lunes, 24 de octubre de 2011

ISO/IEC 20000-1:2011 Sistema de Gestión de Servicios de Tecnologías de la Información.


Los servicios de Tecnología de la Información deben estar enfocados a atender los objetivos y necesidades del negocio.

Por Hugo López Reyes. Consultor asociado


Los servicios de Tecnología de la Información deben estar enfocados a atender los objetivos y necesidades del negocio.

En los últimos años el área de Tecnologías de la Información (TI) en la empresa se ha enfrentado a mayores presiones por parte de la organización, a fin de proveer en tiempo y forma los servicios que sus usuarios demandan, ya sea que los servicios de TI se provean de manera interna y/o a través de un proveedor externo, la demanda es siempre la misma, mejorar el nivel de servicio de tal forma que la organización cuente con la infraestructura y los servicios que le permitan incrementar su productividad y alcanzar los objetivos del negocio. 
Un Sistema de Gestión de Servicios de Tecnologías de la Información es un enfoque integral para permitir que la organización cuente con servicios administrados de TI eficaces y eficientes que le permitan satisfacer los requerimientos del negocio y de sus clientes.
Las organizaciones dependen hoy en día de la infraestructura y servicios de TI y principalmente de la información (a la que la organización tiene acceso a través de ellos). El negocio como parte de su evolución y la competencia, demanda que los servicios de TI evolucionen a ritmos acelerados, entregando servicios cada vez más completos, más complejos y más eficientes. Esta evolución está determinada por la necesidad del negocio de incrementar su productividad, reducir costos y mejorar la calidad, de esta forma el área de TI en una organización es crítica y se ha constituido en un elemento clave para la competitividad y éxito de las empresas.
Los Proveedores de Servicios de TI (ya sean internos y/o externos) tienen el reto permanente de mantener altos niveles de servicio para sus clientes, en particular en un ambiente con una gran diversidad de tecnologías disponibles y cambiantes. Con frecuencia el área de TI invierte mucho tiempo reaccionando para atender las nuevas necesidades del negocio y muy poco en la planeación, entrenamiento, investigación y trabajo con sus usuarios y clientes. Al mismo tiempo a los proveedores del área de TI se les pide de manera continua que mejoren la calidad de sus productos y servicios, bajen los costos y den una respuesta más rápida a las nuevas necesidades.
 Ante este escenario se hace indispensable contar con un enfoque integral que nos permita entregar y administrar los servicios de TI, de tal forma que la empresa pueda tener mejor control, productividad y eficiencia. 


La norma ISO/IEC 20000-1:2011 es un estándar que provee un modelo para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un Sistema de Gestión de los Servicios de Tecnologías de la Información. Esta norma considera a las personas, los procesos y los Sistemas de TI, pero sobre todo a los clientes y usuarios de estos servicios.
Un Sistema de Gestión de los Servicios de Tecnologías de la Información debidamente implementado busca optimizar los servicios de TI, satisfaciendo los requerimientos del negocio, administrando estratégicamente la infraestructura de TI y sobre todo cumpliendo con los niveles de servicio demandados por lo usuarios (internos y/o externos).

La norma ISO/IEC 20000-1:2011 establece 5 grupos de procesos clave para la gestión de los servicios de TI.
1. Procesos de Diseño y Transición de Servicios Nuevos o Modificados. Incluye la planeación de servicios nuevos o modificados, diseño y desarrollo de servicios nuevos o modificados, transición de servicios nuevos o modificados.

2. Procesos de Entrega del Servicio: Incluye la gestión de los niveles de servicio, reportes del servicio, gestión de la continuidad y disponibilidad del servicio, presupuesto y contabilidad de los servicios de TI,  gestión de la capacidad y gestión de la seguridad de la información.

3. Procesos de Relacionamiento: Incluye la gestión del relacionamiento del negocio (clientes) y gestión de proveedores.

4. Procesos de Resolución: Incluye la gestión de incidentes y solicitudes de servicio y la gestión de problemas.

5. Procesos de Control: Incluye gestión de la configuración, gestión de cambios y la gestión de la liberación e implementación (publicación).


El siguiente diagrama resume el contenido de la norma ISO/IEC 20000-1:2011:



Contenido de la Norma ISO/IEC 20000-1:2011

1.  Alcance
2.  Referencias Normativas
3. Términos y definiciones
4.  Requisitos Generales del Sistema de Gestión del Servicio (SGS)
4.1. Responsabilidad de la dirección
4.2. Gobernabilidad de los procesos operados por otras partes
4.3. Gestión de la Documentación
4.4. Gestión de Recursos
4.5. Establecer y Mejorar el SGS
4.5.1. Definir el Alcance
4.5.2. Planear el SGS (Planear)
4.5.3. Implementar y Operar el SGS (Hacer)
4.5.4. Monitorear y Revisar el SGS (Verificar)
4.5.5. Mantener y Mejorar el SGS (Actuar)
5. Diseño y transición de servicios nuevos o modificados
5.1. General
5.2. Planeación de servicios nuevos o modificados
5.3. Diseño y desarrollo de servicios nuevos o modificados
5.4. Transición de servicios nuevos o modificados
6. Procesos de entrega del servicio
6.1. Gestión de niveles de servicio
6.2. Reportes del servicio
6.3. Gestión de la continuidad y disponibilidad del servicio
6.4. Presupuesto y contabilidad de los servicios de TI
6.5. Gestión de la capacidad
6.6. Gestión de la seguridad de la información
7. Procesos de relacionamiento
7.1. Gestión del relacionamiento del negocio
7.2. Gestión de proveedores (terceros)
8. Procesos de resolución
8.1. Gestión de incidentes y solicitudes de servicio
8.2. Gestión de problemas
9. Procesos de control
9.1. Gestión de la configuración
9.2. Gestión de cambios

miércoles, 19 de octubre de 2011

ISO/IEC 27001:2005 - Sistemas de Gestión de la Seguridad de la Información

Por Hugo López Reyes
La información es sin lugar a dudas uno de los activos más importantes de cualquier organización y requiere de una protección adecuada. La seguridad de la información protege a su organización de una amplia gama de amenazas y riesgos, busca garantizar la confidencialidad, disponibilidad e integridad de su información, reduciendo los daños potenciales y maximizando el retorno de la inversión y las oportunidades de negocio.
La información es la columna vertebral de la que dependen las organizaciones y existe en muchas formas y medios. Está impresa ó escrita en papel, se almacena, envía y transmite en medios electrónicos y redes de comunicaciones (como internet), se tiene en video ó audio y se maneja en nuestras conversaciones diarias. En un ambiente tan competido es un activo muy valioso y está expuesta constantemente a distintas amenazas, las cuales pueden ser internas, externas, accidentales ó deliberadas. Al utilizar cada vez más tecnología, se han abierto las puertas al número y tipos de amenazas.
La creciente exposición a violaciones de seguridad y el valor creciente de la información para la organización, determinan la necesidad de que las empresas protejan de manera sistemática su activo más importante: “La Información”. Un Sistema de Gestión de la Seguridad de la Información es una forma sistemática de manejar y administrar la información sensible de una compañía para reducir los riesgos de acceso no autorizado, alteración y pérdida de la información. Abarca a las personas, los procesos, las tecnologías de la información y toda la información de la empresa sin importar en que forma se encuentre.
Su organización debe establecer un Sistema de Gestión de la Seguridad de la Información, el cual le permita asegurar la confidencialidad, disponibilidad e integridad de la información Corporativa, de sus Clientes y Proveedores. La norma ISO/IEC 27001:2005 provee un modelo para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información.
En esta norma se define la seguridad de la información como la preservación de la confidencialidad, integridad y disponibilidad de la información. Estas propiedades de la información la podemos definir de la siguiente manera:
Confidencialidad: Acceden a la información únicamente quienes están autorizados, trátese de personas, entidades o procesos.
Integridad: La información es precisa, confiable y completa.
Disponibilidad: La información está disponible cuanto la necesitan quienes están autorizados a acceder a ella.
La norma ISO/IEC 27001:2005 parte de una adecuada Gestión de Riesgos, podemos decir entonces que se trata de un Sistema de Gestión de la Seguridad de la información que contiene dentro de él, y como parte toral y fundamental, a un Sistema de Gestión de Riesgos.
La Gestión de Riesgos de la Seguridad de la información parte de una adecuada valoración de los riesgos, la cual incluye la definición de una metodología para llevarla cabo, la definición del criterio de aceptación de riesgos,  la adecuada identificación de: activos, amenazas, vulnerabilidades, impactos (por la pérdida de de confidencialidad, integridad y disponibilidad) y la evaluación del riesgo, para de esta forma identificar las opciones de tratamiento de riesgos, seleccionar controles cuando sea aplicable (utilizando como base el Anexo A de la norma, en primera instancia, más los controles adicionales que se consideren necesarios), determinar los riesgos residuales, documentar todo el proceso (en particular el Documento de Aplicabilidad) y una vez obtenida la aprobación de la alta dirección estaremos en condiciones de formular el Plan de Tratamiento de Riesgos e implementarlo. Por supuesto debemos implementar, mantener, monitorear, revisar  y mejorar, para completar el ciclo de la Gestión de Riesgos.
La norma cuenta con un Anexo A el cual identifica 37 objetivos de control y 133 controles, la norma no pide que  todos sean implementados, pero solicita que aquellos que no lo sean se documente la justificación de su exclusión.
La norma ISO/IEC 27001:2005 ha sido objeto de una gran atención y trabajo, de tal forma que se cuenta con una  cantidad muy importante de documentos, ya publicados o bien que se planea sean publicados, de los cuales incluimos a continuación algunos de ellos:
  • ISO/IEC 27000 : 2009 – Information technology -- Security techniques -- Information security management systems -- Overview and vocabulary
  • ISO/IEC 27001 : 2005 – Information technology -- Security techniques -- Information security management systems -- Requirements  (Certificable) (BS7799-2)
  • ISO/IEC 27002 : 2005 – Information technology -- Security techniques -- Code of practice for information security management (ISO/IEC 17799:2005 BS7799-1:2005)
  • ISO/IEC 27003 : 2010 – Information technology -- Security techniques -- Information security management system implementation guidance
  • ISO/IEC 27004 : 2009 – Information technology -- Security techniques -- Information security management -- Measurement
  • ISO/IEC 27005 : 2011 – Information technology -- Security techniques -- Information security risk management (ISO/IEC 27005: 2008, BS7799-3:2006)
  • ISO/IEC 27006 : 2007 – Information technology -- Security techniques -- Requirements for bodies providing audit and certification of information security management systems
  • ISO/IEC 27011 : 2008 – Information technology -- Security techniques -- Information security management guidelines for telecommunications organizations based on ISO/IEC 27002
  • ISO/IEC 27799 : 2008 – Health informatics -- Information security management in health using ISO/IEC 27002
  • etc.
El ciclo PHCA resume el contenido de la Norma ISO/IEC 27001:2005:
  • Planear: Establecer el SGSI: Establecer la política, objetivos, procesos y procedimientos relevantes del SGSI  para gestionar el riesgo y mejorar la seguridad de la información, para entregar resultados de acuerdo con las políticas y objetivos de la organización.
  • Hacer: Implementar y operara el SGSI: Implementar y operar la política, controles, procesos y procedimientos.
  • Checar: Monitorear y revisar el SGSI: Evaluar y, donde aplique, medir el rendimiento de los procesos en relación a la política del SGSI, objetivos y experiencia práctica, y reportar los resultados a la dirección para su revisión.
  • Actuar:    Mantener y mejorar el SGSI: Tomar acciones correctivas y preventivas basados en los resultados de auditorías internas al SGSI, revisiones de la  dirección o alguna otra información relevante, para lograr la mejora continua del SGSI.
Contenido de la Norma ISO/IEC 27001:2005:
0 Introducción
0.1 Generalidades
0.2 Enfoque basado en procesos
1 Objeto y campo de aplicación
1.1 Generalidades
1.2 Aplicación
2 Referencias normativas
3 Terminología
4 Sistema de Gestión de la Seguridad de la Información (SGSI)
4.1 Requisitos Generales
4.2 Establecer y gestiona el SGSI
4.2.1 Establecer el SGSI
4.2.2 Implementación y operación del SGSI
4.2.3 Monitoreo y Revisión del SGSI
4.2.4 Mantener y mejorar el SGSI
4.3 Requerimientos de documentación
4.3.1 General
4.3.2 Control de Documentos
4.3.3 Control de Registros
5 Responsabilidad de la Dirección
5.1 Compromiso de la Dirección
5.2 Gestión de recursos
5.2.1 Provisión de recursos
5.2.2 Entrenamiento, concientización y competencias
6. Auditorías internas del SGSI
7 Revisión por la Dirección del SGSI
7.1 Generalidades
7.2 Información para la revisión
7.3 Resultados de la revisión
8 Mejoras al SGSI
8.1 Mejora continua
8.2 Acción correctiva
8.3 Acción preventiva
ANEXO A
Incluimos a continuación los objetivos de control documentados en el Anexo A de la norma, no debemos olvidar que este anexo documenta 133 controles, los cuales no se incluyen aquí.
A.5 Política de Seguridad
A.5.1. Política de seguridad de la información
A.6 Organización de la Seguridad de la Información
A.6.1 Organización interna
A.6.2. Partes externas
A.7 Gestión de Activos
A.7.1 Responsabilidad por los activos
A.7.2 Clasificación de la información
A.8 Seguridad de los recursos humanos
A.8.1 Previo al empleo
A.8.2 Durante el empleo
A.8.3 Terminación o cambio de empleo
A.9 Seguridad física y ambiental
A.9.1 Areas seguras
A.9.2 Equipo de seguridad
A.10 Gestión de las comunicaciones y operaciones
A.10.1 Procedimientos de operación y responsabilidades
A.10.2 Gestión de la prestación de servicios de terceros
A.10.3 Planeación y aceptación de sistemas
A.10.4 Protección contra código malicioso y móvil
A.10.5 Respaldo
A.10.6 Gestión de la seguridad de la red
A.10.7 Manejo de media de almacenamiento
A.10.8 Intercambio de información
A.10.9 Servicios de comercio electrónico
A.10.10 Monitoreo
A.11 Control de acceso
A.11.1 Requisitos del negocio para control de acceso
A.11.2 Gestión del acceso de los usuarios
A.11.3 Responsabilidades de los usuarios
A.11.4 Control de acceso a la red
A.11.5 Control de acceso al sistema operativo
A.11.6 Control de acceso a las aplicaciones e información
A.11.7 Cómputo móvil y trabajo remoto
A.12 Adquisición, desarrollo y mantenimiento de sistemas de información
A.12.1 Requisitos de seguridad de los sistemas de información
A.12.2 Procesamiento correcto en las aplicaciones
A.12.3 Controles criptográficos
A.12.4 Seguridad de los activos del sistema
A.12.5 Seguridad en los procesos de desarrollo y soporte
A.12.6 Gestión de la vulnerabilidad técnica
A.13 Gestión de incidentes de seguridad de la información
A.13.1 Reporte de eventos y debilidades de la seguridad de la información
A.13.2 Gestión de incidentes y mejoras de la seguridad de la información
A.14 Gestión de la continuidad del negocio
A.14.1 Aspectos de la seguridad de la información de la gestión de la continuidad del    negocio
A.15 Cumplimiento
A.15.1 Cumplimiento con los requisitos legales
A.15.2. Cumplimiento con políticas y estándares de seguridad y cumplimiento técnico
A.15.3 Consideraciones de auditoría de los sistemas de información
En la siguiente liga podrá encontrar una presentación sobre este tema SEGURIDAD EN LA INFORMACION.pdf
Ing. Hugo López
Experto en sistemas de gestión enfocados a organizaciones de TI: Sistemas de Gestión de la Calidad (ISO 9001), Sistemas de Gestión de Seguridad de la Información (ISO27001), Sistemas de Gestión de Servicios de Tecnología de la Información (ISO20000), ITIL, COBIT, Gestión de Riegos.
Cuenta con más de 25 años de experiencia en la industria de TI, tanto a nivel nacional como internacional, cubriendo puestos gerenciales y directivos en
• IBM
• Hitachi Data Systems
• StorageTek
• Gobierno Mexicano (diferentes secretarías de estado y paraestatales)
En estas organizaciones fue responsable del diseño, planeación, implementación, administración, operación y soporte de soluciones de software, hardware, redes, telecomunicaciones, administración de activos, proyectos de outsourcing, etcétera. Fue reconocido en diversas ocasiones por su labor (Excellence Award, Management Excellence Award, Golden Circle Membership).
Si usted desea que publiquemos un articulo o colaboración favor de mandarlo a la  siguiente dirección  joseluis.arreola@calidad.com.mx

lunes, 3 de octubre de 2011

Alarmante realidad. Sept. 2011


El Financiero
Sólo 0.2% de empresas cuenta con certificación de calidad

•México ocupa el cuarto lugar de América Latina en acreditación ISO.

En México sólo 0.2 por ciento de las empresas cuentan con una certificación de calidad, y entre los países de América Latina ocupa el cuarto lugar, después de Brasil, Chile y Argentina, que tienen el mayor número de firmas con una acreditación del grupo de normas ISO.

Santiago Macías Herrera, coordinador general del Comité Nacional de Productividad e Innovación (Compite), señaló que en 2005 en el país había cinco mil empresas con un certificado de algún proceso de calidad y en la actualidad son nueve mil 500.

Es decir que en México hay 30.9 por ciento más negocios que cuentan con alguna certificación del grupo ISO.

Opinó que el país ha avanzado en materia de certificación de calidad, pero aún le falta un largo camino para pasar esta asignatura, porque, por ejemplo, para llegar a ser el país número uno de la región es necesario que 15 mil firmas cuenten con un título de ISO.

A nivel global, por las nueve mil 500 que cuentan con alguna de esas acreditaciones, el país está ubicado en el escalón 30, mientras que China lidera en esta materia.

Tan sólo en 2007 en el país asiático había 210 mil 773 empresas certificadas, seguido de Italia, con 115 mil 359, y Japón, con 73 mil 176.

Del total de empresas mexicanas con ISO, 60 por ciento son del sector industrial, 30 por ciento de servicios y las demás del comercio.

También destacó que 60 por ciento de las firmas con certificado son micro, pequeñas y medianas y el restante 40 por ciento son grandes empresas y del sector público.

Problemas

En conferencia de prensa, donde anunció la celebración del 13 Congreso Internacional de Calidad para Mipymes 2001 y el Noveno Congreso Internacional de Responsabilidad Social 2011, para el 26 y 27 de septiembre, respectivamente, indicó que entre los mayores problemas que se han identificado en las empresas antes de conseguir su certificación están: una deficiente organización y dificultades de operación.

Macías Herrera criticó que el presupuesto para apoyar a las pequeñas y medianas empresas (Pymes) sea pequeño, porque 97.7 por ciento de los establecimientos en el país son de este segmento productivo, además de que generan 80 por ciento del empleo.

México cuenta con cinco millones 144 mil 56 empresas, de las cuales, 95.2 por ciento (4.8 millones) son micro, 4.3 por ciento (221 mil 194) pequeñas, 0.3 por ciento (15 mil 432) medianas y 0.2 por ciento (diez mil 288) grandes.

Precisó que para una microempresa el costo de certificarse es de entre ocho mil y diez mil pesos, esto con apoyo del Fondo Pyme de la Secretaría de Economía (SE), mientras que para una pequeña puede ser de hasta 30 mil pesos, a pagar en diez meses.

Una norma ISO es una fórmula que tiene valor de regla y su finalidad es definir las características que debe poseer un objeto y los productos que han de tener una compatibilidad para ser usados a nivel internacional.

La finalidad principal de las normas ISO es orientar, coordinar, simplificar y unificar los usos para conseguir menores costos y efectividad.

En la actualidad, para que una empresa pequeña pueda convertirse en proveedora de las grandes firmas o tenga mayores posibilidad de colocar sus productos en el exterior, debe contar con una certificación de calidad


El Economista
México está rezagado en la certificación de sus empresas

Si bien México incrementó en 32% el número de empresas certificadas en calidad durante los últimos seis años, al llegar a 9,500 negocios, dicha cifra apenas representa 0.2% del universo total de empresas existentes en el país, lamentó Santiago Macías, director general del Comité Nacional de Productividad e Innovación Tecnológica (Compite).

Agregó que pese a ser la segunda economía más fuerte y grande de América Latina, México está posicionado en el cuarto sitio de la región en cuanto al número de empresas con certificado de calidad, después de Brasil, Argentina y Chile; mientras que a nivel mundial se ubica en el lugar 30.

Y es que una empresa sin certificación de calidad está limitada a vender en el exterior -los países europeos no importan productos si no están certificados-, además de que no pueden ser proveedoras de grandes empresas y mucho menos pueden aumentar sus volúmenes de ventas e ingresos, aseveró el directivo.

Por ejemplo, el Sistema ISO-9000 es la columna vertebral sobre la que se sustenta la calidad en las empresas más exitosas en el comercio internacional, la aplicación de estas normas tiene carácter voluntario y su uso garantiza la calidad homogénea e incrementa la credibilidad y confianza entre clientes y proveedores.

ara el Director del Compite resulta absurdo que los negocios no implementen sistemas de calidad en su empresa, puesto que el aspecto financiero ya no es un obstáculo para llevarlo a cabo debido a que los programas de este tipo son financiados por los gobiernos.

Contribución del gobierno

La Secretaría de Economía cuenta con un fondo para apoyar a las empresas con 65% del costo del programa -ya sea de calidad o de medio ambiente-, además de que los gobiernos estatales financian con 10 a 15%, mientras el resto lo paga la empresa.

Certificar a una empresa tiene un costo de 100,000 pesos, pero por el financiamiento otorgado el negocio pagaría aproximadamente 8,000 pesos por ocho meses, explicó en conferencia de prensa, luego de anunciar el Congreso Internacional de Responsabilidad Social.

México cuenta con 9,500 empresas certificadas, de las cuales 30% corresponde al sector industrial, 60% a servicios y 10% de comercio; mientras que en el 2005 había 7,200 negocios reconocidos.