Printer Friendly

Implementacion de procedimientos de gobernabilidad TI en la red de investigacion de tecnologia avanzada basado en ITIL, cobit y la ISO 20000-27000.

IMPLEMENTATION OF IT GOVERNANCE PROCEDURES RESEARCH NETWORK FOR ADVANCED TECHNOLOGY BASED ON ITIL, COBIT AND ISO 20000-27000

1. INTRODUCCION

Actualmente para muchas organizaciones, entre ellas las universidades como centros de formacion, investigacion e innovacion de nuevos esquemas organizacionales y de gobernabilidad basados en TI, la informacion y la tecnologia que las soportan representan sus activos intangibles mas significativos, activos que con frecuencia son poco entendidos por su comunidad. Estas instituciones consideran los beneficios que aportan la tecnologia de informacion por lo cual es importante su administracion a nivel gerencial.

El gobierno de TI en las universidades debe centrarse en conseguir una gestion eficiente de los recursos tecnologicos como soporte principal de los servicios universitarios. De esta manera, una buena implementacion de procedimientos del gobierno de las TI basados en estandares posibilita que las universidades lleven a cabo una proyeccion estrategica de las tecnologias de la informacion de manera alineada con los objetivos globales de la organizacion.

De aqui, que la planificacion de las TI debe ser responsabilidad directa de la alta direccion universitaria. Adicional a esto la directiva debe mejorar el uso de los recursos disponibles, como aplicaciones, informacion, infraestructura y personas. En este orden de ideas, la universidad debe adoptar procedimientos de gobernabilidad basados en estos importantes aspectos. El objetivo de este articulo es sentar las pautas adecuadas basadas en los estandares de ITIL, COBIT y la ISO para implementar un modelo en la Red de Investigacion de Tecnologia Avanzada de la Universidad Distrital Francisco Jose de Caldas procesos de gobernabilidad TI.

Contexto De La Universidad Distrital Francisco Jose De Caldas

La Universidad Distrital Francisco Jose de Caldas por ser una institucion publica de educacion superior, cuya mision propone: "Es la calificacion de egresados con capacidad de actuar como protagonistas del cambio social y de si mismo, en la formacion del espiritu cientifico aplicado a la indagacion, interpretacion y modificacion de la realidad y en la contribucion a forjar ciudadanos idoneos para promover el progreso de la sociedad." [1]

[FIGURA 1 OMITIR]

En la Figura 1 se observa parte del organigrama de gobernabilidad la Universidad, de alli se puede observar que la oficina asesoria de sistemas reporta directamente a la rectoria y esta alineada con las oficinas de control interno, planeacion y control y asuntos disciplinarios.

Recursos de TI: Actualmente la Universidad existen cuatro tipos de sistemas de informacion, los transaccionales ya por desarrollo propio o adquirido por terceros, que permiten organizar los datos y la informacion para apoyar los procesos misionales de la institucion estos son CONDOR, SICAPITAL, SICIUD, ILUD y ALEPH, los de tipo gerencial o estrategico que permiten realizar analisis y estadisticas a la informacion transaccional con el fin de ser insumo para la toma de decisiones (Bodega de Datos, ICARO y SIAUD), los sistemas de tipo netamente academicos especializados y que son fruto de la Docencia, la Investigacion y la Extension y el sistema que integra los sistemas transaccionales en un sistema unico.

Dentro de la normatividad y los parametros de desarrollo de la Universidad Distrital se ha creado este Plan Estrategico que como elemento directriz en los procesos de planeacion y mejoramiento, dentro de la autonomia y el manejo eficiente de recurso tal como se senala en el mismo documento; en el capitulo relacionada con Politicas, Estrategias, Programas, Proyectos y Metas, se destaca la Politica 6: "Desarrollo fisico e infraestructura tecnologica de la Universidad" donde se formula el siguiente objetivo especifico: "Mejorar y mantener actualizada la infraestructura fisica y tecnologica de la Universidad en funcion de la proyeccion de las actividades misionales de la Universidad." Para dar cumplimiento a este proposito se plantea las siguientes pautas:

Estrategia 1. Desarrollo y actualizacion permanente de la infraestructura fisica, tecnologica, de conectividad y de recursos en general. Consolidar, fortalecer y mantener actualizada la infraestructura fisica y de servicios informaticos y de comunicaciones asi como la adecuacion, construccion y dotacion de espacios para el ejercicio de actividades en relacion con las funciones universitarias.

* Proyecto 1: Crear y definir la arquitectura del Sistema de Informacion y comunicacion interno y externo.

* Proyecto 2: Fortalecer, adecuar y dotar la infraestructura de comunicaciones e informacion y conectividad.

* Proyecto 3: Masificar el uso de tecnologias de comunicacion e informacion.

Debido a lo anterior y en concordancia con lo formulado en la politica 6 en el ano 2008 el CSU para mejorar los temas relacionados con la conectividad a alta velocidad y la articulacion con Redes academicas tipo Internet2 [2] como RUMBO [3], RENATA [4] y CLARA [5] creo la Red de Investigacion de Tecnologia Avanzada "RITA"[6]; de alli se fortalece el uso de las TIC, la gobernabilidad basada en estandares internacionales y el cumplimiento del objeto misional de la universidad basado en sus tres pilares, la academia, la docencia y la investigacion.

Gobierno De Las TI

Existen variadas definiciones del gobierno TI. Segun el IT Governance Institute dice: "El gobierno de las TI es responsabilidad de la administracion ejecutiva y del Consejo de Direccion. Es una parte integral del gobierno de una organizacion y consiste en las estructuras organizacionales y de direccion, y en los procesos que aseguran que la organizacion mantiene y amplia sus objetivos y estrategias" [7]. Se puede decir entonces que su principal objetivo es conseguir la alineacion entre la estrategia del negocio y las TI y de esta manera minimizar los riesgos.

En la siguiente Figura se encuentran las cinco areas del enfoque del gobierno TI.

[FIGURA 2 OMITIR]

Podemos decir que el gobierno de las TI se puede ser aplicado a la Red RITA como elemento para crear valor al conjunto de la comunidad universitaria y la sociedad en la que se enmarca su actuacion.

2. MODELOS DE GOBERNABILIDAD DE TI

Actualmente existen diferentes modelos orientados al control de las organizaciones, cada una de ellas abarca diferentes campos de accion, de forma que se complementan. Estan relacionados con la toma de decisiones estrategicas, la planificacion estrategica de los sistemas de informacion, la gestion de los servicios, y con las herramientas de monitorizacion y control. A continuacion veremos: ITIL [9], COBIT [10], ISO 20000 [11] y ISO 27000 [12], y su implementacion en la Universidad Distrital [13].

A. ITIL (Information Technology and Infraestructure Library)

Es una guia de las practicas de como disenar, desarrollar e implementar una Gestion de Servicios como un activo estrategico, basado en procesos. La Figura 2 muestra los procesos en el ciclo de vida de ITIL.

[FIGURA 3 OMITIR]

Segun las recomendaciones de ITIL se realizara a continuacion la implementacion para la Universidad Distrital. Se realizo algunos subprocesos de la Gestion del Diseno de servicios, Transicion del servicio y la Operacion del servicio.

3. DISENO DEL SERVICIOS

En esta fase se realizaron dos procesos la gestion de catalogo de servicios y la gestion de la seguridad de la informacion.

Catalogo de Servicios: Primero se debe caracterizar y catalogar los servicios de tal forma que se pueda conocer los siguientes campos en un formato:

La descripcion del servicio, acuerdos de Nivel de Servicio, quienes estan autorizados para requerir o ver el servicio, el costo del servicio y la forma de cumplir el servicio.

En la tabla 1, se puede ver un ejemplo del formato del servicio RITA de la Universidad Distrital.

Seguridad de la Informacion: En la Universidad Distrital se ha implementado una politica para la seguridad de la informacion donde estipula su responsabilidad con el proceso de gestion responsable de informacion que tiene como objetivo garantizar la integridad, confidencialidad y disponibilidad de este significativo activo, teniendo como eje el cumplimiento de los objetivos misionales.

Su objetivo primordial "Proteger, preservar y administrar objetivamente la informacion de la Universidad Distrital Francisco Jose de Caldas junto con las tecnologias utilizada para su procesamiento, frente a amenazas internas o externas, deliberadas o accidentales, con el fin de asegurar el cumplimiento de los caracteristicas de confidencialidad, integridad, disponibilidad, legalidad, confiabilidad y no repudio de la informacion" [15].

4. TRANSICION DEL SERVICIO

En esta fase se establecen expectativas del cliente de como debe ser prestado el servicio y su uso, ademas de garantizar que sean accesibles a los usuarios autorizados. Por lo cual se debe manejar el proceso de gestion de cambios. Gestion de cambios: Para llevar un mayor control en los servicios de la Universidad en cuanto a los cambios, se debe solicitar por medio del siguiente formato:
Tabla. II. Formato de solicitus de cambios UD

FORMATO DE SOLICITUD DE CAMBIOS                     FSC0001

Fecha:                    Febrero 2014
Responsable:              Decano Ingenieria
Area:                     Maestria CIC

Clasificacion del cambio segun servicio (Marque una X)

Sistemas de Informacion   Correo Electronico:
Servidores                Otro: Video Conferencia
Prioridad:                Alta
Descripcion del Cambio:
Motivo del Cambio:


La gestion de cambios ayuda a los gestores de IT y al personal de IT a mantener informados a la directiva de la Universidad y a las partes interesadas en los momentos en que tienen lugar cambios importantes.

5. OPERACION DEL SERVICIO

Esta etapa es la entrega al usuario con la mejor calidad del servicio TI, por lo cual se debe efectuar una gestion de implementaciones con el objetivo de planificar y realizar los cambios sin contratiempos y de manera transparente para el usuario.

Gestion de Implementaciones: Esta va de la mano con la gestion de cambios, asi que debe realizarse un plan de pruebas en un entorno real y luego un plan de implementacion con informacion sobre lo que se va a implantar, como se va a implantar y las especificaciones en las que funcionara [15].

6. COBIT (CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY)

Es un modelo para verificar la gestion y control de los sistemas de informacion y tecnologia, encaminado a todas las areas de una organizacion, es decir, administradores TI, usuarios y por supuesto, los auditores implicados en el proceso.

COBIT se basa en el siguiente principio "Para proporcionar la informacion que la empresa requiere para lograr sus objetivos, la empresa necesita invertir, administrar y controlar los recursos de TI usando un conjunto estructurado de procesos que provean los servicios que entregan la informacion empresarial requerida." [7].

[FIGURA 4 OMITIR]

Para empezar la implementacion de COBIT en RITA-UD, se ha utilizado la matriz de riesgos efectuada por ISACA. Esta matriz nos permite identificar los procesos y actividades mas criticos. Se tomo como referencia el Plan Maestro de Informatica y Telecomunicaciones [13] para la calificacion de los aspectos ya que RITA se encuentra en uno de los sub procesos.

Los procesos que son prioridad segun el resultado arrojado por la matriz de la tabla 4:

* P01 Definir un plan estrategico de TI

* P04 Definir los procesos, organizacion y relaciones de Ti

* P05AdministrarlainversionenTI

* P09 Evaluar y administrar los riesgos de TI

* AI2 Adquirir y mantener software apli cativo

* AI3 Adquirir y mantener infraestructu ra tecnologica

* AI4 Facilitar la operacion y el uso

* DS4 Garantizar la continuidad del ser vicio

* DS5 Garantizar la seguridad de los sis temas

* DS7 Educar y entrenar a los usuarios

* ME1 Monitorear y evaluar el desempeno de TI

7. C. ISO 20000 Y 27000: GESTION DE LA CALIDAD DE LOS SERVICIOS DE TI

Los estandares internacionales ISO 20000 e ISO 27000 permiten garantizar la prestacion satisfactoria de los servicios de TI y la gestion que se realice sobre estos, para lograr la satisfaccion de los usuarios.

8. ISO 20000

Para la implementacion de esta norma en la Universidad Distrital se deben seguir un procedimiento con base a:

* Se debe conformar un equipo conocedor del modelo organizacional y tener experiencia en las areas relacionadas con las TIC, para garantizar una correcta implementacion, seguimiento, control y mejora.

* Definir y suministrar un catalogo de servicios de TI centrado en las necesidades de la comunidad universitaria con base en Acuerdos de Niveles de Servicio.

* Realizar un Sistema de Gestion de Seguridad de la Informacion acorde con el Sistema de Gestion de Informacion Institucional.

* La Universidad debe reforzar unas politicas, procesos, procedimientos y guias que disminuyan la incertidumbre en cuanto a las actividades e inversiones en materia de los servicios de TI.

ISO 27000

La Universidad debera tener en cuenta la norma ISO 27000 para la Seguridad de la Informacion y podra implementarse siguiendo las siguientes recomendaciones:

* Gestion de Activos: Cada dependencia, bajo supervision del Comite de Seguridad de la Informacion, debe elaborar y mantener un inventario de los activos de informacion que posean.

* Gestion de Incidentes: El personal de la Universidad debe reportar con diligencia, prontitud y responsabilidad presuntas violaciones de seguridad a traves de su jefe de dependencia a la Oficina Asesora de Sistemas o la Red de Datos UDNET En casos especiales dichos reportes podran realizarse directamente a la Oficina Asesora de Sistemas, la cual debe garantizar las herramientas informaticas para que formalmente se realicen tales denuncias.

* Recursos Humanos: Todo el personal de la Universidad Distrital Francisco Jose de Caldas, cualquiera sea su situacion contractual, la dependencia a la cual se encuentre adscrito y el nivel de las tareas que desempene debe tener asociado un perfil de uso de los recursos de informacion, incluyendo el hardware y software asociado. La Oficina Asesora de Sistemas en coordinacion con la Red de Datos UDNET deben mantener un directorio completo y actualizado de tales perfiles.

* Seguridad Fisica: La Red de Datos UDNET debe asegurar que la infraestructura de servicios de TI este cubierta por mantenimiento y soporte adecuados de hardware y software.

9. CONCLUSIONES

Pues bien, despues de verificar los procesos de estandares para gobernabilidad basados en ITIL, ISO 20000, ISO 27000 y COBIT, es viable que la implementacion de los mismos ayude a mejorar y apoyar la gestion de los recursos TI, la gestion de los servicios TI y la seguridad de la informacion en todos los procesos de la Red de Investigacion de Tecnologia avanzada RITAUD. Es esta forma se logra la alineacion con el Plan Estrategico de Tecnologia Informatica y con el Plan de Desarrollo de la Universidad, generando mejores tiempo de respuesta a la comunidad academica e investigativa, reduccion de costos, mitigacion de riesgos, mayor calidad en los servicios.

Referencias

[1] Universidad Distrital Francisco Jose De Caldas. "Plan Estrategico de Desarrollo 2007-2016". Grupo Editorial Gaia. Bogota. 2006. p. 97

[2] Paulson, Linda Dailey., "Internet2 Upgrades Backbone", available online ieeexplore.ieee.org/ie/2/20936/00970552. pfd"

[3] Red Universitaria Metropolitana de Bogota, RUMBO, http://www.mmbo.edu.co/.

[4] Red Nacional de Tecnologia Avanzada, http://www.renata.edu.co/

[5] CLARA Red Latinoamericana de Redes Avanzadas, http://www.redclara.net/

[6] Red de Investigaciones de Tecnologias Avanzadas, http://sig-terminal.udistrital. edu.co/

[7] Isaca, Cobit 5, Un Marco de Negocio para el Gobierno y la Gestion de las TI de la Empresa, 2012, http://www. isaca.org/COBIT/Documents/COBIT5 Framework-Spanish.pdf

[8] Nuevas tecnologias y Negocios, Baquia, http://www.baquia.com/blogs/seguridad/ posts/2013-02-28-la-hora-de-elevar-elspeech-de-ti

[9] A. Cartlidge, IT INFRASTRUCTURE LIBRARY, An Introductory Overview of ITIL[R] V3,2007. https://www.best -management-practice.com/gempdf /itSMF_An_Introductory_Overview_of_ITIL_V3.pdf

[10] F. Ferrer, Consideraciones practicas para una implementacion exitosa de COBIT, FERROL, International group, 2011, http://www.proactivanet.com/UserFiles/ File/FERROLIG-TCM-COBIT.pdf

[11] Normas ISO, 20000, http://www.normasiso.com /etiqueta/iso-20000

[12] Normas ISO, 27000, El estandar de seguridad de la informacion, http://www.iso27000.es /download/doc_iso27000_all.pdf

[13] Universidad Distrital Francisco Jose de Caldas. Politica de Seguridad de la Informacion y su implementacion, Comite de Informatica, ttps://portalws. udistrital. edu. co/CIT/documentos/ NORMATIVIDAD/politica_seguridad/ archivos/Politica_para_Seguridad_ Informacion_Version_0.0.1.0.pdf

[14] TCM Tecnologias con Clase Mundial, implantacion de nuevos procesos y tecnologias, Bogota Colombia, http:// www.tcm-ti.com/itil.html

[15] G. Quintero, Implementacion de procedimientos ITIL v3.0 en la gestion de TI de la Universidad del Valle, 2008-2011. ACTAS TICAL 2011. De http:// tical_2011.redclara.net/doc/ACTAS_ TICAL2011.pdf

[16] COMITE DE INFORMATICA. (2012). Plan Maestro de Informatica y Telecomunicaciones. https://portalws. udistrital. edu. co/CIT/documentos/ DOCUMENTOS_TRABAJO/PMITUD/archivos/PMITUD_2012-2018_ Aprobado.pdf

Roberto Ferro Escobar:

Ingeniero Electronico--Universidad Distrital Francisco Jose de Caldas Colombia. Doctor en gestion del conocimiento--UPSAM--Espana.

Decano facultad de Ingenieria--Universidad Distrital Francisco Jose de Caldas--Colombia--rferro@udistrital.edu.co, ferro.roberto@gmail.com

Giovanny Mauricio Tarazona Bermudez:

Ingeniero Industrial--Universidad Distrital Francisco Jose de Caldas Colombia. Doctor para sistemas informaticos para internet--Universidad de Oviedo--Espana.

Docente--Universidad Distrital Francisco Jose de Caldas--Colombia Gtarazona@udistrital.edu.co, Gtarazona@gmail.com

Gabriel Andres Alzate Acuna:

Ingeniero Electronico--Universidad Distrital Francisco Jose de Caldas--Colombia. gaalzatea@correo.udistrital.edu.co, gabriel.andres.alzate@gmail.com

Tipo: Reporte de caso

Fecha de Recepcion: Abril 30 de 2015

Fecha de Aceptacion: Junio 24 de 2015
Tabla I. Formato de catalogio de servicios RITA-UD:

FORMATO CATALOGO DE SERVICIOS RITA                     FCS0001

Servicio:        Prestamo de servicios de alta
                   conectividad
Descripcion:     Servicio que se le presta a la
                   com unidad academica de la
                   universidad relacionada con la
                   articu la d on con Red es de
                   Alta Veloci d ad.
Responsable:     Gobierno RITA-UD

                 Acuerdos deNiveles deservicio

Horario:         De Lunes a Viernes, de 6.00 am
                   a 10.00 pm
Observaciones:   El proceso para solicitar este
                   servicio IT esel siguiente:
                 1. Diligenciar via web el formato
                   de servicio.
                 2. Elabora rios respectivos a
                   cuerdos indicar do naturaleza
                   dela actividad, hora y tiempo
                   durante el cual se van a
                   utilizar, el tipo de software
                   que se necesita con el visto
                   bueno de la unidad
                   encargada o coordinador.
                 3. Una vez recibida la solicitud
                   en la coordinacion de RJTA-UD,
                   se procedera a la oficializacior
                   del requeri mi en to y su
                   respuesta.

Tabla III. Formato de plan de prueba RITA-UD

FORMATO DE PLAN DE PRUEBAS   FPP0001
Caso de Prueba:
Proposito:
Prerrequ isitos:
Datos de Prueba:
Pasos:
Notas y Preguntas:

Tabla IV. Matriz de riesgos

PROCESOS DE TI                          Importanda:      Impacto:
                                          1 Menos      Alto, Medio,
                                         importante,      Bajo,
                                           5 mas       Inmaterial,
                                                            No
PLANEAR Y ORGANIZAR

POl Definir un plan estrategico              S             Alto
  de TI
P02 Definir la arquitectura de               2             Bajo
  la informacion
P03 Determinar la direccion                  1          Inmaterial
  tecnologica
P04 Definir los procesos,                    5             Alto
  organizacion y relaciones de TI
PO5 Administrar la inversion en TI           5             Alto
P06 Comunicar las aspiraciones y             4            Medio
  la direccion de la gerencia
P07 Administrar recursos humanos             2            Medio
  de TI
PO8 Administrar la calidad                   1          Inmaterial
P09 Evaluar y administrar los                5             Alto
  riesgos de TI
PO10 Administrar proyectos                   3            Medio

ADQUIRIR E IMPLEMENTAR

AIl Identificar soluciones                   I          Inmaterial
  automatizadas
AI2 Adquirir y mantener software             5             Alto
  aplicativo
AI3 Adquirir y mantener                      5             Alto
  infraestructura tecnologica
AI4 Facilitar la operacion y el uso          5            Medio
AI5 Adquirir recursos de TI                  1          Inmaterial
AI6 Administrar cambios                      3            Medio
AI7 Instalar y acreditar soluciones          2             Bajo
  y cambios

ENTREGAR Y DAR SOPORTE

DS1 Definir y administrar los                2            Medio
  niveles de servicio
DS2 Administrar los servicios                4             Alto
  de terceros
DS3 Administrar el desempeno                 2            Medio
  y la calidad
DS4 Garantizar la continuidad                5             Alto
  del servido
DS5 Garantizar la segundad de                5             Alto
  los sistemas
DS6 Identificar y asignar costos             2            Medio
DS7 Educar y entrenar a los usuarios         5             Alto
DS8 Administrar la mesa de servicio          1          Inmaterial
  y los incidentes
DS9 Administrar la configuracion             3            Medio
DS10 Administrar los problemas               4             Alto
DS11 Administrar los datos                   3            Medio
DS12 Administrar el ambiente fisico          2             Bajo
DS13 Administrar las operaciones             I          Inmaterial

MONITOREAR Y EVALUAR

ME1 Monitorear y evaluar el                  S             Alto
  desempeno de TI
ME2 Monitorear y evaluar el                  4            Medio
  control interno
ME3 Garantizar el cumplimiento               1          Inmaterial
  regulatorio
ME4 Proporcionar gobierno de TI              3             Bajo
COPYRIGHT 2015 Universidad Distrital Francisco Jose de Caldas
No portion of this article can be reproduced without the express written permission from the copyright holder.
Copyright 2015 Gale, Cengage Learning. All rights reserved.

Article Details
Printer friendly Cite/link Email Feedback
Title Annotation:tecnologia de la informacion; Information Technology and Infraestructure Library
Author:Ferro Escobar, Roberto; Tarazona Bermudez, Giovanny Mauricio; Alzate Acuna, Gabriel Andres
Publication:Redes de Ingenieria
Date:Jul 1, 2015
Words:3498
Previous Article:Diseno y modelado de un inversor monofasico para conexion a la red electrica a partir de paneles. .
Next Article:Automatizacion en nivel de control de planta mediante el uso de herramientas libres y computacion.
Topics:

Terms of use | Privacy policy | Copyright © 2019 Farlex, Inc. | Feedback | For webmasters