Post on 15-Apr-2017
CASO DE EXITO EN LA CERTIFICACION ISO 20000-
1:2011 E ISO 27001:2013 EN LA UPTC UNA UNIVERSIDAD
PUBLICA COLOMBIANA
Diana Rocio Plata Arango1,a
aUniversidad Pedagógica y Tecnológica de Colombia, Coordinadora Grupo Organización y Sistemas. Km1. Av. Central del Norte. Tunja – Boyacá, Colombia.
diana.plata@uptc.edu.co
Resumen. Lograr realizar gestión en las áreas de TI de las organizaciones, requiere cada vez más mayores retos para los difrectores de TI, ya que actualmente la dependencia de dar soluciones desde el área de TI, hacia las otras áreas de las organizaciones es mayor al 90%, y por supuesto en las Universidades no hay excepción, cada vez es más común que los procesos académicos, de investigación y administrativos, estén respaldados por soluciones de TI, para lo cual es importante que el departamento o la dirección de sistemas en las Universidades, mejore su gestión y logre estar alineado con la alta dirección, para desarrollar de manera adecuada las soluciones propuestas y que permitan que TI mantenga un presupuesto adecuado a los retos actuales. Por eso como una
posibilidad de mejorar la gestión del área de TI y comenzar el camino hacia un Gobierno de TI, este documento presenta un caso de Implementación con alcance a la certificación, de las normas ISO 20000 e ISO 27001, en el Grupo Organización y Sistemas (área de Tecnología), en la Universidad Pedagógica y Tecnológica de Colombia, UPTC, donde se resaltan las estrategias que se siguieron para lograr la certificación en enero de 2015.
Palabras Clave: Gestión de Servicios de TI, Buenas prácticas, ISO 9000, ISO 20000, ISO 27000, Mejora Continua, Seguridad de la Información.
1 Introducción
El hecho de asumir la implementación con fines de certificación, para dos estándares de gestión para las áreas de TI fue un reto y más para una Universidad y de carácter
público, ya que en Latinoamérica somos hoy la primera Universidad en contar con estas
certificaciones, por eso es importante en este espacio , contar cual fue el camino recorrido
para lograr la certificación y que retos esperan ahora para TI en la Universidad
Pedagógica y Tecnológica de Colombia.
1 Ingeniera de Sistemas, Especialista en Gerencia de Proyectos Informáticos, Magistra en Ciencias
Computacionales, Auditor ISO 9001, EXIN .Fundamentos IT Service Management de acuerdo ISO 20000,
Auditor ISO 20000-1:2011, Auditor ISO 27001:2005. CEH. Fundamentos de ITIL
Este Documento presenta en la primera parte de que se tratan las dos normas, luego
presenta el modelo seguido para la implementación, junto con los mapas de procesos
obtenidos para cada una de las normas, los indicadores generales y los cambios derivados
en el área de TI a partir de la auditoria de certificación.
2 ACERCA DE LAS NORMAS CERTIFICADAS.
2.1. ISO 20000-1:2011.
Es un estándar para la Gestión de servicios, La norma ISO 20000 se centra en la
integración y aplicación de los procesos coordinados de gestión de servicios. Su objetivo
es proporcionar un control continuo, una mayor eficiencia y oportunidades para seguir mejorando. Eso significa trabajar dentro de la organización para alinear el personal y los
procedimientos de su servicio al cliente, servicios de apoyo, prestación de servicios y
equipo de operaciones.2
Esta norma, destinada a lograr la garantía de calidad en el servicio de TI, se compone
de dos partes principales.
ISO 20000-1 - una especificación formal que define los requisitos de una
organización para ofrecer servicios gestionados de una calidad aceptable para los
clientes, los cuales se utilizan como punto de referencia para evaluar su
cumplimiento.
ISO 20000-2 - un Código de prácticas que describe las mejores prácticas para los
procesos de gestión de servicios dentro del ámbito de aplicación de la norma ISO
20000-1. El Código de prácticas es particularmente útil para las organizaciones
que se están preparando para una auditoría según la norma ISO 20000-1 o que
están planeando mejoras en su servicio.
La certificación ISO 20000 demuestra la fiabilidad y calidad de sus servicios de TI a los
empleados, accionistas y clientes., Además que cumple con los “Requerimientos
2 http://www.sgs.co/es-ES/Health-Safety/Quality-Health-Safety-and-Environment/Risk-
Assessment-and-Management/Security-Management/ISO-20000-IT-Certification.aspx
necesarios para realizar una entrega de servicios de TI alineados con las necesidades y
objetivos del negocio, con calidad y valor añadido para los clientes”3
Un beneficio adicional, además de la satisfacción de los usuarios es lograr el cambio de
percepción en que las áreas de Tecnología son sólo costos, pues con la adopción de
buenas prácticas bajo los estándares internacionales se puede evidenciar, como los
departamentos de tecnología le agregan valor a la organización y permiten que sean más
eficientes en el uso planificado y controlado de los recursos requeridos, ventajas que se pueden obtener con ISO 20000.
La Organización Internacional de Estandarización (ISO), a través de las normas recogidas
en ISO / IEC 20000, establece una implementación efectiva y un planteamiento
estructurado para desarrollar servicios de tecnología de la información fiables en lo
referente a la gestión de servicios de TI.4
La certificación permite demostrar de manera independiente que los servicios ofrecidos
cumplen con las mejores prácticas.
La Norma ISO 20000 consta de:
13 procesos definidos.
Un proceso de planificación e implementación de servicios
Requisitos de un sistema de gestión.
Ciclo de mejora continua (PDCA).
En la Figura 1, se observa la Organización de un Sistema De Gestión de Servicios TI.
3 https://www.aenor.es/AENOR/certificacion/calidad/calidad_serviciosti_20000.asp#.VSsp0_mG85k 4 http://www.normas-iso.com/iso-20000
Fig. 1. Organización de un SGSTI Sistema de Gestión de Servicios de Tecnologías de la
Información. Fuente. http://www.normas-iso.com/iso-20000
De acuerdo con AENOR5, los beneficios que obtiene una empresa al certificarse con
ISO 20000-1, son los siguientes:
Alinear los servicios de TI a las necesidades de negocio.
Proporcionar una adecuada gestión de la calidad del servicio de TI ofrecido.
Maximizar la calidad y eficiencia del servicio de TI.
Reducir los riesgos asociados a los servicios de TI.
Reducir costes y generar negocio.
Aumentar la satisfacción del cliente.
Visión clara de la capacidad de los departamentos de TI.
5 https://www.aenor.es/AENOR/certificacion/calidad/calidad_serviciosti_20000.asp#.VSsp0_mG85k
Minimizar el tiempo del ciclo de incidentes y cambios, y mejorar resultados
en base a métricas.
Toma de decisiones en base a indicadores de negocio y TI.
Aportar un valor añadido de confianza, mejorando su imagen de cara a otras
empresas convirtiéndose en un factor de distinción frente a la competencia.
2.2. ISO 27001.
ISO 27001 es una norma internacional emitida por la Organización Internacional de
Normalización (ISO) y describe cómo gestionar la seguridad de la información en una
empresa. La revisión más reciente de esta norma fue publicada en 2013 y ahora su nombre
completo es ISO/IEC 27001:2013. La primera revisión se publicó en 2005 y fue
desarrollada en base a la norma británica BS 7799-2.
ISO 27001 puede ser implementada en cualquier tipo de organización, con o sin fines
de lucro, privada o pública, pequeña o grande. Está redactada por los mejores especialistas
del mundo en el tema y proporciona una metodología para implementar la gestión de la
seguridad de la información en una organización. También permite que una empresa sea
certificada; esto significa que una entidad de certificación independiente confirma que la seguridad de la información ha sido implementada en esa organización en cumplimiento
con la norma ISO 27001.6
El eje central de ISO 27001 es proteger la confidencialidad, integridad y disponibilidad
de la información en una empresa. Esto lo hace investigando cuáles son los potenciales
problemas que podrían afectar la información (es decir, la evaluación de riesgos) y luego
definiendo lo que es necesario hacer para evitar que estos problemas se produzcan (es
decir, mitigación o tratamiento del riesgo).
Igualmente con la implementación de ISO 27001 se logra asegurar la confidencialidad,
disponibilidad e Integridad de la Información, y esto representa enormes beneficios tanto
para la organización como para los usuarios finales, ya que se puede lograr disminuir
incidentes de seguridad de la información que en la actualidad son tan comunes, como los fraudes a través de correo electrónico y redes sociales, y se debe brindar información a los
usuarios para que conozcan y asuman el reto que la responsabilidad de la seguridad de la
Información es tarea de todos.
La estructura de la norma se observa en la Figura 2.
6 http://www.iso27001standard.com/es/que-es-iso-27001/
Fig. 2. Estructura del estándar ISO/IEC 27001:2013. Fuente:
http://www.magazcitum.com.mx/?p=2397
Un Sistema de Gestión de Seguridad de la Información SGSI, es el diseño, implantación y
mantenimiento de un conjunto de procesos para gestionar eficientemente la accesibilidad
de la información, buscando asegurar la confidencialidad, integridad y disponibilidad de
los activos de información minimizando a la vez los riesgos de seguridad de la
información. Como todo proceso de gestión, un SGSI debe seguir siendo eficiente durante
un largo tiempo adaptándose a los cambios internos de la organización así como los
externos del entorno.7
Los beneficios que una organización obtiene con la implementación de un SGSI, son:
Un análisis de riesgos, identificando amenazas, vulnerabilidades e impactos en
la actividad empresarial.
Una mejora continua en la gestión de la seguridad.
Una garantía de continuidad y disponibilidad del negocio.
Reducción de los costos vinculados a los incidentes.
El incremento de los niveles de confianza de clientes y partners.
El aumento del valor comercial y mejora de la imagen de la organización.
Voluntad de cumplir con la legislación vigente de protección de datos de
carácter personal, servicios de la sociedad y la información, comercio
electrónico, propiedad intelectual y en general, aquella relacionada con la
seguridad de la información.
3. Modelo de Implementación Propuesto.
La primera estrategia para lograr éxito en el desarrollo de estos proyectos es contar con el
apoyo de la alta dirección, para este caso en el 2011, se incluyó el Proyecto “Adopción de
buenas prácticas bajo los estándares ISO 20000 e ISO 27001” dentro del Plan de
Desarrollo de la Universidad Pedagógica y Tecnológica de Colombia; esto garantiza que
se cuenta no solo con el aval de la alta dirección sino con recursos para llevar a cabo las
actividades requeridas para lograr en 2014 la certificación con estas normas.
Esto se convirtió en un reto, ya que no se conocer Universidades Certificadas con ISO
20000 en Colombia y en ISO 27001 se han adoptado las buenas prácticas pero no todas
tienen la certificación en el estándar, la Universidad Pedagógica y Tecnológica de
Colombia, es una Universidad Pública de carácter estatal, que actualmente tiene 27000
estudiantes, 1600 profesores, y 1100 funcionarios y Una sede Central Ubicada en Tunja y
3 sedes seccionales ubicadas en Duitama, Sogamoso y Chiquinquirá en el Departamento
de Boyacá. Además de 25 CREADS en diferentes lugares del País. Esto deja ver que es
una de las Universidades grandes del País y actualmente la primera en estar certificada en
el área de TI en las dos normas mencionadas anteriormente.
El modelo propuesto para la Implementación de los procesos se observa en la Figura 3, el cual se trabajo en los dos últimos años para generar los diferentes procesos requeridos.
7 http://isc2capitulocolombia.org/portal/images/documents/ISO_27001-
2013_ISC2_Colombia_Chapter.pdf
Fig. 3. Fases para la implementación de servicios con las normas ISO 2000 e ISO 27000,
luego del Análisis GAP. Fuente Autor.
En la fase inicial o fase 0, se realizó un diagnóstico con respecto a las normas
planteadas en este documento. Se contrató con empresas de consultoría expertas en
implementación de las normas para adelantar este proceso, así se logró establecer cual es
el estado de la Universidad frente a la norma y evitar esfuerzos en procesos,
procedimientos y/o elementos ya existentes. Como resultado de este proceso se identificó
las fortalezas y debilidades frente a lo requerido en cada norma y de las dos se pudo
establecer la ventaja de tener organizada ya la Universidad en el trabajo por procesos de acuerdo con la certificación de ISO 9000, y NTCGP:1000, con lo cual se contaba con los
procesos comunes requeridos por la norma.
En la fase 1, se revisó los procesos comunes requeridos por las normas, como son
Control de Documentos, Control de registros, Auditorías Internas y Revisión por la
Dirección, donde se requerían ajustes pequeños pues ya estaban creados de ISO 9001.
Además se identificó que otros procesos hacen parte del Sistema requerido por cada
norma, los cuales se reflejan en las figuras de mapa de procesos, presentadas más
adelante.
Fase 0. • Diagnóstico Inicial. Revisión del Sistema. Identificación de Procesos Comunes
Fase 1.
• Verificar procesos comunes exigidos por las normas, Control de Documentos, Control de Registros, Auditorias Internas, revisión por la Dirección
Fase 2.
• .ISO 27001: Gestión de Activos y Gestión de Riesgos.
• ISO 20000: Gestión de la Configuración, Gestión de Incidentes, Gestión de Problemas.
Fase 3.
• ISO 27001: Gestión de la Cultura y Gestión de Cumplimiento.
• ISO 20000: Gestión de Cambios, Gestión de la Capacidad, Gestión de nivel del servicio, Presentación de Informes.
Fase 4
• ISO 27001: Gestión de la Arquitectura, Gestión de la continuidad y Gestión de Vulnerabilidad..
• ISO 20000: Gestión de versiones y entrega, Gestión de la Continuidad y Disponibilidad del Servicio, Presupuesto y contabilidad de los Servicios de TI, Gestión de las Relaciones del Negocio y Gestión de Proveedores Externos.
En una segunda fase, gestión de activos y gestión de Riesgos desde ISO 27001 y en
conjunto la gestión de incidentes con ISO 20000, además los procesos de Gestión de la
Configuración, gestión de incidentes y gestión de problemas.
En la tercera fase se trabajaron los procesos de Gestión de la Cultura y Gestión de
Cumplimiento desde ISO 27001 y los procesos de Gestión de cambios, Gestión de la
Capacidad, Gestión de Nivel del Servicio y presentación de Informes en lo que tiene que
ver con ISO 20000
En la cuarta y última fase la gestión de la continuidad, Gestión de Arquitectura y Gestión de Vulnerabilidad desde ISO 27001 y los procesos gestión de la continuidad y
disponibilidad del servicio, Presupuesto y Contabilidad de los servicios de TI, Gestión de
las Relaciones del Negocio y Gestión de Proveedores externos desde ISO 20000.
Este modelo, permitió llevar un hilo conductor de como ir avanzando en la
implementación de los procedimientos, sin embargo a la par era necesario ir reforzando
las estrategias para lograr realizar no solo la implementación sino también la certificación,
Anteriormente se dijo que la primera estrategia fue de contar con el apoyo de la alta
dirección, luego de esto es importante asegurar recursos para capacitar al personal de TI
en los fundamentos de las normas y en auditoría a las mismas, así mismo se deben
disponer recursos para la contratación de las empresas consultoras o expertos que
colaboren en el proceso. La Siguiente estrategia es definir el alcance de las normas, es decir a que servicios o
procesos se va a dar cobertura con la aplicación de las normas.
En la Universidad se eligió El proceso Gestión de Recursos Informáticos para el
alcance de las normas que hace parte de los procesos administrativos dentro del Sistema
de calidad. Este proceso es el que contempla las actividades realizadas actualmente en el
Grupo Organización y Sistemas que tiene definidas 4 áreas de trabajo:
1. Desarrollo y administración de los sistemas de Información,
2. Redes y Telecomunicaciones
3. Soporte a Usuarios en Hardware y Software.
4. Administración de aulas de Informática para préstamo a Docentes y
estudiantes. El objetivo del proceso es: “Gestionar La Infraestructura Informática Y De
Telecomunicaciones, Que Permita La Prestación De Servicios cumpliendo con las políticas de
Seguridad de la Información Para La Satisfacción De Necesidades De Los Clientes” [3] y en este
objetivo se refleja la incorporación de Seguridad y de servicios requeridos por ISO 20000
e ISO 27001.
El proceso contaba inicialmente con cuatro (4) procedimientos que integraban el
quehacer básico del Grupo Organización y Sistemas dentro de la Universidad Pedagógica y
tecnológica de Colombia, y con la implementación de las normas han pasado a ser ahora
veintiséis (26) que se observan en la tabla1, los procedimientos iniciales son los cuatro que
se presentan a continuación, con lo cual se observa la relación con las áreas de trabajo presentadas anteriormente
Procedimiento para la Incorporación de Sistemas de Información.: Este
procedimiento busca identificar y satisfacer las necesidades específicas de los
sistemas de información requeridos por los procesos del Sistema Integrado de
Gestión de la Universidad Pedagógica y Tecnológica de Colombia, lo cual
implica conceptuar para compra, desarrollo y/o implantación de sistema de
información
Soporte y Administración de Recursos Informáticos: Este procedimiento
busca cubrir las necesidades de todos los procesos del Sistema Integrado de Gestión de la Calidad relacionados con la prestación de servicios que
garanticen la funcionalidad básica del hardware y software
Seguridad de la Información: Este procedimiento permite salvaguardar y
proteger la información almacenada por los sistemas de información de la
Universidad, los cuales gestionan las operaciones transaccionales de la
Institución
Administración de Aulas de Informática: Velar por el correcto
funcionamiento de la infraestructura informática de las Aulas y coordinar la
prestación del servicio según disponibilidad, teniendo en cuenta el número de
clientes, recursos de software y hardware
No. NOMBRE DOCUMENTO
1 PROCEDIMIENTO PARA LA INCORPORACION DE SISTEMAS DE INFORMACION
2 SOPORTE Y ADMINISTRACION DE RECURSOS INFORMATICOS
3 COPIAS DE SEGURIDAD DE LA INFORMACION
4 ADMINISTRACION AULAS DE INFORMATICA
5 PROCEDIMIENTO GESTION DE LA DISPONIBILIDAD
6 GESTION DE LA CONFIGURACION
7 PROCEDIMIENTO PARA LA GESTION DE INCIDENTES
8 PROCEDIMIENTO PARA LA GESTION DE PROBLEMAS
9
PROCEDIMIENTO INVENTARIO Y CLASIFICACION DE ACTIVOS DE
INFORMACION
10 PROCEDIMIENTO PARA LA GESTION DE CAMBIOS
11 PROCEDIMIENTO GESTION DEL RIESGO DE SEGURIDAD DE LA INFORMACION
12 PROCEDIMIENTO GESTION DE LA CAPACIDAD
13 PROCEDIMIENTO GESTION DE NIVEL DEL SERVICIO
14 GESTION DE SERVICIOS NUEVOS Y MODIFICADOS
15 GESTION DE INFORMES
16 GESTION DE LA CONTINUIDAD
17 GESTION DE SEGURIDAD DE LA INFORMACION
18 MEJORA CONTINUA SGS
19 GESTION DE IDENTIDAD Y ACCESO
20 CONTACTO CON LAS AUTORIDADES
21 GESTION DE MEDIOS REMOVIBLES
22 ELIMINACION SEGURA DE INFORMACION
23 RECOLECCION DE EVIDENCIAS
24 TRABAJO EN AREAS SEGURAS
25 ETIQUETADO Y MANEJO DE LA INFORMACION
26 INGRESO SEGURO A APLICACIONES.
Tabla 1.. Procedimientos que hacen parte del Proceso Gestión de Recursos Informáticos.
En la Tabla 1 se encuentran todos los procedimientos que desde el área de TI son
requeridos por las normas ISO 20000 e ISO 27001, cada procedimiento cumple con un
objetivo específico para lograr cumplir el objetivo general, del proceso y ayuda al
cumplimiento de lo requerido por las normas.
En cumplimiento de la norma ISO 20000-1, se generó el sistema de Gestión de
Servicios SGS y el mapa de procesos, se observa en la figura4, donde se evidencian los
procesos que lo integran y cuáles son las entradas y salidas del sistema.
Fig.4. Mapa de Procesos del Sistema de Gestión de Servicios SGS. Fuente: El autor.
Los procedimientos que administra el proceso Gestión de Recursos Informáticos se
observan en la Tabla 2 y son:
PROCEDIMIENTO GESTION DE LA DISPONIBILIDAD
GESTION DE LA CONFIGURACION
PROCEDIMIENTO PARA LA GESTION DE INCIDENTES
PROCEDIMIENTO PARA LA GESTION DE PROBLEMAS
PROCEDIMIENTO PARA LA GESTION DE CAMBIOS
PROCEDIMIENTO GESTION DE LA CAPACIDAD
PROCEDIMIENTO GESTION DE NIVEL DEL SERVICIO
GESTION DE SERVICIOS NUEVOS Y MODIFICADOS
GESTION DE INFORMES
GESTION DE LA CONTINUIDAD
GESTION DE SEGURIDAD DE LA INFORMACION
MEJORA CONTINUA SGS
GESTION DE ENTREGAS Y DESPLIEGUES
Tabla 2. Procedimientos de TI requeridos por ISO 20000-1:2011. Fuente: El autor.
Respecto a la norma ISO 27001:2013, La visión general del sistema de Gestión de
seguridad de la Información SGSI, se observa en el siguiente mapa de procesos reflejado
en la figura 5, donde se detalla también el ciclo PHVA (Planear, Hacer, Verificar y Actuar).
Fig 5. Mapa de Procesos del SGSI. Fuente: El autor.
Los procedimientos que el área de TI, administra para dar cumplimiento a lo requerido
por la norma se observan en la Tabla 3 y son:
COPIAS DE SEGURIDAD DE LA INFORMACION
PROCEDIMIENTO PARA LA GESTION DE INCIDENTES
PROCEDIMIENTO INVENTARIO Y CLASIFICACION DE ACTIVOS DE INFORMACION
PROCEDIMIENTO PARA LA GESTION DE CAMBIOS
PROCEDIMIENTO GESTION DEL RIESGO DE SEGURIDAD DE LA INFORMACION
GESTION DE LA CONTINUIDAD
GESTION DE ENTREGAS Y DESPLIEGUES
GESTION DE IDENTIDAD Y ACCESO
CONTACTO CON LAS AUTORIDADES
GESTION DE MEDIOS REMOVIBLES
ELIMINACION SEGURA DE INFORMACION
RECOLECCION DE EVIDENCIA
TRABAJO EN AREAS SEGURAS
PROCEDIMIENTO PARA EL ETIQUETADO Y MANEJO DE LA INFORMACION
INGRESO SEGURO A APLICACIONES
Tabla 3. Procedimientos administrados por TI para dar cumplimiento a ISO
27001:2013. Fuente: El Autor
Además de implementar procedimientos, para el cumplimiento de ISO 20000 se
estableció el catálogo de servicios del área y con ellos se definió el alcance para la
certificación:
1. Desarrollo de aplicaciones. 2. Asistencia Técnica.
3. Aulas de Informática.
4. Infraestructura de Red y comunicaciones.
5. Gestión de la seguridad informática.
Y para cada uno de ellos se generó el respectivo acuerdo de nivel de servicio.
3. 1. Políticas Implementadas.
Además del trabajo realizado para lograr los procesos, procedimientos y acuerdos de
niveles de servicios, la implementación de estas normas requiere un grupo de políticas
adicionales a las generales que respaldan los sistemas de gestión, a continuación se
presenta la lista de políticas requeridas e implementadas.
Políticas generales de Seguridad de la Información y del Sistema de Gestión de
Servicios
Capacidad
Configuración
Disponibilidad
Continuidad
Entrega
Ley de Protección de Datos Personales
Terceros
Propiedad de la Información
Clasificación de activos de Información
Uso de Recursos informáticos
Relacionadas con el personal: Ingreso, confidencialidad, aceptación,
desvinculación.
Relacionadas con la seguridad Fisica: Condiciones eléctricas y ambientales,
control de acceso a áreas de TI, control de acceso a instalaciones de la
Universidad.
Asignación de responsabilidades operativas.
Control de cambios
Protección software malicioso
Almacenamiento y respaldo
Uso de comunicaciones
Acceso a Internet
Uso de periféricos
Auditorías a la plataforma tecnológica
Cuentas de usuario
Contraseñas.
Acceso a sistemas operativos
Redes de datos y sistemas de información.
Cifrado de información.
Desarrollo y soporte
Administración de vulnerabilidades
Contingencia
Propiedad intelectual
Privacidad de la Información
Pirateria.
Con la generación de estas políticas, se da cumplimiento a la mayoría de los dominios requeridos por la norma ISO 27001.
3.2. Hitos En El Proceso De Implementación Para El Área De TI.
Si bien es cierto que se llevó a cabo el proceso de implementación teniendo en cuenta el
modelo propuesto y las estrategias detectadas para lograr la certificación, se identifican
actualmente algunos momentos considerados como Hitos, ya que marcaron un cambio importante en el área de TI.
1. Capacitar al personal de TI. Se buscó capacitación certificada en Fundamentos
de la norma ISO 20000 y la norma ISO 27001 para todos. No todos pasaron los
cursos, fue necesario repetir durante los tres años los fundamentos de las normas
para generar conciencia y motivación, y aún hoy es necesario, para dejar ver que
no es una moda sino un cambio en la manera de hacer.
2. Identificar capacidad y disponibilidad de TI, para prestar los servicios.
Implica no hablar solamente de un inventario de elementos de TI, sino identificar como están asociados a recursos humanos y financieros y que disponibilidad
presentan para atender los servicios.
3. Pasar de atender solicitudes de soporte a atender incidencias o peticiones a
través de la Mesa de Ayuda. Tener en cuenta los acuerdos de niveles de
servicio, registrar y clasificar de acuerdo al servicio. Atender las incidencias
considerando los tiempos establecidos.
4. Identificar incidentes de seguridad y registrarlos. Aprender a identificar y
clasificar los incidentes de seguridad y llevar el debido registro.
5. Solicitar Auditorías Externas para gestión de Vulnerabilidades. Considerar
que se pueden tener vulnerabilidades y abrir el espacio para que un tercero entre
a verificar las condiciones de acceso a equipos y sistemas de información, cuando antes se consideraba que todo estaba bien.
6. Preparar la Gestión de Continuidad. Pensar en cómo iniciar a tener un plan de
recuperación de desastres como una primera estrategia de garantizar continuidad,
cuando no se tenía ninguna opción y revisando presupuesto.
7. Identificación de activos de información y Valoración de Riesgos de
Seguridad de la Información. Comenzar a identificar activos de información
no solo como equipos, sino considerar las personas y los documentos con un
valor especial y los riesgos a los que puede estar expuesto por la información que
puede manejar.
8. Medir, definir indicadores para cada norma. La medición es un factor
importante para evidenciar el cumplimiento del ciclo PHVA, pero identificar que
medir y cómo medir es una tarea compleja al iniciar. 9. Auditorías Internas y Externas. Es necesario que se contraten con consultores
externos o empresas expertas, dado que no hay personal suficiente con
conocimiento en las dos normas al interior de la organización.
10. Cultura de Seguridad de la Información. Dar a conocer que la Seguridad es
responsabilidad de todos es una tarea que involucra mantener diferentes
estrategias involucrar de manera especial a la oficina de comunicaciones.
3.3. Indicadores Propuestos.
Otro tema importante para completar la implementación de las normas es lo relacionado
con los indicadores ya que medir es uno de los puntos importantes para cumplir con el
ciclo de Planear, hacer, verificar y actuar, en las siguientes figuras observamos algunos de
los indicadores planteados en los sistemas, junto con los resultados obtenidos a diciembre
de 2014 y su comparación con diciembre de 2015 luego de un año de operación. En la Figura 6, se observan los indicadores del Sistema de Gestión de Servicios SGS con ISO
20000 y en la Figura 7 los indicadores de ISO 27001, del Sistema de Gestión de
Seguridad de la Información.
Fig. 6. Indicadores del SGS. Fuente: El Autor.
NUMERO NOMBRE DEL INDICADOR DATO 1 DATO 2
VALOR DEL
INDICADOR.
31/12/2014 DATO 1 DATO 2
VALOR DEL
INDICADOR.
31/03/2015
NUS NTUE NUS NTUE
1389 1442 759 825
ME MP ME MP
691 691 0 0
EA EP EA EP
7 7 0 0
NIA NIR NIA NIR
1043 1221 96 133
NPA NPR NPA NPR
1357 1504 860 1031
72,2
83,4
30,8
92,0
14,4
17,0
96,3
1
Cumplimiento de los acuerdos de nivel de servicio * Se revisa
información de Dashboard de Sistema Mesa de ayuda y se
genera % de cumplimiento de SLAs por categoria.
Meta: 80%. Frecuencia Trimestral.
2
Satisfacción de usuarios.
Meta: mantener 80%. Frecuencia Semestral medidas
trimestral.
3
Planes de mantenimiento de equipos y actualización de
tecnología.
Meta: 90% Frecuencia: Semestral
100,0
5
Oportunidad atención de incidencias ** Tiempo Medio de
atención de Incidencias de acuerdo con informe de Sistema
Mesa de Ayuda.
Meta: 90%. Frecuencia: Trimestral
21,0
4 100,0
7 Número de peticiones atendidas 90,2
6 Número de incidentes atendidos 85,4
Actualización de tecnología.
Meta: 90% Frecuencia: Semestral
Aquí se observa que el indicador 1 relacionado con el cumplimiento en los acuerdos de
Nivel de servicio no se ha cumplido, pues como se veía en los hitos pasar a atender
incidencias de acuerdo con los tiempos establecidos es un tema que cuesta dentro de la
cultura, sin embargo se observa cómo ha evolucionado la medición hacia el primer
semestre de 2015, ya que se pasó de 17% en diciembre a 30% en marzo, la meta es llegar
al cumplimiento del 80%.
El segundo indicador relacionado con la satisfacción de los usuarios muestra en diciembre el resultado final del año en un 96, 3% y en el primer trimestre va en 92% la meta esta en
mantenerlo en 80%
El indicador 3, relacionado con el mantenimiento aún no se ha medido porque la
frecuencia es semestral; el indicador 4, está relacionado con la actualización tecnológica
que se mide anualmente.
El indicador 5, está relacionado con la oportunidad en la atención de las incidencias, lo
cual se cruza con el primer indicador, se busca que el tiempo este cada vez mas cerca a los
ANS, y allí se observa que los tiempos han venido bajando, deben llegar cercanos a 8.
Los indicadores 6 y 7 relacionados con atención de incidencias y peticiones dejan ver que el Sistema de Gestión de Servicios, está teniendo una buena dinámica ya que el número de
incidencias ha disminuido y el de peticiones ha aumentado, lo que refleja que se han
solucionado las fallas en la tecnología y se incrementa el uso de la mesa de ayuda.
Fig. 7. Indicadores del SGSI. Fuente El Autor.
NUMERO NOMBRE DEL INDICADOR DATO 1 DATO 2
VALOR DEL
INDICADOR
31/12/2014. DATO 1 DATO 2
VALOR DEL
INDICADOR.
31/03/2015
TEI TEP TEI TEP
4 4 3 4
NNC NTCN * NNC NTCN *
35 36 3 7
NIS NIR NIS NIR
277 678 2 2
NPI NPP NPI NPP
1420 16
75,0
42,9
100,0
4 Efectividad del plan de Tratamiento de Riesgos 88,8
2 Verificación del Mejoramiento del SGSI 97,2
3 Tratamiento de Incidentes de Seguridad de la Información 40,9
1Estrategias de Divulgación del Sistema de Gestión de
Seguridad de la Información100,0
Respecto a los indicadores de Seguridad de la Información, el primero esta asociado a
las estrategias para la divulgación del sistema para 2014 se fijaron cuatro (4) en
conjunto con la oficina de comunicaciones, que ayudaron a que las personas
conocieran en que va el proceso de implementación del sistema, divulgación en radio,
en la página web, entrevista para el programa de TV, y correo electrónico.
El segundo indicador es el cumplimiento con el plan de mejoramiento de las no
conformidades detectadas en temas de seguridad de la información, lo cual evidencia mejora continua.
El tercero relacionado con tratamiento de los incidentes de seguridad, en 2014 se
empezaron a registrar y se encontraron más de 600 de los cuales solo 277 se
resolvieron oportunamente, los otros se resolvieron pero no rápidamente tomo más
tiempo la solución.
El cuarto el cumplimiento a los proyectos derivados del Plan de Tratamiento de
Riesgos, que deben estar asociados a los proyectos del plan de acción anual.
Referencias
1. Departamento de Informática es Considerado un Gasto. Fuente Setesca. 29/03/2011. http://www.diarioti.com/gate/n.php?id=29358.
2. INSTITUTO COLOMBIANO DE NORMA TECNICAS Y DE CERTIFICACION. Norma Técnica de Calidad en la Gestión Pública NCTGP 1000:2009. P 1.
3. OSIATIS. Formación ITIL, Fundamentos de la Gestión de Servicios de TI. http://www.osiatis.es/formacion/Formacion_ITIL_web_version2.pdf.
4. INSTITUTO COLOMBIANO DE NORMA TECNICAS Y DE CERTIFICACION. Norma Técnica Colombiana. NTC-ISO/IEC 20000-1. P 3.
5. INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y DE CERTIFICACIÓN. Norma Técnica Colombiana Sistemas de Gestión de la Seguridad de la Información. NTC-ISO/IEC 27001. P 2.
6. INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y DE CERTIFICACIÓN. Norma Técnica Colombiana Sistemas de Gestión de la Seguridad de la Información. NTC-ISO/IEC 27001. P 5.
7. INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y DE CERTIFICACIÓN. Norma Técnica Colombiana Sistemas de Gestión de la Seguridad de la Información. NTC-ISO/IEC 27001. P 3.
8. SGS Colombia, ISO 20000 Certificación de TI. Consultado marzo de 2015. http://www.sgs.co/es-ES/Health-Safety/Quality-Health-Safety-and-Environment/Risk-Assessment-and-Management/Security-Management/ISO-20000-IT-Certification.aspx
9. AENOR. Certificación ISO 20000 del Sistema de Gestión de Servicios de
Tecnologías de la Información. Marzo de 2015 https://www.aenor.es/AENOR/certificacion/calidad/calidad_serviciosti_20000.asp#.VSsp0_mG85k
10. Normas ISO. ISO 20000. Calidad de los Servicios de TI. http://www.normas-iso.com/iso-20000
11. HALABY, William. ISO 27001:2013 Todo lo que usted necesita saber acerca de los
nuevos cambios. Consultado en Marzo de 2015 en
http://isc2capitulocolombia.org/portal/images/documents/ISO_27001-2013_ISC2_Colombia_Chapter.pdf