servicios, activos y soporte con administración de servicios (ITSM). Colaboración social y soporte multicanal. · Landesk. Automatiza la entrega de todos los activos y servicios de un departamento de sistemas de información. · EasyVista. Ayuda a mejorar la experiencia del servicio.Simplifica y acelera la creación de servicios y reduce el costo de la prestación de servicios de TI. Dentro del framework Calder-Moir, el ITIL tiene participación en el segmento de Operaciones, donde las Organización debe de implantar operaciones para administrar mediante normativas y reglamentos de un marco de trabajo destinadas a facilitar la entrega de servicios de Tecnología de la Información de alta calidad, permitiendo demostrar que los servicios ofrecidos cumplen con la normativa ITIL. CERTIFICACIÓN La certificación en ITIL, es para individuos está no se puede obtener para cubrir a una organización, se dirige principalmente a directores de departamentos de Tecnologías de la Información, personal de TI, responsables de gestión de procesos y todo miembro de la organización de Tecnologías de la Información que busque mejorar sus procesos y sus capacidades. La vigencia de la certificación ITIL es indefinida, sin embargo, cuando una nueva versión de ITIL esté disponible aquellos profesionales que se hayan certificado en la versión anterior califican para aplicar el módulo de transición y el examen que lo certificara en la nueva versión de ITIL. Actualmente, Axelos es la entidad que autoriza a centros de enseñanza a impartir formación en ITIL y a realizar los exámenes de certificación. TOGAF TOGAF, The Open Group Architecture Framework, es un marco de referencia que permite planificar, diseñar e implementar la arquitectura empresarial de una organización. La arquitectura empresarial consiste en optimizar dentro de una empresa todos los elementos que apoyan la realización de la estrategia de negocio, además brinda una visión global de la empresa, incluyendo los procesos, la estructura organizacional y las tecnologías de la información, lo que facilita el cumplimiento de los objetivos estratégicos. Para el esquema TOGAF se contemplan cuatro aspectos; la arquitectura de negocio, la arquitectura de datos, arquitectura de aplicaciones y arquitectura tecnológica. TOGAF permite optimizar los sistemas heredados, de este modo las organizaciones se pueden adaptar fácilmente al cambio y cumplan con sus estrategias de negocio. Al ser adaptable, TOGAF puede implementarse en cualquier tipo de empresa, convirtiéndose en un estándar en la industria. Además, contamos con los beneficios de la arquitectura empresarial, la cual según TOGAF son: Reducción del coste del proyecto, las inversiones en nuevos sistemas y en la transformación del negocio son recuperadas más rápidamente, Reducción de Riesgos. Entre las herramientas disponibles para trabajar con este marco, se encuentran las utilizadas para arquitectura empresarial como lo son: · Ardoq. Diseñado para recopilar información de una amplia variedad de usuarios, desarrolladores y partes interesadas, permitiéndonos tener una visión global de la empresa. · SAMU de Atoll Group. Permite rastrear la arquitectura empresarial a través de conexiones profundas con la capa de nube y las herramientas de gestión de procesos comerciales. · EAS. Se trata del paquete Essential de Enterprise Architecture Solutions, este crea un metamodelo que describe las interacciones entre sistemas y procesos comerciales. · Enterprise One de Planview. Crea carteras de máquinas y capas de software que brindan vistas basadas en roles para gerentes y miembros del equipo. · HoriZZon de BiZZdesign. Diseñado para ayudar a gestionar el riesgo de rediseño. Ofrece un modelo basado en gráficos para recopilar datos de todas las partes interesada para poder representar el estado actual del sistema en gráficos. En el framework Calder Moir, podemos identificar a TOGAF en el segmento de Estrategias de TI, como herramienta para el desarrollo de los principios de TI, arquitectura y estrategias de TI que estén alineadas con las estrategias del negocio, objetivos y limitaciones. CERTIFICACION La certificación de TOGAF es para ambos, individuos y organizaciones. Se realiza individualmente para avalar que se tenga una correcta comprensión del marco de trabajo. Las organizaciones pueden tener sus productos y servicios certificados. Las certificaciones para individuos en TOGAF 7 y 8 tienen un tiempo válido de 24 meses. Para TOGAF 9 no es necesario revalidar la certificación cada cierto tiempo. En algunos casos, para ciertos tipos de certificaciones se duración depende de una licencia comercial de TOGAF anual, la cual se sincroniza con la fecha de renovación de la certificación. La certificación en TOGAF es proporcionada por Open Group un consorcio de la industria del software y encargados de mantener el estándar TOGAF. PMBOK PMBOK, por sus siglas en inglés Project Management Body of Knowledge, es una guía del Conjunto de Conocimientos en Gestión de Proyectos, que incluye prácticas comprobadas y ampliamente aplicadas en la gestión de proyectos, así como prácticas innovadoras. La guía PMBOK identifica 5 procesos principales los cuales son: Inicio: Se define un nuevo proyecto o una nueva fase de ejecución y se obtiene la autorización para llevarlo a cabo. Planificación: Se concretan y se establecen los objetivos, además se diseñan estrategias adecuadas para lograr el fin. Ejecución: Implica el correcto desempeño de las actividades establecidas, siguiendo la estrategia adoptada. Control y monitorización: Se realiza la supervisión y la evaluación del desempeño del proyecto. Cierre: Es la conclusión del proyecto en su totalidad o de alguna fase, se indica el grado de aceptación y la satisfacción con el resultado obtenido. Para aprovechar las buenas prácticas se deben tomar en cuenta las siguientes áreas: · Gestión de adquisiciones: Es el área de conocimientos que los procesos de obtención de bienes y servicios que son externos a la organización ejecutora. · Gestión de calidad: Área responsable por la satisfacción del cliente. Se enfoca en comprender, evaluar y gestionar las expectativas, del cliente. · Gestión de riesgos: Área clave, debido a la posibilidad de controlar y monitorear varios aspectos, gracias a la identificación temprana de desviaciones y tendencias. · Gestión de alcance: Su objetivo es realizar actividades para entregar el servicio, o resultado, estableciendo criterios para determinar si el proyecto se ha completado. · Gestión de costos: Se enfoca en establecer los costos de los recursos para completar todas las actividades del proyecto. · Gestión de integración: Tomar todas las decisiones sobre la asignación de recursos, gestionar las interdependencias entre las áreas de conocimiento de gestión de proyectos. · Gestión de las comunicaciones: La comunicación entre la información y las personas es parte crucial para el proyecto, por lo tanto, se debe asegurar que la comunicación sea exitosa. · Gestión de recursos humanos: Definición de los roles y responsabilidades del equipo del proyecto, planificación de la gestión del personal. · Gestión del tiempo: Establecer metas para garantizar que el proyecto se complete a tiempo, permite estimar los recursos, la duración y la secuencia de las actividades a realizar. · Gestión de Stakeholders: Identificación de las empresas y personas que pueden verse afectadas por una decisión, actividad o resultado de un proyecto. Entre los beneficios de usar PMBOK se encuentran: Mejora todo el flujo de comunicación. Estandarización de actividades. Disminución de la negligencia en actividades importantes. Mayor control sobre la evolución del proyecto. Mayor énfasis en los recursos de manera eficiente. Las posibilidades de éxito del proyecto aumentan. Optimización del tratamiento de riesgos. Entre las herramientas disponibles para PMBOK, tenemos las siguientes: · Softexpert. Ayuda a estandarizar las prácticas de todos los departamentos para asegurar un mejor seguimiento de los proyectos. · Talala. Centraliza la información de los proyectos en un solo sito, desde la planeación hasta el cierre, permite realizar un seguimiento de la vida del proyecto. · Acelerador del PMBOK de CA PPM. Permite gestionar servicios, proyectos y productos, así como el personal y los aspectos financieros.Incluye plantillas de proyectos y documentos, procesos y derechos de acceso por roles, cosas importantes para cumplir con la guía PMBOK. · Visual Paradigm. Incluye plantillas creadas para la gestión de un proyecto siguiendo las fases de la guía PMBOK. Permite la creación de entregables de cada proceso de forma automática. Se controlan los accesos, se asignan roles y muestra de forma transparente los ajustes que surjan durante el camino. · Wrike. Se creó con las buenas prácticas de PMBOK en mente. Ayuda a crear informes de resultados, se puede elegir entre varias plantillas para la programación de proyectos. En el framework Calder Moir podemos ubicar a PMBOK en el segmento de cambio. El PMI (Project Management Institute), es la entidad encargada de mantener el PMBOK, a su vez ofrece distintas certificaciones en el área de gestión de proyectos, entre estas destacan dos certificaciones relacionadas con la guía PMBOK, las cuales son PMP y CAPM, estas certifican a individuos en la dirección efectiva de proyectos. La certificación PMP tiene una fecha de validez de 3 años, mientras que la certificación CAPM tiene una vigencia de 5 años, ambas cuentan su tiempo desde el momento en que se acredita el examen. ISO 19770 La ISO 19770 es un estándar internacional para la gestión de activos de software, comúnmente denominado SAM, por sus siglas en inglés (Software Assest Management). Sus objetivos son: Garantizar el correcto uso y licenciamiento de todos los activos de software instalados y disponibles en la compañía, utilizando solo software autorizado y controlado. Alinearse y dar soporte a implementaciones de ITIL e ISO 20000. Sus beneficios son: Mejorar la Gestión de Riesgos. Mejorar la Seguridad de la Información. Mejorar la Productividad y Ahorro de Tiempo. Optimizar la implementación de nuevas licencias. Ahorrar costes, evitando la adquisición de licencias innecesarias y redundantes, mejorando la calidad de la toma de decisiones, conociendo que es lo que realmente se usa y hace falta. Aunque no aparece indicada como tal en el framework Calder Moir, debido a que se desarrolló con el propósito de alinearse y dar soporte a la norma ISO 20000, la cual a su vez está basada en las mejores prácticas de ITIL, podemos catalogar a la ISO 19770 como parte del segmento de operaciones. CMMI CMMI son las siglas de Capability Maturity Model Integration, en español integración de los modelos madurez de capacidades. Es un conjunto de buenas prácticas que ayuda a las organizaciones a agilizar la mejora de procesos y fomentar comportamientos productivos y eficientes que reducen los riesgos en el desarrollo de software, productos y servicios. El CMMI divide la madurez organizacional en cinco niveles, donde el nivel cinco representa el nivel a alcanzar en se alcanza un nivel de madurez óptimo. Los niveles de madurez son: · Nivel de madurez 0 – Incompleto: Se reconoce que un trabajo puede o no ser terminado. No se tienen objetivos establecidos y solo se cuenta con procesos formados parcialmente, o directamente no satisfacen las necesidades de la organización. · Nivel de madurez 1 – Inicial: Los trabajos se completan, pero se suele tener retrasos en el tiempo y excesos en el presupuesto. Los procesos son impredecibles y reactivos. · Nivel de madurez 2 – Gestionado: Los proyectos se planifican, ejecutan, miden y controlan, es decir se ha alcanzado un nivel de gestión de proyectos con algunas problemáticas aun presentes. · Nivel de madurez 3 – Definido: Existe un conjunto de estándares para la organización con el objetivo de brindar orientación a través de proyectos, programas y carteras. Las organizaciones son más proactivas, comprenden sus deficiencias, cómo abordarlas y cuál es el objetivo para lograr una mejora. · Nivel de madurez 4 – Gestionado Cuantitativamente: Se trabaja con datos cuantitativos para determinar procesos predecibles que se alinean con las necesidades de las partes interesadas. Las organizaciones tienen más control sobre los procesos. · Nivel de madurez 5 – Optimización: Es la etapa final, en la cual la organización se mantiene en constante mejora y respuesta a cambios u otras oportunidades. La organización es estable, permitiendo más agilidad e innovación bajo un entorno predecible. Los procesos de la organización también son estables y flexibles. El CMMI también cuenta con niveles de capacidad utilizados para evaluar el desempeño de una organización. Los niveles de capacidad son van del 0 al 3, los cuales son: · Nivel de capacidad 0 – Incompleto: Se tiene un desempeño inconsistente y un enfoque incompleto para cumplir con el objetivo del área. · Nivel de capacidad 1 – Inicial: Las organizaciones comienzan a abordar los problemas de desempeño en un área de práctica específica, se carece de un conjunto completo de prácticas. · Nivel de capacidad 2 – Administrado: Se cuenta con un conjunto completo de prácticas que abordan específicamente la mejora en el área de práctica. · Nivel de capacidad 3 – Definido: Se tienen estándares de organización claros, además de un enfoque en lograr de objetivos de desempeño organizacional y del proyecto. La categoría de herramientas más común a considerar incluye: · Gestión de proyectos y documentos. · Bug tracker. · Estimación. · Gestión de requisitos y diseño. · Herramientas de decisión y análisis. · Herramientas de métricas. · Aplicación de integración. Al igual que los frameworks de PMBOK y CoBIT, podemos encontrar al CMMI en el segmento de cambio dentro del framework Calder-Moir. El instituto CMMI es el encargado de otorgar certificaciones CMMI a personas, instructores y profesionales. El instituto ofrece las siguientes certificaciones: Asociado de CMMI, CMMI Profesional, Evaluador líder de CMMI certificado, e Instructor certificado de CMMI. Las certificaciones son válidas por tres años. CPM3 Modelo Colombiano de Maduración de Proyectos, CPM3 (Colombian Project Management Maturity Model) fue desarrollado por el Grupo de Investigación en Gestión y Evaluación de Programas y Proyectos de la Universidad del Valle (Cali, Colombia), es un instrumento formal que valora un plan mediante un conjunto de herramientas que reflejan el nivel de madurez mediante una escala numérica, informando sobre las fortalezas y debilidades en áreas y procesos que se deben mejorar para optimizar el desarrollo de estos. Los niveles de madurez del CPM3 están definidos de la siguiente forma: · Nivel 0 – Sin procesos definidos: No hay procesos estándares establecidos ni metodología formalizada. No se realizan, ni se usan los procesos básicos de Gestión de Proyetcos. · Nivel 1 – Herramientas mínimas: Se tienen procesos fundamentales enunciados. Los procesos se ejecutan y se usan criterios de cada área, aunque algunas veces no se utilizan o producen. Informalidad en las acciones y toma de decisiones. · Nivel 2 – Procesos esenciales: Procesos fundamentales definidos y documentados. Procesos implantados parcialmente. Roles definidos, objetivos documentados y conocidos, evaluación de desempeño y planeación estratégica de acciones. Mayor frecuencia en el uso de procesos estandarizados. · Nivel 3 – Procesos operativos: Procesos estándares establecidos, procesos utilizados por la mayoría de las áreas y personas involucrados, procesos fundamentales definidos y establecidos. Utilización de listas de chequeo, validación de acciones y compromisos, comunicación estándar y fluida. · Nivel 4 – Procesos completos: Procesos establecidos, alineados y aceptados por todas las áreas involucradas. Evaluación de los procesos y medición de la satisfacción. Factores críticos de éxito definidos, escritos y conocidos por todos. Utilización de las herramientas específicas de la Gestión de Proyectos. · Nivel 5 – Mejora continua: Realización permanente de evaluaciones y mejoras. Formalización de los planes de desarrollo de áreas y personas involucradas. Evaluación y aplicación de las mejoras prácticas en la gestión de proyectos. Dentro del framework Calder-Moir no es posible identificarlo a simple vista dentro de algún segmento,pero al tratarse de un framework para los modelos de madurez, se puede colocar dentro del segmento de cambio, donde encontramos otros frameworks para los modelos de madurez como lo son el CMMI y el OMP3. COBIT Objetivos de Control para Tecnologías de Información y Tecnologías Relacionadas, COBIT por sus siglas en inglés (Control Objectives for Information and Related Technologies), es un marco de trabajo para el gobierno de TI que ayuda a las empresas a desarrollar, organizar e implementar estrategias sobre la gestión y gobierno de la información. Cabe aclarar que el gobierno y la gestión son dos disciplinas diferentes con distintos tipos de actividades, requieren distintas estructuras organizativas y tiene propósitos diferentes. El gobierno se centra en qué; las necesidades, condiciones y opciones de las partes interesadas se evalúan para determinar objetivos empresariales equilibrados y acordados; la dirección se establece a través de la priorización y la toma de decisiones; el desempeño y el cumplimiento se monitorean en relación con la dirección y los objetivos acordados. Mientras la gestión abarca el planificar, construir, ejecutar y monitorear actividades establecidas por el órgano de gobierno con el fin de alcanzar los objetivos de la empresa. Por lo general, la gestión es responsabilidad de la dirección ejecutiva liderada por el director general ejecutivo (CEO). Los principios de COBIT son: 1. Satisfacer las necesidades de las partes interesadas. Permite definir las prioridades para implementar, mejorar y asegurar el gobierno corporativo de la TI. 2. Cubrir la compañía de forma integral. Integra el gobierno de la TI corporativa en el gobierno corporativo. Trata la tecnología de la información y relacionadas como activos que necesitan ser manejados como cualquier otro activo. 3. Habilitar un enfoque holístico. Los habilitadores son factores que, individual y colectivamente, influyen sobre si algo funcionara en este caso, el Gobierno y la Administración sobre la TI corporativa. A su vez se divide en 7 categorías. · Procesos · Estructuras Organizacionales · Cultura, Ética y Comportamiento · Principio, Políticas y Marcos · Información · Servicios, Infraestructura y Aplicaciones · Personas, Habilidades y Competencias 4. Separar el gobierno de la administración. Plasma una distinción muy clara entre el Gobierno y la Administración, propone que las organizaciones implementen los procesos de gobierno y administración de tal manera que las áreas claves queden cubiertas. Entre sus principales beneficios se destacan los siguientes: · Alinea la TI con los objetivos de la empresa: Ayuda a las compañías a establecer los objetivos de TI tangibles y que estén alineados a las estrategias comerciales del negocio. · Mejora la gestión del desempeño: Permite a las organizaciones medir el desempeño en los distritos segmentos y puntuarlo, de este modo se puede evaluar el rendimiento individual e identificar las áreas de mejora. · Incrementa el valor y la confianza en los sistemas de información de la empresa: Permite mejorar la eficiencia y la productividad de los sistemas de la información, sin afectar negativamente el tiempo de entrega y la seguridad de los datos, aumentado la fiabilidad en el sistema. · Proporciona un modelo de código abierto: Posee un modelo de código abierto que se actualiza constantemente. Incluye un diseño que le permite adaptarse a las elecciones del usuario sobre que tecnología, modelos y frameworks desea utilizar en sus operaciones, por lo que funciona bien con otros frameworks como ITIL. En el framework de Calder-Moir, podemos identificar a COBIT en tres segmentos, los cuales son: Riesgo, Conformidad y Cumplimiento, Cambio, y Operaciones. ISACA es la asociación encargada del desarrollo del marco de trabajo COBIT, esta asociación a su vez ofrece tres tipos de certificaciones relacionados a COBIT, las cuales son: certificación en COBIT 5, certificación COBIT Foundation, certificación en Diseño e Implementación de COBIT, las certificaciones son otorgadas a individuos y no necesitan ser renovadas. ISO 38500 La ISO/IEC 38500 es un estándar internacional para las buenas prácticas del Gobierno de las Tecnologías de la Información (TI), esta norma tiene como objetivo el proporcionar un marco de 6 principios para que los directores de la empresa puedan tomar decisiones basadas en los resultados que obtengan al dirigir, monitorizar y evaluar el uso de las TI en su organización. Se encuentra en el segmento de Balance de la Tecnología e Información en el framework de Calder-Moir Esta norma puede ser aplicada a cualquier tipo de empresa que utilicen las tecnologías de la información, así como de cualquier tamaño. Su propósito principal es el de promover el uso efectivo, eficiente y aceptable de las TI en todas las organizaciones para asegurarles a los involucrados que pueden tener la confianza en el Gobierno Corporativo de TI de la organización, así como proporcionar guías a los directivos para el uso adecuado de las TI. Asegura el cumplimiento de la legislación vigente y permite una apropiada implementación y operación de los recursos de TI, así como la identificación de responsabilidades y la medición de los logros y objetivos de la organización, asegurando la continuidad y sostenibilidad del negocio. Para que una empresa cumpla con la norma ISO/IEC 38500 debe satisfacer los siguientes principios: 1. Responsabilidad. Todo el mundo debe comprender y aceptar sus responsabilidades en el área de TI. 2. Adquisición. Las adquisiciones de TI se hacen por razones válidas, basándose en un análisis apropiado y continuo, con decisiones claras y transparentes. 3. Conducta Humana. Las políticas de TI, prácticas y decisiones demuestran respeto por la conducta humana, incluyendo las necesidades actuales y emergentes de toda la gente involucrada. 4. Conformidad. La función de TI cumple todas las legislaciones y normas aplicables, las políticas y prácticas al respecto están claramente definidas, implementadas y exigidas. 5. Rendimiento. Las TI tienen un rendimiento satisfactorio para dar soporte a la organización, proporcionando los servicios con la calidad adecuada para cumplir con las necesidades actuales y futuras. 6. Estrategia. Los planes estratégicos de TI satisfacen las necesidades actuales y previstas derivadas de la estrategia de negocio. Además de cumplir con estos principios, los directores deben gobernar las TI realizando tres actividades principales: · Evaluar el uso de las TI. · Preparar e implementar planes y políticas del uso de TI. · Monitorear la conformidad con las políticas y el desempeño en relación con los planes. La certificación en ISO 38500 es para el gerente de Gobernanza Corporativa de TI, la capacitación tiene una duración de 24 horas, tiene un costo aproximado de $10,000 pesos mexicanos, y existen diversas organizaciones que certifican en esta norma, como lo es Professional Evaluation and Certification Board (PECB) o Global Trust Association (GTA). ISO 27001 ISO 27001 es una norma internacional que describe cómo gestionar la seguridad de la información en una empresa. Esta norma le interesa a cualquier tipo de empresa sin importar su tamaño y actividad, el factor clave para decidir sobre la implantación de un Sistema de Gestión de la Seguridad de la Información (SGSI) radica en la importancia que los activos de información tienen dentro de una organización como elementos imprescindibles para la obtención de sus objetivos. El objetivo principal de ISO 27001 es proteger la confidencialidad, integridad y disponibilidad de la información en una empresa, esto lo hace investigando cuáles son los potenciales problemas que podrían afectar la información (es decir, la evaluación de riesgos) y luego definiendo lo que es necesario hacer para evitar que estos problemas se produzcan. Cumple de manera complementaria a las buenas prácticas o controles establecidos en ISO 27002, y se encuentra en el segmento de operaciones dentro del framework de Calder-Moir. El diseño y la implementación deesta norma da confianza a clientes y proveedores que la seguridad de la información se toma en serio dentro de la organización, estando a la vanguardia en la aplicación de la técnica de procesos para hacer frente a las amenazas de la información y los problemas de la seguridad. La ISO/IEC 27001 se divide en 11 secciones más un anexo, de las cuales 7 son obligatorias para que una organización deba implementar todos sus requerimientos si quiere cumplir con la norma. Estas secciones que se deben implementar consisten en lo siguiente: 4. Contexto de la organización. Conocer la organización y su contexto, se basa en la definición todas aquellas cuestiones externas e internas en relación a la seguridad de la información y que puedan ayudar o perjudicar a la consecución de los objetivos de la empresa, esto se plantea como un requisito de partida para poder establecer un punto de referencia en la aplicación del sistema de gestión de la seguridad de la información 5. Liderazgo. Esta sección es parte de la fase y define las responsabilidades de la dirección, el establecimiento de roles y responsabilidades y el contenido de la política de alto nivel sobre seguridad de la información. 6. Planificación. Una vez identificadas las necesidades y expectativas de las partes interesadas, deberemos establecer un plan que defina los requerimientos para la evaluación de riesgos, el tratamiento de riesgos, la declaración de aplicabilidad, el plan de tratamiento de riesgos y la determinación de los objetivos de seguridad de la información. 7. Soporte. En este apartado la norma nos indica que se necesita determinar la disponibilidad de recursos, competencias, concienciación, comunicación y control de documentos y registros para implementar los planes que hemos realizado. 8. Operación. Define la implementación de la evaluación y el tratamiento de riesgos, como también los controles y demás procesos necesarios para cumplir los objetivos de seguridad de la información. 9. Evaluación del desempeño. Define los requerimientos para monitoreo, medición, análisis, evaluación, auditoría interna y revisión por parte de la dirección. 10. Mejora. La mejora del sistema de gestión de la seguridad de la información nos refiere a la actualización continua del sistema de gestión, esto incluye la revisión permanente para encontrar oportunidades de mejora aprendiendo de los errores cometidos. Existen dos tipos de certificados ISO 27001: para las organizaciones y para las personas. Las organizaciones pueden obtener la certificación para demostrar que cumplen con todos los puntos obligatorios de la norma y las personas pueden hacer el curso y aprobar el examen para obtener el certificado. La capacitación dura entre 1 y 5 días, mientras que el costo de la certificación tiene un costo aproximado de $20,000 y la certificación tiene validez por tres años. ISO 27002 ISO 27002 es una norma internacional que establece el código de mejores prácticas para apoyar la implantación del Sistema de Gestión de Seguridad de la Información (SGSI) en las organizaciones. El principal objetivo de la ISO 27002 es establecer directrices y principios generales para iniciar, implementar, mantener y mejorar la gestión de la seguridad de la información en una organización. Esto también incluye la selección, implementación y administración de controles, teniendo en cuenta los entornos de riesgo encontrados en la empresa. Los activos de información de la empresa tienen que estar clasificados según la sensibilidad y criticidad de la información que contienen o que se dedican a cumplir con el objetivo de establecer como se debe tratar y proteger la información. Como beneficios se tienen: · Mejor concienciación sobre la seguridad de la información. · Mayor control de activos e información sensible. · Ofrece un enfoque para la implementación de políticas de control. · Oportunidad de identificar y corregir puntos débiles. · Reducción del riesgo de responsabilidad por la no implementación de un SGSI o determinación de políticas y procedimientos. · Se convierte en un diferencial competitivo para la conquista de clientes que valoran la certificación. · Mejor organización con procesos y mecanismos bien diseñados y gestionados. · Promueve reducción de costos con la prevención de incidentes de seguridad de la información. · Conformidad con la legislación y otras reglamentaciones. La parte principal de la norma se encuentra distribuida en las siguientes secciones, que corresponden a controles de seguridad de la información: 5. Política de Seguridad de la Información. Recoge las políticas de seguridad de la información, en el que se aconseja crear una estructura para establecer los objetivos y formas de control en SGSI. 6. Organización de la Seguridad de la Información. Es necesario establecer una estructura para gestionarla de una manera adecuada, para ello, las actividades de seguridad de la información deben ser coordinadas por representantes de la organización que deben tener responsabilidades bien definidas y proteger las informaciones de carácter confidencial. 7. Gestión de activos. Los activos deben ser identificados y clasificados, de modo que se pueda estructurar un inventario. Además, deben seguir reglas documentadas, que definen qué tipo de uso se permite hacer con dichos activos. 8. Seguridad en los recursos humanos. Antes de la contratación de un empleado es importante que sea debidamente analizado, la intención es mitigar el riesgo de robo, fraude o mal uso de los recursos. 9. Seguridad física y ambiental. Los equipos e instalaciones de procesamiento de información crítica o sensible deben mantenerse en áreas seguras, con niveles y controles de acceso apropiados, incluyendo protección contra amenazas físicas y ambientales. 10. Seguridad en las operaciones. Se recogen las políticas para establecer una correcta protección contra programas malignos, realización de copias de seguridad, registro de eventos, así como la administración segura de las redes de comunicaciones. 11. Control de acceso. El acceso a la información, así como a los recursos de procesamiento de la información y los procesos de negocios, debe ser controlado con base en los requisitos de negocio y en la seguridad de la información. 12. Adquisición, desarrollo y mantenimiento de sistemas. Los requisitos de seguridad de los sistemas de información deben ser identificados y acordados antes de su desarrollo y/o de su implementación, para que así puedan ser protegidos para el mantenimiento de su confidencialidad, autenticidad o integridad por medios criptográficos. 13. Gestión de incidentes de seguridad de la información. Se deben establecer los procedimientos para gestionar los eventos de seguridad de la información dentro de una organización, desde quién tiene que actuar hasta cómo se deberán resolver. 14. Gestión de continuidad del negocio. Los planes de continuidad del negocio deben ser desarrollados e implementados, con el fin de impedir la interrupción de las actividades del negocio y asegurar que las operaciones esenciales sean rápidamente recuperadas. 15. Conformidad. Es importante evitar la violación de cualquier ley criminal o civil, garantizando estatutos, regulaciones u obligaciones contractuales y de cualesquiera requisitos de seguridad de la información. ISO 27001 es la norma que define el modelo completo de gestión de seguridad de la información según un ciclo de mejora continua. El resto de los documentos de la serie, como ISO 27002, se han desarrollado con ayuda para la implementación de requisitos del SGSI o como ayuda en general para la seguridad de la información en campos concretos, integración con otros marcos o adaptación a sectores industriales o de servicios específicos. ISO 27005 La norma ISO 27005 contiene diferentes recomendaciones y directrices generales para la gestión de riesgo en Sistemas de Gestión de Seguridad de la Información. La norma no recomienda una metodología concreta, dependerá de una serie de factores, como el alcance real del SGSI, o el sector comercial de la propiaindustria. Esta norma internacional es compatible con los conceptos de la ISO/IEC 27001 y está diseñada para ayudar a una implementación eficaz de la seguridad de la información basados en un enfoque de gestión del riesgo, se relaciona con la sección de Riesgo, Conformidad y Cumplimiento en el framework de Calder-Moir. Para cumplir esta norma se pueden seguir las siguientes etapas: · Establecimiento del contexto. Consiste en definir los criterios básicos que son necesarios y definir cuál es el propósito de la Gestión del Riesgo de la Seguridad de la Información. · Evaluación del riesgo. Este proceso consiste en identificar cuáles son los riesgos en la seguridad de la información, estimar estos riesgos y evaluar considerando las consecuencias. · Tratamiento del riesgo. En base a la evaluación realizada del riesgo, se debe definir el tratamiento aplicado al activo de información, el tratamiento puede ser: reducir, aceptar, evitar o transferir el riesgo. · Monitoreo y revisión. Los riesgos y sus factores deben ser periódicamente revisado y la información que resulte de las revisiones debe servir como insumo para las siguientes iteraciones del Sistema. La certificación tiene un costo de aproximadamente $15,000 pesos por persona, está dirigido al personal de la empresa y la acreditación tiene validez de 1 a 3 años. ISO 20000-1 La norma ISO 20000-1 es la especificación para la gestión de servicios de TI, define todos los requisitos que necesita para ofrecer servicios de TI gestionados y alcanzando un nivel de calidad aceptable para sus clientes, incluyendo el diseño, la transición, la entrega y la mejora de los servicios TI. Se trata de una descripción de los procesos para planificar, implementar, operar, monitorear, revisar, mantener y mejorar un sistema de gestión de servicios. Se encuentra en la sección de operaciones dentro del framework de Calder-Moir. Los requisitos del sistema de gestión de servicios se resumen en: 4. Requisitos generales del sistema de gestión de servicios. La alta dirección deberá proporcionar evidencia de su compromiso con la planificación, establecimiento, implementación, operación, monitoreo, revisión, mantenimiento y mejora de los Sistemas de Gestión de la Seguridad (SMS) y los servicios. 5. Diseño y transición de servicios nuevos o modificados. El proceso de gestión y control de cambios contempla la necesidad de las empresas de incorporar nuevos servicios o mejorar los existentes, estableciendo requisitos para el proceso de diseñas incorporar y realizar la transición a los nuevos servicios. Para ello los requisitos establecen que debe haber: planificación, diseño, desarrollo y transición de servicios. 6. Procesos de entrega de servicios. Se definen los requisitos para los procesos para el manejo de servicios que son: gestión del nivel, realización de informes, gestión de disponibilidad y continuidad, evaluación de costes. Además de gestionar la seguridad de la información. 7. Procesos de relación. Establecer los requisitos para establecer y mantener unas buenas las relaciones entre el proveedor de servicios y el cliente, basadas en la comprensión del cliente y sus unidades de negocio, requisitos para la gestión de proveedores con el objetivo de garantizar la prestación de servicios de calidad constante. 8. Procesos de resolución. Incluye requisitos para la gestión de incidencias, solicitudes de servicio, y gestión de problemas. La gestión de incidentes persigue el restablecimiento de la normal prestación de servicios lo antes posible ante la ocurrencia de un incidente y minimizar las interrupciones. 9. Procesos de control. En esta cláusula se describen los siguientes procesos y sus requerimientos: a. Gestión de la configuración: Se refiere a la gestión de los activos del servicio y sus elementos de configuración para admitir otros procesos de gestión de servicios. b. Gestión del cambio: Se establecerá una política de gestión del cambio que defina los elementos de configuración, los criterios para determinar los cambios y los requisitos para garantizar que todos los cambios sean evaluados, aprobados, implementados y revisados. c. Gestión de liberación y despliegue: El proveedor del servicio debe establecer y acordar con el cliente una política de liberación de servicios que considere la frecuencia y el tipo de puesta en marcha de un servicio. Algunos beneficios que ofrece esta norma son: · Lograr las mejores normas internacionales de gestión de servicio TI. · Desarrollar servicios TI que estén impulsados y apoyados por objetivos comerciales. · Integrar gente, procesos y tecnología para apoyar las metas comerciales. · Poner en práctica controles para medir y mantener niveles uniformes de servicio. · ISO/IEC 20000 es compatible con ITIL para respaldar la mejora continua. La familia de Normas ISO 20000 se compone de 8 partes, aunque las más utilizadas son las partes 1 y 2 donde los requisitos para la certificación de un sistema de gestión ISO 20000 se encuentran solo en ISO 20000-1. Esta certificación es para el personal de la empresa, con un costo aproximado de $30,000 y validez por 3 años. SIX SIGMA Six Sigma es una metodología de gestión y organización empresarial para la mejora de procesos que ayuda a las organizaciones a perfeccionar sus procesos de negocios aplicable a empresas de cualquier ámbito. El objetivo final de Six Sigma es reducir lo más posible la cantidad de variaciones en un proceso a fin de evitar que el producto tenga defectos. La principal filosofía de Six Sigma indica que todos los procesos se pueden definir, medir, analizar, mejorar y controlar (lo que comúnmente se conoce como el método DAMAIC, por sus siglas en inglés). Según Six Sigma, en todos los procesos debe haber entradas y salidas. Las entradas son acciones que el equipo lleva a cabo y las salidas son los efectos de esas acciones. Se encuentra en la sección de operaciones del framework de Calder-Moir. Este concepto tiene fuerte relación con variables estadísticas como la desviación típica estándar (σ) y con otros conceptos estadísticos como la distribución normal o campana de Gauss, con el principio de “cero defectos”, lo que en la práctica se traduce en que su aplicación debería garantizar, en su nivel óptimo, un valor máximo de 3.4 defectos por cada millón de unidades producidas (3.4 DPMO) o, lo que es lo mismo, garantizar una eficiencia del 99.99966%. La metodología Six Sigma tiene 5 principios clave para aplicar en los procesos: 1. Poner la atención en el cliente. El objetivo es garantizar que se puede brindar a los clientes el mayor valor posible, se tiene que dedicar mucho tiempo a identificar quiénes son los clientes, cuáles son sus necesidades y qué los motiva a comprar los productos de la empresa. Para lograrlo se debe entender cuál es la calidad del producto que los clientes consideran aceptable y poder cumplirlo o exceder esas expectativas. 2. Usar los datos para detectar donde se produce la variación. Analizar y reunir los datos en el proceso de producción actual, con el fin de encontrar las áreas donde se pueda optimizar el trabajo o que estén provocando cuellos de botella en el flujo de trabajo. 3. Mejorar los procesos continuamente. La filosofía detrás de la mejora continua indica que el hacer cambios pequeños durante un periodo prolongado, en un futuro se transformarán en grandes cambios positivos, es por ello que se debe identificar como se pueden perfeccionar procesos y reducir los pasos que no aportan valor al equipo, los clientes o al producto. 4. Incluir a todos. La posibilidad de contribuir a todos los integrantes de un equipo brinda una visión integral de cómo un mismo proceso puede afectar distintas partes del negocio, por ello los representantes de los equipos que participen en el proyecto deben recibir capacitación en estos proyectos, con el objetivo de disminuir los riesgos de crear más obstáculos en vez de eliminarlos. 5. Garantizar un ambiente flexible y receptivo. Se debe buscar continuamente formas de mejorar los procesos, lo cual implica que el equipo enterodebe ser flexible para poder hacer cambios grandes sin demasiados inconvenientes. Hay dos principales metodologías Six Sigma que se usan en situaciones diferentes: El método DMAIC es el estándar que se usa cuando hay que optimizar los procesos existentes, consiste en: · (Define) Definir el sistema. · (Measure) Medir los aspectos clave de los procesos actuales. · (Analyze) Analizar los procesos. · (Improve) Mejorar u optimizar los procesos. · (Control) Controlar los procesos creados o modificados. El otro método es DMADV que se aplica cuando los procesos aun no se han establecido y hay que crearlos, consiste en: · (Define) Definir los objetivos. · (Measure) Medir e identificar los puntos críticos para la calidad. · (Analyze) Analizar y diseñar diversas opciones para desarrollar. · (Design) Diseñar la opción elegida. · (Verify) Verificar el diseño y preparar las pruebas del proceso. Para obtener una certificación en esta metodología, el personal es el que deberá recibir la capacitación, la cual tiene una duración aproximada de 80 horas y un costo aproximado de $25,000 MXN para la “cinta negra” que es el nivel más alto dentro de la certificación en esta metodología. GREEN IT El Green Computing o Green IT surgió en 1992 debido a un programa de la Agencia de Protección Ambiental de Estados Unidos para reconocer y promover la eficiencia energética de diferentes tecnologías. Green IT es un conjunto de buenas prácticas que tienen como objetivo usar de manera eficiente los recursos IT para minimizar el impacto ambiental de la actividad y reducir el consumo energético, algo que se consigue, entre otras cosas, realizando una gestión eficiente de los recursos e infraestructuras para garantizar que se maximiza su uso y ocupación para aprovecharlos al máximo, esto abarca tanto productos y servicios tecnológicos sostenibles como estrategias de utilización de las TIC que preservan los recursos naturales y energéticos. Se encuentra en la sección de estrategias del negocio en el framework de Calder-Moir. Con el Green IT se pretenden alcanzar los siguientes objetivos: · Reducción del consumo de recursos y de energía en la producción de hardware · Producción en condiciones laborales dignas y justas · Prolongación de la vida útil del hardware · Desarrollo de software que consuma menos recursos en el proceso · Reducción del consumo de energía en el uso de las TI · Formas de reciclaje y de gestión de residuos que ahorren energía · Evitar la impresión innecesaria en papel · Uso de soluciones digitales para reducir las emisiones de otros productos Además, la implementación de estas prácticas proporciona diversos beneficios a las empresas, como los son: impacto positivo en el medioambiente, influencia positiva que puede servir como motor de un cambio social, ahorro económico a largo plazo y la mejora de la imagen corporativa. Esta estrategia no se aplica de forma puntual o en acciones concretas, sino que ya es parte de la estrategia transversal y la política global de muchas organizaciones. Algunas de las principales acciones son: · Monitorización de consumos. · Tecnologías de bajo consumo. · Dispositivos con materiales Green. · Energías renovables. · Cloud computing. · Infraestructuras inteligentes. · Centros logísticos ‘inteligentes’. · Tecnologías de la comunicación y movilidad. · Home office. · Gestión del hardware tras su vida útil. · Oficina libre de papeles. ISO 31000 Es una norma de la International Organization for Standardization (ISO) aplicable para la gestión de cualquier riesgo, la cual brinda las pautas necesarias para elaborar un sistema de gestión de riesgos. El diseño de esta norma permite que sea aplicable a cualquier empresa, independientemente de su tamaño o sector. Los principales objetivos de esta norma son: mejorar la administración, eficacia operativa y la gobernanza conociendo los principales riesgos que debe afrontar la empresa y cómo actuar frente a ellos. De igual manera busca generar confianza entre las partes interesadas con el uso de técnicas de riesgos, reduciendo la incertidumbre que tienen las organizaciones de lograr sus objetivos. Esta norma cuenta con once principios los cuales proporciona un marco sólido para implementar y desarrollar posteriormente el sistema de gestión de riesgos. · Valor: El sistema de gestión de riesgos garantiza que se logren los objetivos de la empresa y, por lo tanto, crea valor. · Integración: El sistema de gestión de riesgos debe ser integrado en todos los departamentos de la empresa. · Decisiones: Al tomar decisiones que afecten al futuro de la empresa, se debe recurrir al sistema de gestión de riesgos. · Incertidumbre: El futuro incierto es uno de los componentes básicos del sistema de gestión de riesgos, por ello es algo inevitable la incertidumbre. · Sistemático: Una estructura razonable y oportuna es fundamental para mantener el funcionamiento del sistema. · Información: De acuerdo con el sistema de gestión de riesgos, las decisiones deben basarse en todos los datos disponibles. · Adaptación: El sistema de gestión de riesgos debe estar hecho a medida y adaptarse a las circunstancias de la empresa. · Factor humano: Un buen sistema de gestión de riesgos debe realizarse considerando el factor cultural y humano. · Transparencia: Todas las partes implicadas deben tener una visión completa del sistema de gestión de riesgos. · Dinámico: Un sistema de gestión de riesgos que funcione bien se adaptará sin esfuerzo a las nuevas condiciones. · Mejora: Como proceso continuo, el sistema de gestión de riesgos mejora constantemente. Las herramientas que utiliza esta norma son las siguientes: · Check-lists: Consiste en una lista de las incertidumbres típicas a considerar. · SWIFT: Sistema que permite al equipo identificar los riesgos, normalmente vinculado a un análisis de riesgos y evaluación técnica. · Análisis de árbol de fallas: Esta técnica se inicia con un evento no deseado y determina todas las maneras en las que podría ocurrir. Estos eventos se muestran gráficamente en un diagrama de árbol lógico. Una vez que el árbol de fallas se ha desarrollado, debe considerarse la posibilidad de formas de reducir o eliminar las posibles causas/fuentes. · Análisis Modal de Fallos y Efectos (AMFE): Esta técnica identifica y analiza los fallos potenciales, mecanismos y los efectos de esos fallos. · Análisis funcional de operatividad (HAZOP). Se trata de un proceso general de identificación de riesgos para definir posibles desviaciones del rendimiento esperado o deseado. · Análisis de capas de protección (LOPA). Permite la evaluación de controles, así como su eficacia. La ISO 31000 tiene relación con otros frameworks como la norma ISO 27005 y el estándar NIST 800-39, los cuales proporcionan una guía de gestión de riesgos de seguridad de la información. Relacionando esta norma con el framework Calder Moir, podemos definir que pertenece al segmento de riesgo, conformidad y cumplimiento, específicamente a la capa interna de la misma. La norma ISO 31000 no ofrece certificación, pero las organizaciones que lo utilizan pueden comparar sus prácticas de gestión de riesgos con un punto de referencia reconocido internacionalmente, proporcionando principios sólidos para una gestión efectiva y un gobierno corporativo. ISO 15504 - ISO 12207 Estas normas constituyen la certificación de calidad en el ciclo de vida de desarrollo de software, siendo evaluada la calidad en los procesos del ciclo de vida del software en el Análisis, Diseño y Desarrollo de sistemas informáticos cumpliendo los requisitos con un nivel de madurez 3. De manera individual, la ISO 15504 es un modelo para la mejora y evaluación de los procesos de desarrollo y mantenimiento de sistemas de información y productos de software. Por su parte, la ISO 12207 es un marco de trabajo común para los procesos del ciclo de vida del software el cual contiene procesos, actividades y tareas que pueden emplearse para definir, controlar y mejorar los procesos del ciclo de vida del software. Los propósitos principales son: · Establecer unmarco común para el proceso del ciclo de vida del Software, con una terminología bien definida que pueda ser referenciada por la Industria del Software. · Adquirir, suministrar, desarrollar, operar y mantener productos de Software. · Definir, controlar y mejorar el proceso del ciclo de vida del Software. · Evaluar el desempeño mediante la experimentación en la industria emergente del desarrollo de software. · Promover la transferencia de tecnología de la evaluación de procesos de software a la industria del software a nivel mundial. Los principios por los que se guían están determinados por niveles, esto niveles están heredados de la CMMI (Capability Maturity Model Integration): · Nivel 0: El proceso es incompleto: No está completamente implementado y no logra sus objetivos. · Nivel 1 - El proceso se realiza: Se implementa y logra sus objetivos. · Nivel 2: El proceso se gestiona: Está controlado, su implementación está planificada, monitoreada y ajustada. Sus resultados (productos de trabajo) son establecidos, controlados y debidamente registrados y mantenidos. · Nivel 3: El proceso está establecido: Está documentado para garantizar su capacidad para cumplir sus objetivos. · Nivel 4: El proceso es predecible: Opera de acuerdo con los objetivos de rendimiento definidos. · Nivel 5: El proceso está en optimización: Mejora continuamente para ayudar a alcanzar los objetivos actuales y futuros. Como resultado, la implementación permite a las organizaciones contar con una adecuada gestión del ciclo de vida del software, mejorar los procesos e incrementar la satisfacción de los usuarios a través de herramientas necesarias y de calidad para el mejor cumplimiento de sus actividades. Una herramienta para el uso de estos frameworks es AUTOMOTIVE SPICE, la cual está dedicada específicamente a la industria automotriz, esta implementa unos cambios menores, los cuales son relativos a la agrupación de procesos y a la adopción de la terminología a la industria automovilística. Estos frameworks de igual manera tienen relación con la ISO 9001, la cual se encarga de definir modelos para sistemas de calidad, garantizando esta cualidad en la concepción, desarrollo, producción, instalación y prestación de servicios. Relacionando esta norma con el framework Calder Moir, podemos definir que pertenece al segmento de riesgo, conformidad y cumplimiento, específicamente a la capa intermedia de la misma. ISO 24762 La ISO 24762 se introdujo en 2008 para brindar un marco general para la recuperación de desastres de tecnología de la información y las comunicaciones (ICT DR). Este estándar proporciona una descripción detallada de todos los requisitos del proveedor de recuperación ante desastres. Cuenta con 5 clausulas en las cuales cada una de ellas se encargar específicamente de un objetivo principal de la norma, estas cláusulas son: 1) Recuperación de desastres de TIC · Estabilidad ambiental: Huelgas, manifestaciones, disturbios, crímenes, desastres naturales, pandemias y factores similares afectan la estabilidad ambiental de un sitio. · Gestión de activos: Protección de activos a través de la lista y el almacenamiento de inventario, y la documentación relevante. · Proximidad del sitio: Selección del sitio para elegir una ubicación para la unidad de negocio que esté bien aislada de diversos peligros. · Gestión de proveedores: Personal, los servicios, los suministros y las soluciones proporcionadas por los proveedores de una empresa pueden verse afectados durante una emergencia. · Acuerdos de subcontratación: El alcance limitado del control que una organización puede ejercer en procesos de subcontratación se contrarrestan a través de controles estrictos, acuerdos contractuales y revisiones periódicas. · Seguridad de la información: Los sistemas de TIC se agrupan en diferentes ubicaciones físicas en función de sus diferentes requisitos de protección durante situaciones de crisis. · Activación y desactivación del plan de recuperación ante desastres: Se establecen planes y procedimientos para identificar cuándo se debe activar un plan de recuperación ante desastres y cuándo se pueden detener las medidas de recuperación. · Formación y educación: La transferencia de conocimientos desempeña un papel importante en la sensibilización del personal y el personal. · Pruebas en sistemas de TIC: Las capacidades de continuidad del negocio de los sistemas de TIC se prueban rigurosamente durante los cambios en los requisitos de la organización o la expansión de las operaciones comerciales. · Documentación y revisión periódica: Todas las medidas de recuperación de desastres se archivan y se hace referencia constantemente. Esto permite actualizaciones y mejoras periódicas. 2) Instalaciones de recuperación de desastres de TIC · Ubicación de los sitios de recuperación: Las ubicaciones de los sitios de recuperación se deciden en función de factores como la vulnerabilidad a los peligros naturales, los incidentes climáticos extremos, la disponibilidad de infraestructura, el transporte público, las instituciones médicas, los servicios como el agua, gas, electricidad, etc. · Controles de acceso físico: La categorización de seguridad, las normas de entrada y salida, los protocolos de conducta y otras restricciones se establecen para varios departamentos mientras se encuentran en los sitios de recuperación. · Seguridad de las instalaciones físicas: Los sitios de recuperación están protegidos con sistemas constantes de vigilancia, detección y alarma, control del personal a través de identificación visible, de igual manera contar con una administración desde una ubicación central. · Áreas dedicadas: Se establecen disposiciones para áreas dedicadas para ejecutar medidas de recuperación, como el montaje, la celebración, la puesta en escena y otras actividades. · Controles ambientales: Se abordan la temperatura, ventilación, humedad, vibración, el ruido y otros factores ambientales en el sitio de recuperación. · Telecomunicaciones: Las capacidades de intercambio de información se establecen garantizando la conectividad, la seguridad de los datos, la diversidad de la red, la confiabilidad y los estándares de calidad. · Suministro de energía: Un suministro continuo y estable de electricidad es vital para que las operaciones continúen sin interrupciones. · Gestión de cables: La fuente de alimentación y los cables relacionados con la electrónica se proporcionan una protección y un blindaje adecuados para evitar la interrupción y la pérdida de información. · Protección contra incendios: Esto incluye adherirse a las normas de cumplimiento normativo, establecer planes de escape de incendios e instalar equipos como extintores de incendios, rutas de escape, etc. · Centro de operaciones de emergencia (EOC): El mantenimiento de la comunicación entre las unidades de negocio y las entidades externas se logra a través del suministro adecuado de equipos, infraestructura relacionada con las telecomunicaciones, papelería de oficinas, instalaciones físicas como áreas de reuniones, etc. · Servicios de no recuperación: Se toman medidas para atender el bienestar y la seguridad del personal presente en las instalaciones durante las emergencias. · Pruebas: Las instalaciones físicas y el equipo se mantienen actualizados a través de un mantenimiento y pruebas regulares para garantizar una calidad óptima. 3) Capacidad del proveedor de servicios subcontratados · Revise el estado de recuperación ante desastres de la organización: Las organizaciones se aseguran de tener una solución de RECUPERACIÓN ante desastres. · Requisitos de las instalaciones: Los proveedores de servicios se aseguran de que se cumplan adecuadamente todos los requisitos enumerados según la cláusula de recuperación ante desastres de las TIC. · Control de acceso lógico: Los proveedores de servicios subcontratados que brindan soporte operativo deben establecer sus credenciales para manejar los sistemas informáticos del sitio de recuperación. · Soporte de recuperación simultánea: Los proveedores de servicios deben asegurarsede que pueden cumplir con sus obligaciones contractuales a pesar de que muchos clientes activan sus servicios de recuperación a desastres simultáneamente. · Niveles de servicio: Las organizaciones pueden decidir el alcance de los servicios solicitados en función de la criticidad de sus necesidades. · Ratio de suscripción para servicios compartidos: Los proveedores de servicios deben mantener el número de organizaciones que se suscriben a sus servicios en un número óptimo para garantizar que siempre se preste un servicio de alta calidad. · Plan de respuesta a emergencias: Los propios proveedores de servicios deben protegerse contra emergencias no planificadas que pueden obstaculizar las soluciones que brindan a sus clientes. 4) Selección de sitios de recuperación Se establecen normas para la selección de una buena infraestructura, esto está determinado por la disponibilidad de infraestructura, mano de obra calificada y soporte, masa crítica de vendedores y proveedores. 5) Mejora continua Los procesos existentes se actualizan constantemente con la última tecnología y tendencias dependiendo de las demandas y los factores impulsores de la industria. Las instituciones que apliquen la norma ISO 24762 pueden dar fe a sus clientes e interesados de que sus programas son consistentes con las normas internacionales para la recuperación ante desastres. Esta norma se relaciona con la ISO 27031, la cual proporciona una descripción concisa de un programa dedicado para la recuperación de desastres de tecnología, como los procesos de planificación y actividades de apoyo. Relacionando esta norma con el framework Calder Moir, podemos definir que pertenece al segmento de riesgo, conformidad y cumplimiento, específicamente a la capa intermedia de la misma. La norma ISO 24762 no cuenta con una certificación, pero el guiarse en ella nos permite determinar que la empresa cuenta con estándares internacionales en la cuestión de recuperación de desastres, siendo esto un indicador de calidad a nivel internacional. ISO 27002 - ISO 27799 La norma ISO 27002 es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. Proporciona recomendaciones de las mejores prácticas en la gestión de la seguridad de la información a todos los interesados y responsables en iniciar, implantar o mantener sistemas de gestión de la seguridad de la información. Por otro lado la norma ISO 27799 es un estándar de gestión de seguridad de la información en el sector sanitario aplicando ISO 27002. ISO 27799:2008 especifica un conjunto detallado de controles y directrices de buenas prácticas para la gestión de la salud y la seguridad de la información por organizaciones sanitarias y otros custodios de la información sanitaria en base a garantizar un mínimo nivel necesario de seguridad apropiado para la organización y circunstancias que van a mantener la confidencialidad, integridad y disponibilidad de información personal de salud. Las políticas involucradas en ambas normas son las siguientes: · Definir cuál será el alcance de la seguridad y la importancia que tiene que se comparta la información. · Se tiene que generar un marco en el que establecer todos los objetivos de control, en los que se tiene que incorporar la estructura de evaluación de riesgo y la gestión del riesgo. · Definir la responsabilidad general y específica en la gestión de la seguridad de la información, en la que se debe incluir la comunicación de las incidencias de seguridad. Las ventajas de aplicar estas normas son: · Mejor concienciación sobre la seguridad de la información. · Mayor control de activos e información sensible. · Ofrece un enfoque para la implementación de políticas de control. · Mejor organización con procesos y mecanismos bien diseñados y gestionados. · Promueve reducción de costos con la prevención de incidentes de seguridad de la información. · Conformidad con la legislación y otras reglamentaciones. · Controles de acceso a datos, incluida la gestión del acceso privilegiado. · Control criptográfico de datos sensibles. · Gestión y protección de claves de cifrado. Estos frameworks se relacionan con otros estándares en cuestión de la protección de la información, uno de ellos es General Data Protection Regulation (RGPD), esta es la norma de privacidad que afecta a cualquier organización que procese datos personales de la población en la Unión Europea, de igual manera existe Payment Card Industry Security Standards Council (PCI SSC) el cual es el estándar de seguridad de datos en la Industria de tarjetas de pago, el cual está orientado a la definición de controles para la protección de los datos del titular de la tarjeta y datos sensibles de autenticación durante su procesamiento, almacenamiento y/o transmisión. Relacionando esta norma con el framework Calder Moir, podemos definir que pertenece al segmento estrategias de las tecnologías de la información, específicamente a la capa intermedia de la misma. Ambas normas no cuentan con certificación, siendo que la norma ISO 27001 la más cercana a estas. Por ello, el contar con esta certificación es lo más cercano a tener el resto de la serie. La certificación de la ISO 27001 en España es brindada por la Asociación Española de Normalización (UNE) y tiene un costo de 65 euros, en el caso de México Integrated Assessment Service es el encargado de certificar la norma ISO 27001. ISO 27011 Es una guía de la implementación y gestión de la seguridad de la información en organizaciones del sector de telecomunicaciones basada en ISO/IEC 27002. La norma facilita modernos controles, además de una orientación para la implementación en las empresas de telecomunicaciones. Consolida la privacidad, disponibilidad e integridad de las infraestructuras y servicios de estas empresas. Los objetivos de esta norma son: · Asegurar la seguridad de la información a través de prácticas que den confianza en las actividades realizadas por las organizaciones. · Cumplir con los principios de confidencialidad, integridad y disponibilidad de la información en estos sistemas. Los principios implementados en esta norma son los siguientes: · Proteger la integridad, confidencialidad y disponibilidad de las infraestructuras y servicios. · Asegurar la disminución de los riesgos de los servicios que las empresas de telecomunicaciones prestan mediante procesos de cooperación fiables. · Han de saber reordenar los recursos para que las actividades llevadas a cabo sean más eficientes. · Acoger un principio global relacionado con la seguridad de la información. La norma ISO 27011 nos garantiza la seguridad de la información de las empresas a través de unos controles apropiados. Estos controles han de ser implementados, controlados, especificados y deben de ir evolucionando a lo largo del tiempo para que se lleve a cabo el cumplimento de los objetivos de seguridad fijados previamente por estas entidades. El principal framework con el que se relaciona es la ISO 27002, ya que en gran medida la ISO 27011 fue basada en la norma anteriormente mencionada para ser realizada, los principales cambios se presentan en un "conjunto de control ampliado" con asesoramiento adicional para las organizaciones de telecomunicaciones sobre controles de acceso, seguridad física y ambiental, seguridad de las comunicaciones y cumplimiento. Incluye más orientación sobre la seguridad de la red, que cubre los "ataques cibernéticos" y la congestión de la red. Relacionando esta norma con el framework Calder Moir, podemos definir que pertenece al segmento estrategias de las tecnologías de la información, específicamente a la capa intermedia de la misma. ISO 27017 La norma ISO 27017 proporciona directrices para los controles de seguridad de la información aplicables a la prestación y el uso de servicios en la nube, orientando la implementación adicional para los controles relevantes especificados en ISO 27002, al igual de que brinda controles adicionales en la implementación que se relacionan específicamente con losservicios en la nube. La norma aclara las funciones y responsabilidades de ambas partes (cliente y proveedor) para ayudar a que los servicios en la nube sean tan seguros como el resto de los datos incluidos en un sistema de gestión de la información certificado. Esta norma ofrece controles en la nube, los cuales tratan los siguientes puntos: · Quién es responsable de lo que ocurre entre el proveedor del servicio y el cliente. · La eliminación/devolución de activos cuando un contrato se resuelve. · Protección y separación del entorno virtual del cliente. · Operaciones y procedimientos administrativos relacionados con el entorno en la nube. · Seguimiento de la actividad de clientes en la nube. La implementación de esta norma inspira confianza en el negocio ya que proporciona una mayor seguridad a clientes y partes interesadas de que los datos y la información sean protegidos. De igual manera reduce el riesgo de publicidad negativa debido a las violaciones de datos, garantiza que las normas locales se cumplan, lo cual implica una reducción del riesgo de multas por violaciones de datos. El framework relacionado con esta norma es la ISO 27002, ya que si bien la ISO 27002 define los principios, la ISO 27017 enmarca con precisión las relaciones entre el cliente y el proveedor de servicios en la nube, establece que es lo que el cliente debe exigirle a un proveedor y qué información debe proporcionar este último. Relacionando esta norma con el framework Calder Moir, podemos definir que pertenece al segmento estrategias de las tecnologías de la información, específicamente a la capa intermedia de la misma. La certificación de esta norma en México es brindada por Data and Quality Systems (DQS) y CERTValue, aunque determinar el costo de esta resulta complicado debido al proceso que se requiere cada una de las empresas para llevar a cabo la certificación. ISO 27018 La ISO 27018, aporta una base de buenas prácticas para la protección de información de identificación personal en la nube para organizaciones que actúan como procesadores de esta información. Su objetivo es identificar de manera precisa como el proveedor gestiona los datos personales de los interesados, establece los procedimientos necesarios para cualquier solicitud o acceso a los mismos ofreciendo de este modo a los clientes una total transparencia en este sentido. Los 8 principios específicos de privacidad de la información, aplicables al gestor de datos en la nube y el modo de implantarlos, lo que conforma un conjunto de requisitos para la protección de información de identificación personal. Los principios en los que se basa son los siguientes: · Consentimiento y elección. · Propósito de legitimidad y especificación. · Minimización de los datos. · Límite de uso, retención y divulgación. · Apertura, trasparencia y notificación. · Responsabilidad. · Seguridad de la Información. · Cumplimiento de la privacidad. La implantación del estándar conlleva grandes beneficios a los operadores de datos en la nube, entre los beneficios podemos destacar: · Aporta confianza sobre la protección de la información de los clientes y partes interesadas, protegiendo la imagen de la organización frente a accesos o violación de datos. · Permite identificar los riesgos a los que está expuesta la información de identificación personal estableciendo controles para su mitigación. · Diferenciación respecto a los competidores del mismo sector, proveyendo una protección a la información bajo un estándar internacional. · Protección frente a multan, aportando un sistema de gestión que vela por la protección de la información de los interesados. Una herramienta que permite utilizar esta norma es la que brinda GlobalSuite, permitiendo una implantación eficaz del estándar ISO 27018 al estar plenamente adaptada a los requisitos que exige la norma, ya no solo para empresas que estén certificadas en la ISO 27001, sino aquellas que deciden abordar la implantación de ambos estándares. La ISO 27018 es utilizada juntamente con la ISO 27001, dando el valor agregado a los proveedores de servicios en la nube que sus datos están garantizados y no serán usados para ningún propósito para el cual no se dé expresamente su consentimiento. Relacionando esta norma con el framework Calder Moir, podemos definir que pertenece al segmento estrategias de las tecnologías de la información, específicamente a la capa intermedia de la misma. CERTValue ofrece la certificación de la norma 27018 en México, aportando un marco normativo en base a las mejores prácticas en materia de protección de la información e identificación del personal. Imagen 1. ITIL Imagen 2. TOGAF Imagen 3. PMBOK Imagen 4. ISO 19770 Imagen 5. CMMI Imagen 6. CPM3 Imagen 7. COBIT Imagen 8. ISO 38500 Imagen 9. ISO 27001 Imagen 10. ISO 27002 Imagen 11. ISO 27005 Imagen 12. ISO 20000-1 Imagen 13. SIX SIGMA Imagen 14. Green IT Imagen 15. ISO 31000 Imagen 16. ISO 15505 – 12207 Imagen 17. ISO 24762 Imagen 18. ISO 27002 - ISO 27799 Imagen 19. ISO 27011 Imagen 20. ISO 27017 Imagen 21. ISO 27018 Conclusiones Con la realización de este trabajo de investigación conocimos cuales son algunos frameworks que se relacionan con aspectos de nuestra área de estudios, desde aquellos que nos brindan estándares en la planificación, diseño, desarrollo de la arquitectura de una empresa hasta aquellos que nos indican como es la gestión de la información. Resulta bastante interesante el identificar como es que algunos de estos frameworks se relacionan con otros a tal punto de que muchos de ellos llegan a basarse para formar uno nuevo, o también suelen llegar a usarse en conjunto ya que llegan a ser complementarios. De igual manera resulto interesante investigar acerca de cuál es el proceso de certificación que se debe llevar a cabo en estos frameworks, ya que esto puede realizarse a nivel individual o empresarial. Aunque también es cierto que en ocasiones resulto complicado encontrar información referente a esto y más aún determinar si la información encontrada era verídica y hasta qué punto seguía siendo vigente. También consideramos que de los conocimientos mas relevantes que obtuvimos al realizar el trabajo, fue la identificación de casos en los cuales el uso de algunos de estos frameworks puede permitirnos mejorar en los distintos procesos que realizamos actualmente, con el fin de poder mejorar en la calidad de nuestros proyectos y conocer más acerca de los distintos estándares que están diseñados para la realización de actividades profesionales. Referencias Ramírez Bravo, P y Donoso Jaurés, F. (2006). Metodología ITIL. Descripción, Funcionamiento y Aplicaciones. Universidad de Chile. Facultad de Ciencias Económicas y Administrativas, Chile. ¿Qué es la certificación ITIL y quién puede solicitarla? (2021). Disponible en: https://www.formazion.com/noticias_formacion/que-es-la-certificacion-itil-y-quien-puede-solicitarla-org-6823.html Consultado: 08/09/2022 ¿Qué es la metodología TOGAF? (2021). Disponible en: https://www.unir.net/empresa/revista/togaf-que-es/ Consultado: 08/09/2022 Las 18 mejores herramientas de Arquitectura Empresarial disponibles en el mercado (2021). Disponible en: https://cio.com.mx/conozca-las-18-mejores-herramientas-de-arquitectura-empresarial-disponibles-en-el-mercado/ Consultado: 10/09/2022 Certification – TOGAF 9 Certification FAQ (2016). Disponible en: http://www.opengroup.org/togaf9/cert/docs/faq.html Consultado: 08/09/2022 ¿Qué es y para qué sirve PMBOK? (2021). Disponible en: https://retos-operaciones-logistica.eae.es/que-es-la-guia-pmbok-y-como-influye-en-la-administracion-de-proyectos/ Consultado: 08/09/2022 ¿Qué es PMBOK? (2022). Disponible en: https://www.hostgator.mx/blog/que-es-pmbok/ Consultado: 08/09/2022 PMBOK: qué es, para qué sirve, fases y herramientas (2021). Disponible en: https://blog.hubspot.es/sales/que-es-pmbok Consultado: 10/09/2022 Introducción a las certificaciones PMI. (s.f.). Disponible en: https://netmind.net/es/pmi-certificaciones/ Consultado: 08/09/2022 ISO 19770 (SAM).
Continuar navegando
Materiales relacionados
10 pag.
361 pag.DOCUMENTOS-PREVIOS-x-EQUIPOSx-CONSOLIDADO
Estudia Aquí
Compartir