COBIT 5

    ·  HISTORIA COBIT.

Las siglas COBIT significan Objetivos de Control para Tecnología de Información y Tecnologías relacionadas. El modelo fue creado por la Asociación para la Auditoría y Control de Sistemas de Información, (ISACA), y el Instituto de Administración de las Tecnologías de la Información, (ITGI).
La primera edición fue publicada en 1996; la segunda edición en 1998; la tercera edición en 2000; la cuarta edición en diciembre de 2005;la versión 4.1 en mayo de 2007.
En su cuarta edición, COBIT tiene 34 objetivos de alto nivel que cubren 318 objetivos de control (específicos o detallados) clasificados en cuatro dominios: Planificación y Organización, Adquisición e Implementación, Entrega y Soporte, y, Supervisión y Evaluación. Desde el año de 2012 surge la última versión conocida de este marco COBIT 5. 

• CARACTERÍSTICAS COBIT 

Ha sido diseñado como un estándar habitualmente aceptado y ajustable a las buenas prácticas de seguridad y control en TIC.

· Suministra herramientas al responsable de los procesos que facilitan el cumplimiento de esta tarea.

· Tiene una premisa práctica y simple: con el fin de facilitar la información que la organización requiere para alcanzar sus objetivos, señala que los recursos de TIC deben ser administrados por un conjunto de procesos de TIC agrupados en forma natural.

· Es la herramienta innovadora para el manejo de TIC que ayuda a la gerencia a comprender y administrar los riesgos asociados con TIC

· Ayuda a proteger las brechas existentes entre necesidades de control, riesgos de negocio y aspectos técnicos. Proporciona “prácticas sanas” por medio de un Marco Referencial de dominios y procesos; presenta actividades en una estructura manejable y lógica.

· Las prácticas sanas de COBIT representan el consenso de los expertos.

· Está desarrollado no solo para ser utilizado por usuarios y auditores, sino que en forma más importante, esta diseñado para ser utilizado como un Check List detallado para los responsables de cada proceso.

•  COMPONENTES. 

La publicación inicial, define y describe los componentes que forman el Marco COBIT:

-Principios

-Marco Integrador.

-Conductores de valor para los Interesados.

-Enfoque al Negocio y su Contexto para toda la organización.

-Fundamentado en facilitadores.

-Estructurado de manera separada para el Gobierno y la Gestión.

 Arquitectura

-Facilitadores.

-Cultura, Ética y Comportamiento

-Estructura Organizacional

-Información

-Principios Políticas

-Habilidades y Competencias

-Capacidad de brindar Servicios

-Procesos

 Guía de implementación

-Posicionar al Gobierno de IT dentro de la organización.

-Tomar los primeros pasos hacia un Gobierno de IT superador.

-Desafíos de implementación y factores de éxitos.

-Facilitar la gestión del cambio.

-Implementar la mejora continua.

-La utilización del COBIT 5 y sus componentes.

-Incremento de la creación de valor a través un gobierno y gestión efectiva de la información y de los activos tecnológicos. La función de TI se vuelve mas enfocada al negocio.

-Incremento de la satisfacción del usuario con el compromiso de TI y sus servicios prestados – TI es visto como facilitador clave.

-Incremento del nivel de cumplimiento con las leyes regulaciones y políticas relevantes.

-Las personas que participan son más proactivas en la creación de valor a partir de la gestión de TI.

-Otras publicaciones futuras de interés.

•  CERTIFICACIÓN. 

Al igual que otros marcos de trabajo COBIT no certifica a las organizaciones, certifica personas. Las personas que quieran certificarse deben acudir a una entidad que sea partner de COBIT quienes serán los intermediarios para organizar el proceso de certificación, el cual se realiza a través de un examen por el cual se debe pagar un valor definido.

-Características del examen de certificación.

Certificación mundial asignada al participante.

Examen gestionado por APMG.

Contiene 50 preguntas de opción múltiple.

Tiene una duración de 40 minutos.

No se permite libro abierto.

Se gana con un mínimo de 25 respuestas acertadas correctamente, es decir 50%.

Se realiza vía web.

Idioma del examen disponible en Español latinoamericano, inglés, Alemán o Portugués de Brasil.

Itil v3

• HISTORIA ITIL V3

En los 80s, el gobierno británico quiere aumentar el nivel de calidad de los servicios TI que provee y encarga a la CCTA (Central Computer and Telecommunications Agency ) desarrollar un marco de referencia para el uso eficiente de recursos TI tanto en la Administración como en las empresas privadas. La versión primera se denominó GITIM (Government Information Technology Infrastructure Management)
• Esta versión se empezó a utilizar ampliamente por la administración y grandes empresas de Europa, con los cual a principios de los 90 se desarrolló una nueva versión, ya denominada ITIL.
• En el 2001, se comienza a liberar la versión 2 de ITIL.
• En junio de 2007 se publica la versión 3 de ITIL, que adopta un enfoque orientado al ciclo de vidadel servicio, con un mayor énfasis en la integración con el negocio TI.

• CARACTERISTICAS ITIL V3.

ITIL® constaba de 10 libros centrales cubriendo las dos principales áreas de Soporte del Servicio y Prestación del Servicio. Estos libros centrales fueron más tarde soportados por 30 libros complementarios que cubrían una numerosa variedad de temas, desde el cableado hasta la gestión de la continuidad del negocio. A partir del año 2000, se acometió una revisión de la biblioteca. En esta revisión, ITIL® ha sido reestructurado para hacer más simple el acceder a la información necesaria para administrar sus servicios. Los libros centrales se han agrupado en dos, cubriendo las áreas de Soporte del Servicio y Prestación del Servicio, en aras de eliminar la duplicidad y mejorar la navegación. El material ha sido también actualizado y revisado para un enfoque conciso y claro.

•         COMPONENTES 

ITIL v3. 5 libros principales: Ciclo de Vida de los Servicios:

• Diseño de Servicios de TI. 
• Introducción de los Servicios de TI. 
• Operación de los Servicios de TI. 
• Mejora de los Servicios de TI. 
• Estrategias de los Servicios de TI. 

•   ESQUEMA DE CERTIFICACIÓN ITIL .El Esquema de Certificación ITIL (Versión 3) proporciona una aproximación modular a la certificación ITIL y es parte de una serie de certificaciones que se centraron en diferentes aspectos de las buenas prácticas de ITIL, en varios grados de profundidad y detalle.Se encuentra disponibles cuatro niveles de certificación ITIL:

       

• Certificación ITIL Foundation 
• Certificación ITIL Intermediate – Ciclo de vida y capacidad del servicio · 
•  Certificación ITIL Expert ·
•  Certificación ITIL Master 

 El enfoque modular de la certificación ITIL V3 no solo ofrece una mayor flexibilidad a los candidatos en relación a las disciplinas del área ITIL que tienen que estudiar, también hace la certificación ITIL más accesible y alcanzable.

•  La certificación ITIL Foundation proporciona conocimiento y comprensión de los elementos clave, la estructura, la terminología y los procesos de ITIL V3. Esta certificación ITIL de nivel básico ofrece a los candidatos un conocimiento general de los elementos clave del Servicio del ciclo de vida de ITIL , incluyendo los enlaces entre las fases del ciclo de vida, los procesos utilizados y la contribución a la práctica de la gestión del Servicio. 

•  La certificación ITIL Intermediate ofrece dos corrientes principales de educación; Ciclo de vida y Capacidad- cada uno con su serie de certificaciones- y un módulo final de racionalización, Gestión a través del ciclo de vida. Cada certificación ITIL intermedia ofrece a los candidatos el conocimiento, las habilidades y las competencias necesarias para gestionar la aplicación de áreas específicas de las buenas prácticas de ITIL en un entorno de gestión del Servicio. Son disponibles los siguientes cursos: 

       -Service Strategy
       -Service Design
       -Service Operation
       -Service Transition
       -Continual Service Improvement

-La certificación ITIL Expert es para los candidatos que han obtenido las certificaciones ITIL V3 y que desean demostrar un nivel de conocimiento superior de ITIL V3 en su totalidad.


-La certificación ITIL Master Qualification es la cualificación más elevada disponible en el programa ITIL V3. Esta cualificación está reservada para aquellos que pueden demonstrar sus habilidades en la utilización de las disciplinas de ITIL y las buenas prácticas de gestión de los servicio TI en un ambiente real de trabajo. Este nivel está todavía en fase piloto.

Es clave recordar que ITIL no certica a las organizaciones,sin embargo su aplicabilidad va de la mano con la certificación ISO 20000 para las organizaciones.
ITIl certifica a profesionales y la forma de realización de este proceso es a través de exámenes por los cuales se cancela un valor.

Iso 20000

• B. Historia ISO/IEC 20000.

 Los antecedentes de la norma se remontan a 1989 cuando la institución británica BSI comenzó la definición de un estándar para la gestión de servicio TI, que finalizó con su publicación como estándar BS 15000 en 1995.

A partir de este año BSI continuó con el desarrollo del estándar trabajando en una segunda parte con el objetivo de profundizar en los conceptos de la parte 1 ya publicada. En la realización de este trabajo se identificó que sería muy beneficioso para el sector TI que las publicaciones BS estuvieran alineadas con las publicaciones ITIL de buenas prácticas, impulsadas por el Gobierno Británico. Como consecuencia de este interés se formalizó un acuerdo de alineamiento del que BS 15000 se benefició de los contenidos de ITIL, y posteriormente cuando el estándar pasó a ser ISO/IEC 20000 fue éste quien ejerció su influencia en los contenidos de la nueva versión 3 de ITIL que se publicó en Mayo de 2.007.

La segunda parte del estándar se publicó en 1998, y posteriormente se siguió evolucionando la norma que vio la luz en su versión final en el año 2000 como BS 15000 parte 1 y 2.

Como complemento a los documentos “core” de la norma se desarrollaron unos contenidos adicionales para facilitar su adopción, publicándose un esquema de autoevaluación y una guía para los gestores del servicio.

Gracias a la temprana adopción de esta norma por las compañías del sector, se pudo realizar una retroalimentación con la que se realizó una revisión y evolución de la primera versión de la norma BS 15000, publicando una segunda versión en el año 2002, que incluyó principalmente nuevas cláusulas en los apartados de responsabilidades de la gestión y la mejora continua con el ciclo de Deming Plan-Do-Check-Act. Desde su publicación en el año 2000 este estándar despertó un rápido interés, y un elevado nivel de adopciones en otros países, por lo que en el mes de Octubre del año 2004 se solicitó a ISO/IEC la elevación de este estándar británico a estándar internacional.

Como consecuencia de la madurez del estándar se utilizó una vía de “fast track” en la que se procedió a realizar todas las actividades marcadas para la evaluación del estándar: análisis, debate, comentarios, votaciones de los diferentes organismos de normalización nacionales, cambios finales y creación de las estructuras necesarias para la adopción y evolución de la norma dentro de los organismos ISO/IEC.

Tras 14 meses de trabajos el 15 de Diciembre de 2005 se publico el estándar ISO/IEC 20000 1 y 2, retirándose en ese momento el estándar BS 15000.

A partir de este momento se inicia el plan para la gestión y futura evolución del estándar ISO/IEC 20000, acordándose en Marzo de 2006 por el JTC-1, la creación de un nuevo grupo de trabajo, el WG 25, que se encuadra dentro del subcomité 7 de este organismo (JTC-1 SC7) iniciando sus actividades en Abril 2006.

En España, impulsado por itSMF se realiza en el año 2006 la traducción de la norma al español, y posteriormente AENOR procede a su localización y publicación, que se realiza en el mes de Junio del 2007; y un mes más tarde se certifican en la norma UNE-ISO/IEC 20000-1 las dos primeras compañías españolas, Telefónica Soluciones y el Corte Ingles.

•      Características ISO 20000.

Es la primera norma de calidad a nivel mundial dirigida específicamente a las organizaciones de TI ,describe un conjunto integrado de procesos y un enfoque de gestión para la provisión efectiva de servicios de TI a clientes internos o externos.
Entre sus características están:

-Cumplimiento de un estándar internacional para la gestión de servicios de gestión  TI.

-Asegura el cumplimiento en la entrega de servicios TI con las mejores prácticas internacionalmente aceptadas.

-Proporciona servicios que se adecuan a las necesidades del negocio, del cliente y del usuario.

-Vinculación con la norma iso 27000.

-Se integra con las auditorias de los sistemas de gestión.
-Ofrece la posibilidad de seleccionar y gestionar a los proveedores de servicios externos con mayor eficacia.

• Componentes y estructura de la iso 20000

La ISO 20000 se compone de dos grandes partes:

-La parte uno es la especificación para la gestión de servicios que abarca la gestión de servicios de TI. Ésta es la parte que se puede auditar y establece unos requisitos mínimos que deben cumplirse para obtener la certificación.

Su alcance incluye:

• Requisitos para un sistema de gestión.
• Planificación e implantación de la gestión del servicio.
• Planificación e implantación de servicios nuevos o cambiados.
• Proceso de prestación de servicios.
• Procesos de relaciones.
• Procesos de resolución.
• Procesos de control y liberación.

-La parte dos es el código profesional para la gestión de servicios, que describe las mejores

prácticas para los procesos de gestión de servicios en el ámbito de la especificación

El Código de procedimiento resulta especialmente útil para organizaciones que se preparan

para someterse a una auditoria según la norma ISO 20000-1 o para planificar mejoras del

servicio.

• Proceso de certificación ISO 20000.

Para el caso de esta norma su objetivo es certificar la calidad de los procedimientos en las organizaciones por lo cual la ISO 20000 no certifica personas sino que está llamada a medir y garantizar niveles de calidad en las empresas a través de un compendio de buenas prácticas.

A continuación se describe el proceso de certificación.