Universidad Tecnolgica del Sureste de Veracruz

Tecnologas de la Informacin y Comunicacin

TRABAJO
INVESTIGACION DE ITIL Materia AUDITORIA PRESENTA
JUAN CARLOS LIMON BARTOLO ISAIAS GALLEGOS SALVADOR ANTONIO GOMEZ LOPEZ

CUATRIMESTRE Y GRUPO 10 1002 NOMBRE DEL DOCENTE

LIC. ARTURO ALEGRIA PALACIOS
Cd. Nanchital, Ver., a 23 de Noviembre de 2012

Tecnologas de la Informacin y Comunicacin Information Technology Infrastructure Library

La Biblioteca de Infraestructura de Tecnologas de Informacin, frecuentemente abreviada ITIL (del ingls Information Technology Infrastructure Library), es un conjunto de conceptos y prcticas para la gestin de servicios de tecnologas de la informacin, el desarrollo de tecnologas de la informacin y las operaciones relacionadas con la misma en general. ITIL da descripciones detalladas de un extenso conjunto de procedimientos de gestin ideados para ayudar a las organizaciones a lograr calidad y eficiencia en las operaciones de TI. Estos procedimientos son independientes del proveedor y han sido desarrollados para servir como gua que abarque toda infraestructura, desarrollo y operaciones de TI. Desarrollada a finales de 1980, la Biblioteca de Infraestructura de Tecnologas de la Informacin (ITIL) se ha convertido en el estndar mundial de de facto en la Gestin de Servicios Informticos. Iniciado como una gua para el gobierno de UK, la estructura base ha demostrado ser til para las organizaciones en todos los sectores a travs de su adopcin por innumerables compaas como base para consulta, educacin y soporte de herramientas de software. Hoy, ITIL es conocido y utilizado mundialmente. Pertenece a la OGC, pero es de libre utilizacin. ITIL fue desarrollada al reconocer que las organizaciones dependen cada vez ms de la Informtica para alcanzar sus objetivos corporativos. Esta dependencia en aumento ha dado como resultado una necesidad creciente de servicios informticos de calidad que se correspondan con los objetivos del negocio, y que satisfagan los requisitos y las expectativas del cliente. A travs de los aos, el nfasis pas de estar sobre el desarrollo de las aplicaciones TI a la gestin de servicios TI. La aplicacin TI (a veces nombrada como un sistema de informacin) slo contribuye a realizar los objetivos corporativos si el sistema est a disposicin de los usuarios y, en caso de fallos o modificaciones necesarias, es soportado por los procesos de mantenimiento y operaciones. A lo largo de todo el ciclo de los productos TI, la fase de operaciones alcanza cerca del 70-80% del total del tiempo y del coste, y el resto se invierte en el desarrollo del producto (u obtencin). De esta manera, los procesos eficaces y eficientes de la Gestin de Servicios TI se convierten en esenciales para el xito de los departamentos de TI. Esto se aplica a cualquier tipo de organizacin, grande o pequea, pblica o privada, con servicios TI centralizados o descentralizados, con servicios TI internos o suministrados por terceros. En todos los casos, el servicio debe ser fiable, consistente, de alta calidad, y de coste aceptable. ITIL fue producido originalmente a finales de 1980 y constaba de 10 libros centrales cubriendo las dos principales reas de Soporte del Servicio y Prestacin
Universidad Tecnolgica del Sureste de Veracruz

pg. 2

Tecnologas de la Informacin y Comunicacin

del Servicio. Estos libros centrales fueron ms tarde soportados por 30 libros complementarios que cubran una numerosa variedad de temas, desde el cableado hasta la gestin de la continuidad del negocio. A partir del ao 2000, se acometi una revisin de la biblioteca. En esta revisin, ITIL ha sido reestructurado para hacer ms simple el acceder a la informacin necesaria para administrar sus servicios. Los libros centrales se han agrupado en dos, cubriendo las reas de Soporte del Servicio y Prestacin del Servicio, en aras de eliminar la duplicidad y mejorar la navegacin. El material ha sido tambin actualizado y revisado para un enfoque conciso y claro.

VENTAJAS
Las ventajas de ITIL para los clientes y usuarios Mejora la comunicacin con los clientes y usuarios finales a travs de los diversos puntos de contacto acordados. Los servicios se detallan en lenguaje del cliente y con ms detalles. Se maneja mejor la calidad y los costos de los servicios. La entrega de servicios se enfoca mas al cliente, mejorando con ello la calidad de los mismos y relacin entre el cliente y el departamento de IT. Una mayor flexibilidad y adaptabilidad de los servicios. Ventajas de ITIL para TI La organizacin TI desarrolla una estructura ms clara, se vuelve ms eficaz, y se centra ms en los objetivos de la organizacin. La administracin tiene un mayor control, se estandarizan e identifican los procedimientos, y los cambios resultan ms fciles de manejar. La estructura de procesos en IT proporciona un marco para concretar de manera mas adecuada los servicios de outsourcing. A travs de las mejores prcticas de ITIL se apoya al cambio en la cultura de TI y su orientacin hacia el servicio, y se facilita la introduccin de un sistema de administracin de calidad. ITIL proporciona un marco de referencia uniforme para la comunicacin interna y con proveedores.

Universidad Tecnolgica del Sureste de Veracruz

pg. 3

Tecnologas de la Informacin y Comunicacin

DESVENTAJAS
Tiempo y esfuerzo necesario para su implementacin. Que no de se de el cambio en la cultura de las rea involucradas. Que no se vea reflejada una mejora, por falta de entendimiento sobre procesos, indicadores y como pueden ser controlados. Que el personal no se involucre y se comprometa. La mejora del servicio y la reduccin de costos puede no ser visible. Que la inversin en herramientas de soporte sea escasa. Los procesos podrn parecer intiles y no se alcancen las mejoras en los servicios.

El Departamento de IT desarrolla un ms clara estructura, se convierte en ms eficiente y ms focalizada en los objetivos corporativos.

El Management es ms controlado, junto con los cambios que conlleva el mismo.

El nuevo mapa de Procesos provee un framework que permite decidir la tercerizacin de ciertos procesos en caso ser convenientes.

Siguiendo las Best Practices ITIL, se lidera un cambio cultura hacia la Provisin de Servicios basados en el Management de Calidad de ISO 9000.

ITIL provee un uniforme marco de referencia de comunicacin interna y externa hacia proveedores, junto con la estandarizacin e identificacin de procedimientos.

Problemas Potenciales de ITIL:

Cuando el Proceso de Cambio es manejado slo con recursos internos, se corre el riesgo de no poder cambiar el status quo, porque implicara marcar errores en vez de oportunidades de mejorar y responsables, en vez de Lideres del Cambio

Un Proyecto sin Hitos intermedios puede llevar mucho tiempo y esfuerzo, y requerir un cambio cultural en la organizacin importante. Un enfoque demasiado ambicioso puede llevar a la frustracin, porque los objetivos no son cumplidos.

Si la estructura de Procesos se transforman en un objetivo en s mismo, la calidad del Servicio puede verse afectada. En este caso, los procedimientos se transforman en obstculos burocrticos que quieren ser evitados.

Universidad Tecnolgica del Sureste de Veracruz

pg. 4

Tecnologas de la Informacin y Comunicacin

Puede no haber mejoras, debido a la falta de entendimiento sobre el alcance de los Procesos, o los Indicadores de Performance, o como los procesos deberan ser controlados.

La mejora en la provisin de los Servicios y la reduccin de costos puede ser insuficientemente visibles.

Una implementacin exitosa requiere la involucracin y compromiso de personal de todos los niveles de la organizacin. Dejando el desarrollo de las estructuras de Procesos a solo especialistas puedo provocar el aislamiento de los mismos a travs de opiniones sobre nuevas direcciones que no sern seguidas por los otros departamentos. Esto puede ser fcilmente mitigado por un Liderazgo de Cambio externo a la Compaa que recomiende desde afuera de la Cultura de la Compaa.

Si hay una insuficiente inversin en Herramientas de Soporte, los procesos no van a ser mejorados, ya que requieren cierto grado de automatizacin. Recursos adicionales pueden ser requeridos si la organizacin ya tiene sobrecargados recursos para las actividades de Management de Servicios de IT.

ESTNDAR ITIL El regirse segn las prcticas de ITIL redunda en una mejor utilizacin de los recursos de la organizacin, ya que est claramente definido hacia dnde los deben dirigir. De este modo, la empresa ser ms competitiva, porque estar en mejor posicin para hacer cambios en su infraestructura de tecnologa de informacin. Adicionalmente, ITIL optimiza la disponibilidad, confiabilidad y seguridad de toda la plataforma, especialmente de los servicios "de misin crtica", facilitando tambin el aprendizaje de experiencias previas, lo que elimina el trabajo redundante. Por otra parte, los procesos y plazos de un proyecto se ven mejorados, porque estas metodologas involucran la definicin de procedimientos estndares, ayudando a brindar as servicios que satisfagan las demandas del negocio, clientes y usuarios. Finalmente, los estndares ITIL ofrecen indicadores demostrables, lo que, por ejemplo, facilita la justificacin de incrementos de costo en calidad de servicio. Por lo que el reto es ensear a la organizacin a usar estas herramientas con el fin de implantar eficazmente la estrategia.

Universidad Tecnolgica del Sureste de Veracruz

pg. 5

Tecnologas de la Informacin y Comunicacin

Estndares Internacionales que intervienen en el proceso de una Auditora de Gestin a las Tecnologas de Informacin y Comunicaciones.
El auditor de las tecnologas de informacin y comunicaciones, deber de tener conocimientos de los diferentes estndares que ayudan al control, operacin y administracin de los recursos tecnolgicos, control de inversiones en tecnologa de informacin y comunicaciones a nivel fsico y lgico y procesos documentados de tecnologa de informacin y comunicaciones. Dichos estndares inciden en el proceso de la auditoria, ya que las entidades de gobierno los implementan segn sus necesidades de resguardo, uso y proteccin de la informacin, que es un activo importante dentro de la organizacin para asegurarse que la informacin se encuentre disponible, oportuna y utilizada por los funcionarios autorizados. Para la realizacin de una auditora de TICS, existen Normas de relacionadas a la Auditora de Sistemas las cuales son emitidas por el Consejo Normativo de la Asociacin de Auditora y Control de Sistemas de Informacin (Information Systems Audit and Control Association ISACA) Para documentar el proceso de auditora, la Organizacin Internacional de Entidades Fiscalizadoras (INTOSAI), ha emitido lineamientos generales que destacan la importancia de documentar el trabajo de auditora.

COBIT conjunto de mejores prcticas para la seguridad, la calidad, la eficacia y la eficiencia en TIC que son necesarias para alinear TIC con el negocio, identificar riesgos, entregar valor al negocio, gestionar recursos y medir el desempeo, el cumplimiento de metas y el nivel de madurez de los procesos de la organizacin y tiene como propsito "investigar, desarrollar, publicar y promocionar un conjunto de objetivos de control generalmente aceptados para las tecnologas de la informacin que sean autorizados (dados por alguien con autoridad), actualizados, e internacionales para el uso continuo de los gestores de negocios (tambin directivos) y auditores." Gestores, auditores, y usuarios se benefician del desarrollo de COBIT porque les ayuda a entender sus sistemas de informacin (o tecnologas de la informacin) y decidir el nivel de seguridad y control que es necesario para proteger los activos de sus compaas mediante el desarrollo de un modelo de administracin de las tecnologas de la informacin. ISO/IEC 27000 es un conjunto de estndares desarrollados por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestin de la seguridad de la informacin utilizable por cualquier tipo de organizacin, pblica o privada, grande o pequea. La informacin es un activo vital para el xito y la continuidad en el mercado de cualquier organizacin. El aseguramiento de
Universidad Tecnolgica del Sureste de Veracruz

pg. 6

Tecnologas de la Informacin y Comunicacin

dicha informacin y de los sistemas que la procesan es, por tanto, un objetivo de primer nivel para la organizacin. CMMI (Capability Maturity Model Integration) es una aproximacin a la mejora de procesos que proporciona a las organizaciones los elementos esenciales para desarrollar unos procesos efectivos.
Est patrocinada por el Software Engineering Institute de la universidad Carnegie Mellon. CMMI es una metodologa muy orientada sobre todo a desarrollo de software mientras que ITIL abarca todos los mbitos de las Tecnologas de la Informacin y ni siquiera es una metodologa, es un framework o marco de trabajo y un conjunto de best practices y documentacin. Se podra decir que CMMI engancha con ITIL en el proceso de Release Management (gestin de versionado). ISO9000 ISO9000 es controlada por la International Organization for Standardization. ISO9000 est orientada a gestionar la calidad. Para cumplir ISO9000 se requiere que estn implementados una serie de procesos estructurados mientras que ITIL define esos procesos estructurados o las guias para llegar a implementarlos. COSO El Informe COSO es un documento que contiene las principales directivas para la implantacin, gestin y control de un sistema de Control Interno. Est diseado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecucin de objetivos dentro de las siguientes categoras:
o o o

Eficacia y eficiencia de las operaciones. Fiabilidad de la informacin financiera. Cumplimiento de leyes y normas que sean aplicables.

Esta compuesto por:

o o o o o

ENTORNO DE CONTROL EVALUACION DE LOS RIESGOS ACTIVIDADES DE CONTROL INFORMACION Y COMUNICACION SUPERVISION

Relacion con COBIT:

Universidad Tecnolgica del Sureste de Veracruz

pg. 7

Tecnologas de la Informacin y Comunicacin

En el modelo de control interno, las diferencias que son significativas, sobre todo entre COSO y COBIT, que son los dos modelos ms difundidos en la actualidad. La primera gran diferencia es que COSO est enfocado a toda la organizacin, mientras que COBIT se centra en el entorno IT. La segunda es que COBIT contempla de forma especfica la seguridad de la informacin como uno de sus objetivos, cosa que COSO no hace. Y la tercera, que el modelo de control interno que presenta COBIT es ms completo, dentro de su mbito, que el de COSO, ya que contempla polticas, procedimientos y estructuras organizativas adems de procesos para definir el modelo de control interno. SIX SIGMA Six Sigma es una metodologa de calidad que ni siquiera se circunscribe al mbito de las IT. Se puede aplicar a cualquier proceso industrial. Es una aproximacin disciplinada y una metodologa orientada a datos y encaminada a eliminar defectos, basndose en seis desviaciones estndar de la media aplicables a cualquier proceso. En teora, es una metodologa para alcanzar la perfeccin y es capaz de describir cuantitativamente como se est comportando un proceso.

ITIL Operacin del Servicio

Gestin de Eventos Objetivo Procesal: Asegurar que los Elementos de Configuracin (CI) y los servicios sean monitoreados constantemente, as como descartar y categorizar Eventos antes de decidir qu acciones son las adecuadas.

Gestin de Incidentes Objetivo Procesal: Manejar el ciclo de vida de todos los Incidentes. El objetivo principal del manejo de incidentes es devolver el servicio de TI a los usuarios lo antes posible. Cumplimiento de la Solicitud Objetivo Procesal: Cumplir las Solicitudes de Servicio, que en la mayora de los casos son menores; por ejemplo, solicitudes de cambio de contrasea o informacin. Gestin del Acceso Objetivo Procesal: Otorgar el derecho a un servicio a usuarios autorizados, mientras se previene el acceso de usuarios no autorizados. Los procesos de
Universidad Tecnolgica del Sureste de Veracruz

pg. 8

Tecnologas de la Informacin y Comunicacin

Gestin del Acceso ponen en prctica las polticas definidas por la Gestin de Seguridad de TI. La Gestin del Acceso tambin es conocida como Gestin de Derechos o Gestin de Identidad. Gestin de Problemas Objetivo Procesal: Controlar el ciclo de vida de todos los problemas. Los objetivos primordiales de la Gestin de Problemas son la prevencin de Incidentes y la minimizacin del impacto de aquellos Incidentes que no pueden prevenirse. La Gestin Proactiva de Problemas analiza los Registros de Incidentes y utiliza datos de otros procesos de Gestin del Servicio de TI para identificar tendencias o problemas significativos. Gestin de las Operaciones de TI Objetivo Procesal: Monitorear y controlar los servicios e infraestructuras de TI. La Gestin de Operaciones de TI lleva a cabo tareas diarias relacionadas con la operacin de componentes y aplicaciones de infraestructura. Esto incluye la programacin de trabajos en un calendario, actividades de soporte y restauracin y el mantenimiento rutinario. Gestin de Instalaciones de TI Objetivo Procesal: Gestionar el entorno fsico en que se ubica la infraestructura de TI. La Gestin de Instalaciones de TI incluye todos los aspectos de la gestin del entorno fsico, como por ejemplo las fuentes de energa y sistemas de enfriamiento, la gestin del acceso a dependencias y el monitoreo de ambientes.

Recursos
Un aspecto esencial de la Gestin de la Capacidad es el de asignar recursos adecuados de hardware, software y personal a cada servicio y aplicacin. El correcto dimensionamiento requiere que la Gestin de la Capacidad disponga de informacin fiable sobre:

Los niveles de servicio acordados y/o previstos. Niveles de rendimiento esperados. Impacto de la aplicacin o servicio en los procesos de negocio del cliente. Mrgenes de seguridad y disponibilidad. Costes asociados a los equipos de hardware y otros recursos TI necesarios.

Universidad Tecnolgica del Sureste de Veracruz

pg. 9

Tecnologas de la Informacin y Comunicacin

Es importante que la Gestin de la Capacidad participe en las primeras etapas de desarrollo de un producto, servicio o definicin de un SLA para asegurar que se dispondr de la capacidad necesaria para llevar el proyecto a buen trmino. Es relativamente frecuente que se obvien aspectos relativos al correcto dimensionamiento de una aplicacin debido a expectativas injustificadas sobre la tecnologa. Se puede caer en el equivoco de que los costes asociados a la capacidad se limitan a la compra de mas servidores, o ms espacio de almacenamiento, etctera, olvidando que sistemas ms complejos implican uno mayores gastos de mantenimiento y administracin, o ignorando los problemas que pueden conllevar dichos cambios.

Universidad Tecnolgica del Sureste de Veracruz

pg. 10