NTC-ISO-IEC 38500
ITIL
COBIT
Modelo de Gestión IT4+
ISO 20000
TOGAF
REVISTA
MUNDO TIC Edición N.1
CERTIFICACIÓN DE BUENAS PRÁCTICAS TI “Las buenas prácticas pueden ser un respaldo sólido para las organizaciones que desean mejorar sus servicios de TI (tecnología de la información)”
UMB VIRTUAL Prospectivas de la Comunicación Virtual Mayo 2018
Mundo Tic Nº. 1
1.
Certificación de Buenas Prácticas TI
¿EN QUÉ CONSISTE LA CERTIFICACIÓN DE BUENAS PRÁCTICAS? Las buenas prácticas son un respaldo sólido para las organizaciones que desean mejorar sus servicios de TI. Gilat Colombia S.A E.S. P contempla en su visión consolidarse como una de las empresas del sector de las telecomunicaciones con procesos eficientes en la prestación de sus servicios. “Una practica es una forma de hacer mejor las cosas o una serie de principios generalmente aceptados en un ámbito profesional, y que sirven para aportar valor de negocio; en el caso de las TI, a través del manejo de la información.” (Sánchez, 2014) A pesar de que las prácticas son variadas las más comunes en el área TI son las orientadas hacia la arquitectura empresarial, la gestión de servicios TI, la gestión de riesgos de TI, la seguridad de la información y la gobernanza en TI. En este caso profundizaremos en las siguientes: •
NTC-ISO/IEC 38500 (Gobierno de las Tic): Esta norma proporciona principios de guía para los directores de las organizaciones (incluyendo, dueños, miembros de la junta, directores, socios, altos ejecutivos o similares) sobre el uso eficaz, eficiente y aceptable de la tecnología de la información (TI) en sus organizaciones. Esta norma se aplica al gobierno de los procesos de gestión (y las decisiones) relacionados con los servicios de información y comunicación utilizados por la organización. Estos procesos podrían ser controlados por los especialistas en TI de la organización, por proveedores externos del servicio o por unidades de negocios dentro de la organización. Lo que esta norma propone puede resumirse en tres propósitos fundamentales: o Asegurar que, si la norma es seguida de manera adecuada, las partes implicadas (Directivos, consultores, ingenieros, proveedores de hardware, auditores, etc.), pueden confiar en el gobierno comparativo de TIC. o Informar y orientar a los directores que controlen el uso de las TIC en sus organizaciones. o Proporcionar una base para la evaluación objetiva por parte de la alta dirección en el gobierno de las TIC.
1
Mundo Tic Nº. 1
Certificación de Buenas Prácticas TI
La norma se aplica al gobierno de los procesos de las TIC en todo tipo de organización que las utilicen, facilitando unas bases para la avaluación objetiva del gobierno de las TIC. Dentro de los beneficios de un buen gobierno de las TIC estaría la conformidad de la organización con: o Los estándares de seguridad. o Legislación de privacidad. o Legislación sobre el spam o Legislación sobre practicas comerciales o Derechos de propiedad intelectual, incluyendo acuerdos de licencia de software. o Regulación medioambiental. o Normativa de seguridad y salud laboral o Legislación sobre accesibilidad. o Estándares de responsabilidad social. También la búsqueda de un buen rendimiento de las TIC mediante: o Apropiada implementación y operación de los activos de TIC. o Clarificación de las responsabilidades y rendición de cuentas en lograr los objetivos de la organización. o Continuidad y sostenibilidad del negocio. o Alineamiento de las TIC con las necesidades del negocio. o Asignación eficiente de los recursos. o Innovación en servicios, mercados y negocios. o Buenas practicas en las relaciones con las partes interesadas. o Reducción de costes. o Materialización efectiva de los beneficios esperados de cada inversión TIC. La norma incluye 19 definiciones de términos, entre los cuales se pueden destazar los siguientes: o Gobierno corporativo de TIC: El sistema mediante el cual se dirige y controla el uso actual y futuro de las tecnologías de la información. o Gestión: El sistema de controles y procesos requeridos para lograr los objetivos estratégicos establecidos por la dirección de la organización. o Parte Interesada: Individuo, grupo u organización que puede afectar, ser afectado, o percibir que va a ser afectado, por una decisión o una actividad. o Uso de TIC: Planificación, diseño, desarrollo, despliegue, operación gestión y apropiación de TI para cumplir con las necesidades del negocio. Incluye tanto la demanda como la oferta de servicios de TIC por unidades de negocio internas, unidades especializadas de TI, proveedores externos. o Factor Humano: La comprensión de las interacciones entre personas y otros elementos de un sistema con la intención de asegurar el bienestar de las personas y el buen rendimiento del sistema. Incluye la cultura, necesidades y aspiraciones de las personas como individuos y como grupo.
2
Mundo Tic Nº. 1
Certificación de Buenas Prácticas TI
La norma define seis principios de un buen gobierno corporativo de TIC: o Responsabilidad: Todo el mundo debe comprender y aceptar sus responsabilidades en la oferta o demanda de TI. La responsabilidad sobre una acción lleva aparejada la autoridad para su realización. o Estrategia: La estrategia de negocio de la organización tiene en cuenta las capacidades actuales y futuras de las TIC. Los planes estratégicos de TIC satisfacen las necesidades actuales y previstas derivadas de la estrategia de negocio. o Adquisición: Las adquisiciones de TI se hacen por razones válidas, sobre la base de análisis apropiados y continuo, y mediante la toma de decisiones claras y transparentes. Debe existir un equilibrio adecuado entre beneficios, oportunidades, costes y riesgos, tanto a corto como a largo plazo. o Rendimiento: La TI esta dimensionada para dar soporte a la organización, proporcionando los servicios con la calidad adecuada para cumplir con las necesidades actuales y futuras. o Conformidad: La función de las TI cumple todas las legislaciones y normas aplicables. Las políticas y prácticas al respecto están claramente definidas e implementadas, y su cumplimiento viene exigido normativamente. o Factor humano: Las políticas, prácticas y decisiones en materia de TIC demuestran respeto al factor humano, incluyendo las necesidades actuales y emergentes de todas las personas involucradas. El Modelo propone: o Evaluar: Examinar y juzgar el uso actual y futuro de las TIC, incluyendo estrategias, propuestas y acuerdos de aprovisionamiento (internos y externos). o Dirigir: Dirigir la preparación y ejecución de los planes y políticas, asignando las responsabilidades al efecto. Asegurar la correcta transición de los proyectos a la producción, considerando los impactos en la operación, el negocio y la infraestructura. o Monitorizar: Mediante sistemas de medición, vigilar el rendimiento de la TIC, asegurando que se ajusta a lo planificado.
Figura 1 Modelo ISO 38500 para el gobierno de TT
3
Mundo Tic Nº. 1
•
Certificación de Buenas Prácticas TI
ITIL: Biblioteca de Infraestructura de Tecnologías de Información”.
ITIL corresponde a una metodología de gestión que propone una serie de prácticas estandarizadas que nos ayudan a mejorar la prestación de un servicio, reorganizando la manera que tiene la empresa de trabajar y en particular, la del departamento de TI. Establece unos estándares que posibilitan el control, la operación y administración de los recursos, además de reestructurar los procesos e identificar las carencias, con el fin de mejorar la eficiencia y conducir a la organización hacia la mejora continua. El ITIL engloba una serie de conceptos y herramientas de gestión de prestación de servicios, principalmente de tecnologías de la información, y las operaciones relacionadas con ellas. Esta forma de afrontar la gestión no es un manual que se ha de seguir al pie de la letra, ITIL no es rígido en cuanto en su implementación, por lo que se pueden adoptar los aspectos o funcionalidades que se adapten mejor a nuestro tipo de proyectos y permita optimizar su gestión. El ciclo de vida de ITIL se puede desglosar en las siguientes fases: o Estrategia: propone un enfoque de la gestión como una capa estratégica de la compañía, que deja de ser simplemente una burocracia de cumplimentar o acatar. o Diseño: cubre los principios y métodos necesarios para transformar los objetivos estratégicos en portafolios de servicios y activos. o Transición: se trata del proceso de transición para la implementación de nuevos servicios o de su mejora. o Operación: cubre las mejores prácticas para la gestión rutinaria. o Mejora Continua: corresponde a un procedimiento mediante el cual se crea y mantiene del valor ofrecido a los clientes a través de un diseño, transición y operación del servicio optimizado.
4
Mundo Tic Nº. 1
Certificación de Buenas Prácticas TI
Obviamente, la implantación del modelo de gestión persigue una mejora en los ciclos de gestión dentro de la compañía, algunas de las principales ventajas que se consiguen son las siguientes: o Normalmente en el ámbito de TI se genera una jerarquía concreta, se vuelve más eficaz, y se focaliza en los objetivos de la organización. o Se tiene mayor control en al proceso de gestión y se estandarizan los procedimientos. o Mayor capacidad de adaptación a los cambios. o A través de las mejores prácticas de ITIL se orienta hacia el servicio. o Se facilita la introducción de un sistema de administración de calidad o Mejor uso de los recursos y reducción de costes.
Figura 2 Estrategia de Servicios ITIL
ITIL se enfoca en velar por la disponibilidad de los servicios, por ende, sus procesos se enfocan en soportar dicha disponibilidad, para lo cual tomo como referencia la Matriz RACSI que le permite a la organización tener claro las funciones de cada uno de los integrantes del equipo, de esta manera poder soportar el catálogo de servicios en función de los procesos respectivos. ITIL está gestionado por la ITIL Certification Management Board (ICMB) que ofrece una serie de exámenes de certificación para avalar los conocimientos. El Esquema de Certificación ITIL, que actualmente se encuentra en la tercera versión, se encuentra pautado en módulos dependiendo del grado de profundidad y detalle que se quiera demostrar. Este enfoque modular permite mayor flexibilidad a la hora de escoger las disciplinas que se deben de preparar. Actualmente existen cuatro niveles de certificación:
5
Mundo Tic Nº. 1
Certificación de Buenas Prácticas TI
o o o o
Certificación ITIL Foundation Certificación ITIL Intermediate Certificación ITIL Expert Certificación ITIL Máster
Hay que tener en cuenta que ITIL está enfocado en certificar a personas en el conocimiento de los procesos.
Mapa de navegación de ITIL “El primer diseño que se llevó a cabo fue el de Visión General de ITIL (Fig. 3), donde se muestra una vista general de lo que se trata ITIL v3. Dentro de este primer diseño se muestran los conceptos generales que integran a ITIL: • •
Gestión de Servicios TI, los cuales se dividen en servicios internos o externos. Gobierno TI, indicando a ITIL sobre las buenas prácticas.
En este diseño se destacan las 5 fases del Ciclo de Vida de ITIL, así como una breve descripción de cada una de ellas y sus características generales, junto con los procesos involucrados de cada una de las fases. Dicho diseño se realizó así con la finalidad de darle al usuario una perspectiva general, básica, pero fácil de entender sobre lo que se refiere ITIL.” ( Cruz Hinojosa, 2017)
Figura 3. Mapa de Navegación de ITIL
6
Mundo Tic Nº. 1
•
Certificación de Buenas Prácticas TI
COBIT (Control Objectives for Information and related Technology) Es el estándar generalmente aceptado que brinda buenas prácticas para gestión y control de las TI. COBIT sirve a optimizar el costo de los servicios de TI y la tecnología, a través de la integración de un sistema operativo mejorado de TI. Proporcionando una visión clara de los roles y responsabilidades internas dando así a una organización una ventaja competitiva. El marco de trabajo de COBIT tiene un triple enfoque: o Enfocado al management: Puesto que provee a la Administración de una base de mejores prácticas con las cuales se pueden tomar decisiones de TI e inversión. o Enfocado a los usuarios de TI: Debido a la seguridad que les brinda para el control de objetivos y procesos o Enfocado a auditores: Debido a que permite identificar problemas de control de TI dentro de la infraestructura de TI de la compañía. COBIT está conformado por cuatro dominios, cada uno de los cuales están organizados en procesos (34 en total) que su vez se subdividen en actividades y objetivos de control: o Planificación y organización: Que está compuesta por todas las actividades que definen las estrategias y táctica de TI basado en los objetivos de negocio de la empresa. Se define además la infraestructura de TI adecuada y necesario o Adquisición e implementación: Donde se encuentran las actividades para la ejecución del plan de TI previamente definido. o Entrega y soporte: Dominio que comprende la entrega de los servicios requeridos y el establecimiento de procesos de soporte. o Monitoreo y evaluación: Donde se realizan las actividades de inspección y monitoreo de los procesos de TI. Los procesos de estos dominios de COBIT se implantan dentro de las políticas y especificaciones de requerimientos de negocio, determinados por los criterios de la información, los cuales establecen los niveles de rendimiento en cada uno de los siguientes aspectos: o Eficiencia o Eficacia
7
Mundo Tic Nº. 1
Certificación de Buenas Prácticas TI
o o o o
Confidencialidad Integridad Disponibilidad Conformidad
El Cubo COBIT
Figura 4. Cubo Cobit
Estos criterios deben ser tomados en cuanto al momento de ejecutar los procesos COBIT y al momento de monitorear los diversos recursos de TI con los que cuenta la compañía (aplicaciones, información, infraestructura y personas). Esto da un marco completo de trabajo para gestionar y controlar las TI y poder maximizar los beneficios de las TI para con la organización.
•
Modelo de Gestión IT4+ IT4+ es un modelo resultado de la experiencia, de las mejores prácticas y lecciones aprendidas durante la implementación de la estrategia de gestión TIC en los últimos diez años. Está alineado con la estrategia empresarial u organizacional y permite desarrollar una gestión de TI que genere valor estratégico para la organización y sus clientes. Agrupa la gestión en seis dominios: Estrategia TI, Gobierno TI, Información, Sistemas de Información, Servicios Tecnológicos y Uso y Apropiación.
8
Mundo Tic Nº. 1
Certificación de Buenas Prácticas TI
Con la implementación de este modelo y al disponerlo para las entidades, con un equipo de acompañamiento que apoye la adopción, MinTIC busca que la tecnología contribuya al mejoramiento de la gestión apoyando los procesos para alcanzar una mayor eficiencia y transparencia en su ejecución, para que facilite la administración y el control de los recursos y brinde información objetiva y oportuna para la toma de decisiones en todos los niveles. Con IT4+ se permite la alineación de la gestión de TI con los objetivos estratégicos de la entidad, el aumento la eficiencia de la organización y la mejora de la forma como se prestan los servicios misionales. Debido a que la gestión y las áreas de TI no son independientes del funcionamiento de la entidad, deben ser adaptables al entorno teniendo en cuenta los esquemas de administración pública, el marco legal definido para la entidad, los servicios que presta, las alianzas que se pueden establecer con otras entidades o con organizaciones privadas para lograr los fines establecidos y, finalmente, la conexión con los diferentes marcos de referencia de gestión (por ejemplo, ISO 9000 o ISO 14000). Finalmente, en términos de efectividad e innovación, es importante tener una forma de hacer las cosas bajo los principios de planear en la acción, es decir, que, aunque existen tiempos para planear, tiempos para ejecutar y tiempos para mejorar, siempre se deben dar resultados y para ello IT4+ propone que mientras se esté planeando un frente, paralelamente se esté ejecutando otro y al mismo tiempo se mejore otro, siempre teniendo claros los objetivos estratégicos que se persiguen. (Mintic , 2015) ¿Para qué Sirve? IT4+ sirve para que la tecnología contribuya al mejoramiento de la gestión apoyando los procesos para alcanzar una mayor eficiencia y transparencia en su ejecución, para que facilite la administración y el control de los recursos y brinde información objetiva y oportuna para la toma de decisiones en todos los niveles. Permite la alineación de la gestión de TI con los objetivos estratégicos de la entidad, el aumento la eficiencia de la organización y la mejora de la forma como se prestan los servicios
9
Mundo Tic Nº. 1
Certificación de Buenas Prácticas TI
Figura 5. ¿Qué es IT+4? Fuente Mintic
¿A quién va dirigido? o o o o o o
Gestores de negocio Ejecutivos Auditores Auditores Internos Consultores de TI Gerentes y directores de proyectos Miembros de equipo de proyecto
IT4+ establece una la conexión con los diferentes marcos de referencia que son ISO 9000 e ISO 14000, los cuales se definen a continuación: •
ISO 9000 La Norma ISO 9000 describe los fundamentos de los sistemas de gestión de la calidad y especifica la terminología de los sistemas de gestión de la calidad. Esta Norma Internacional describe los conceptos y los principios fundamentales de la gestión de la calidad que son universalmente aplicables a:
10
Mundo Tic Nº. 1
Certificación de Buenas Prácticas TI
o Las organizaciones que buscan el éxito sostenido por medio de la implementación de un sistema de gestión de la calidad. o Los clientes que buscan la confianza en la capacidad de una organización para proporcionar regularmente productos y servicios conformes a sus requisitos. o Las organizaciones que buscan la confianza en su cadena de suministro en que sus requisitos para los productos y servicios se cumplirán. o Las organizaciones y las partes interesadas que buscan mejorar la comunicación mediante el entendimiento común del vocabulario utilizado en la gestión de la calidad. o Las organizaciones que realizan evaluaciones de la conformidad frente a los requisitos de la Norma ISO 9001; o Los proveedores de formación, evaluación o asesoramiento en gestión de la calidad. o Quienes desarrollan normas relacionadas. (ISO, 2015) •
ISO 14000 En la actualidad a nivel mundial la norma ISO 14000 es requerida, debido a que garantiza la calidad de un producto mediante la implementación de controles exhaustivos, asegurándose de que todos los procesos que han intervenido en su fabricación operan dentro de las características previstas y bajo el complimiento de la legislación ambiental vigente. Toda empresa debe tener en cuenta esta norma pues es el punto de partida en la estrategia de la responsabilidad ambiental. La calidad de un producto no nace de controles eficientes, nace de un proceso productivo y de soportes que operan adecuadamente, en este espíritu están basadas las normas ISO, por esta razón estas normas se aplican a la empresa y no a los productos de esta. La empresa que implante las normas asegura a sus clientes que la calidad del producto que éste compra se mantendrá en el tiempo. De esta manera habrá diferenciación en el mercado, de las empresas que ya han sido certificadas y las que no, esto con el tiempo se tornará en algo habitual y se presentará la discriminación hacia empresas no certificadas, esta situación se presenta ya en países desarrollados
11
Mundo Tic Nº. 1
Certificación de Buenas Prácticas TI
en donde los departamentos de abastecimiento de grandes corporaciones exigen la norma a todos sus proveedores.
La norma ISO 14000, no es una sola norma, sino que forma parte de una familia de normas que se refieren a la gestión ambiental aplicada a la empresa, cuyo objetivo consiste en la estandarización de formas de producir y prestación de servicios que protejan al medio ambiente, aumentando la calidad del producto y como consecuencia la competitividad de este ante la demanda de productos cuyos componentes y procesos de elaboración sean realizados en un contexto donde se respete al ambiente. (Eumednet, 2014)
Las buenas prácticas, en su conjunto normativo al aplicarse a cualquier entorno empresarial debe pasar por ciertos procesos como:
Etapa de preparación
•
Etapa de Implementación
Etapa de Análisis y evaluacion
Etapa de Certificación (Si aplica)
ISO 20000 La ISO 20000-1 fue creada por la International Organization for Standardization (ISO) y es la norma utilizada para la certificación. Ha reemplazado a la norma BS 15000 y proporciona una norma internacionalmente reconocida de sistema de gestión de servicios de TI. Comprende gran parte del contenido de la BS 15000, pero el material se ha reorganizado para alinearlo y armonizarlo con otras normas internacionales.
12
Mundo Tic Nº. 1
Certificación de Buenas Prácticas TI
A norma también ha tenido en cuenta y ha utilizado otros documentos públicos incluyendo la norma ISO/IEC 20000-2 el Código de Buenas Prácticas de la gestión de servicios de TI y la ampliamente aceptada guía de la Librería de Infraestructura de TI (ITIL®, por su sigla en inglés, IT Infraestructura Library) elaborada a partir de sectores públicos y privados. La ISO 20000 utiliza un enfoque exhaustivo de la gestión de servicios de TI y define un conjunto de procesos necesarios para ofrecer un servicio efectivo. Recoge desde procesos básicos relacionados con la gestión de la configuración y la gestión del cambio hasta procesos que recogen la gestión de incidentes y problemas. La norma adopta un enfoque de proceso para el establecimiento, la implementación, operación, monitorización, revisión, mantenimiento, y mejora del sistema de gestión de servicios de TI. ¿A quiénes está dirigida? o o o o
Es aplicable a empresas Proveedores de servicios internos de TI. Proveedores externos de TI. Empresas en Telecomunicaciones, Finanzas y Sector Publico.
¿Qué beneficios trae su implementación? o Permite a las organizaciones demostrar la capacidad para gestionar los servicios de TI de forma efectiva y eficiente. o Demuestra la reducción de costos y optimización de los servicios a través de la gestión por procesos y el uso adecuado de sus recursos. o Permite la alineación estratégica entre los objetivos y metas de la organización y los servicios de TI que apoyan al negocio. o Permite tener la certeza de que sus procesos de gestión incorporan las buenas prácticas de la industria. o El contar con una certificación de carácter internacional, sirve como aval y referencia de que el sistema de gestión funciona, y por lo tanto la empresa provee servicios que soportan al éxito del negocio. Esta norma, destinada a lograr la garantía de calidad en el servicio de TI, se compone de dos partes principales. o ISO 20000-1 - una especificación formal que define los requisitos de una organización para ofrecer servicios gestionados de una calidad aceptable para los
13
Mundo Tic Nº. 1
Certificación de Buenas Prácticas TI
clientes, los cuales se utilizan como punto de referencia para evaluar su cumplimiento. o ISO 20000-2 - un Código de prácticas que describe las mejores prácticas para los procesos de gestión de servicios dentro del ámbito de aplicación de la norma ISO 20000-1. El Código de prácticas es particularmente útil para las organizaciones que se están preparando para una auditoría según la norma ISO 20000-1 o que están planeando mejoras en su servicio. •
TOGAF La Arquitectura Empresarial (AE) busca hacer más productiva y competitiva una organización a través del uso de la tecnología como herramienta de ejecución e integración de sus procesos. Pero para que la AE sea posible es necesario adelantar una serie de pasos que abarquen desde el diagnóstico hasta la guía de implementación de los nuevos sistemas de información; por esta razón existen metodologías estándar que ayudan a las organizaciones en su proceso de adopción de AE. TOGAF, de las siglas en inglés 'The Open Group Architecture Framework', es una de las metodologías más populares para desarrollar AE. "TOGAF es una herramienta para asistir en la aceptación, creación, uso, y mantenimiento de arquitecturas. Está basado en un modelo iterativo de procesos apoyado por las mejores prácticas y un conjunto reutilizable de activos arquitectónicos existentes", según lo define la 'Guía de bolsillo TOGAF V. 9.1.1'. The Open Group es la organización multilateral global que integra a más de cien entidades públicas y privadas, con el interés de "trabajar por establecer estándares y certificaciones de TI, abiertos y neutrales, para una variedad de áreas críticas para las empresas". Con el aval del Gobierno de los Estados Unidos para utilizar como punto de partida su modelo de AE, en 1995 presentó el primer marco de referencia (framework) de TOGAF. Según The Open Group, el 80% de las grandes organizaciones a nivel mundial ha adoptado TOGAF como marco de referencia para sus Arquitecturas Empresariales; así mismo, decenas de miles de personas en todo el mundo han recibido formación y certificación en el marco del programa 'Open CA'.
14
Mundo Tic Nº. 1
Certificación de Buenas Prácticas TI
¿Qué es Arquitectura para TOGAF? Uno de los conceptos clave para cualquier proceso de AE es la comprensión misma de la Arquitectura, ya que ésta determina, en parte, el enfoque desde el cual se adoptará el modelo. De acuerdo con la 'Guía de bolsillo TOGAF V. 9.1.1', la Arquitectura en TOGAF se entiende, según el contexto: Una descripción formal de un sistema o un plano detallado del sistema al nivel de sus componentes para orientar su implementación. La estructura de componentes, sus interrelaciones y los principios y guías que gobiernan su diseño y evolución a través del tiempo". Método de desarrollo de la Arquitectura TOGAF "La clave de TOGAF es el método - Método de Desarrollo de la Arquitectura (ADM por sus siglas en inglés) - para desarrollar una Arquitectura Empresarial que aborda las necesidades del negocio". El ADM de TOGAF funciona de modo iterativo, es decir, por fases que avanzan progresivamente pero que a la vez permiten la revisión y ajuste de cada una de ellas durante el proceso. (Molano, 2015)
2.
¿QUÉ ENTIDADES (NACIONALES Y/O INTERNACIONALES CERTIFICAN EN BUENAS PRÁCTICAS? Para abordar este interrogante, es importante tener en cuenta que solo algunas de las normas y lineamientos propuestos anteriormente pueden certificarse ya sea en forma empresarial o personal. A continuación, se listan las entidades nacionales e internacionales que ofrecen estos servicios a través del cumplimiento de lo expuesto por cada norma, o presentación del examen de certificación según sea el caso, además se listan algunas empresas que apoyan el proceso en alianza con las entidades que certifican: •
ISACA® (isaca.org) ayuda a los profesionales globales a liderar, adaptar y asegurar la confianza en un mundo digital en evolución ofreciendo conocimiento, estándares, relaciones, acreditación y desarrollo de carrera innovadores y de primera clase. Establecida
15
Mundo Tic Nº. 1
Certificación de Buenas Prácticas TI
en 1969, ISACA es una asociación global sin ánimo de lucro de 140 000 profesionales en 180 países. ISACA también ofrece Cybersecurity Nexus™ (CSX), un recurso integral y global en ciberseguridad, y COBIT®, un marco de negocio para gobernar la tecnología de la empresa. ISACA adicionalmente promueve el avance y certificación de habilidades y conocimientos críticos para el negocio, a través de las certificaciones globalmente respetadas: Certified Information Systems Auditor® (CISA®), Certified Information Security Manager®(CISM®), Certified in the Governance of Enterprise IT® (CGEIT®) y Certified in Risk and Information Systems Control™ (CRISC™). La asociación tiene más de 200 capítulos en todo el mundo. (ISACA , 2014) •
ITIL: o Intelligent Trainign web: https://www.itcolombia.com/itil/ Teléfono: 311-506-6903 Colombia o Soluciones Tecnológicas CCTI Web: https://ccti.com.co/index.php/itil-fundamentos Teléfono: 305-8174371 Colombia o Netec Web: https://www.netec.com/certificacion-itil Teléfono: 57-(1)-743-6677 Bogotá. o AXELOS Global Best Practice. Web: https://www.axelos.com/best-practice-solutions/itil Contacto mediante Chat o formulario. Estados Unidos o People Cert Web: https://www.peoplecert.org/browse-certifications/it-governance-andservice-management/ITIL-1 . Estados Unidos
16
Mundo Tic Nº. 1
•
Certificación de Buenas Prácticas TI
COBIT: o People Cert Web: https://www.peoplecert.org/browse-certifications/it-governance-andservice-management/COBIT5-10 Estados Unidos o APMG International Web: https://apmg-international.com/es/product/cobit-5 Teléfono: +44 (0) 1494 452 450 Reino Unido o Soluciones Tecnológicas CCTI Web: https://ccti.com.co/index.php/itil-fundamentos Teléfono: 305-8174371 Bogotá Colombia
•
ISO 20000 o BUREAU VERITAS CERTIFICATION COLOMBIA Web:http://www.bureauveritascertification.com.co/areas-deactividad/certificacion-iso-20000/
Contacto a través de formulario de contacto web Bogotá Colombia
o NYCE COLOMBIA Web: http://nycecolombia.co/isoiec-20000-1 Teléfono: 571 268 72 48 Bogotá Colombia o OCA Group Web: http://ocacert.com/certificacionISO-IEC20000.php Contacto a través de formulario de contacto Europa
17
Mundo Tic Nº. 1
Certificación de Buenas Prácticas TI
o DQS Group Web:https://www.dqs-holding.com/en/certification-services/it-andservice-management/iso-20000/ Contacto a través de formulario de contacto. Frankfurt am Main Germany •
Certificación internacional en Gobernanza de TI basada en la norma ISO/IEC 38500 o PECB Web: https://pecb.com/en/education-and-certification-for-individuals/isoiec-38500/iso-iec-38500-lead-it-governance-manager Contacto: +1-844-329-7322 o Cyborg Consultores Web: https://www.cyborg.com.do/isoiec-38500/ Contacto: 1-809-289-1801 República Dominicana
•
TOGAF o Global Knowledge Web: https://www.globalknowledge.com/es-es/certifications/certificationtraining/the-open-group/togaf España Europa o Intelligent Trainign web: https://www.itcolombia.com/togaf/ Teléfono: 311-506-6903 Colombia
18
Mundo Tic Nº. 1
3.
Certificación de Buenas Prácticas TI
¿QUÉ REQUISITOS DEBE CUMPLIR UNA EMPRESA PARA CERTIFICARSE EN BUENAS PRÁCTICAS? Para poder certificarse las empresas deben cumplir los lineamientos y requerimientos que impone cada una de las normas, es importante tener en cuenta que las organizaciones encargados del proceso de certificación en algunos casos evalúan los conocimientos mediante exámenes virtuales, en otros casos donde dicha norma propone mejora en procesos operacionales y organizaciones se realiza una verificación presencial por parte de un auditor. En general para obtener las certificaciones se realiza breve recopilación: •
Certificación ITIL: Inicialmente y antes de hablar de este certificado es muy importante tener claro lo que es ITIL. Pues él es uno de los estándares actuales de mayo uso para la gestión de servicios de la tecnología de la información. Cada día son más las empresas públicas y privadas que adoptan estas prácticas y es por ello que el certificado útil se presenta como una certificación de tanta importancia. Ahora, es muy importante entender que el esquema ITIL no presenta solo un nivel de certificación, sino que presenta 5. Cada uno de ellos presenta un enfoque en función de las distintas áreas de la TI y además presentan diferentes grados de detalle. Es esencial entender que cada uno de los niveles de certificación pertenece a un grado mayor de conocimientos. De esta forma, el nivel uno o Foundation se encuentra orientado a todos los profesionales. Por otro lado, los niveles de certificación Máster
19
Mundo Tic Nº. 1
Certificación de Buenas Prácticas TI
o Experto se dirigen es a aquellas personas que pertenecen al nivel ejecutivo, así como a gerentes medios que presentan mayores conocimientos y también mayor experiencia.
Figura 6. Niveles de certificación ITIL
Requisitos del certificado ITIL: La certificación V3 en el nivel Foundation requiere de tener 2 créditos. Esta es la certificación de entrada y se da a quienes manejan uno conocimiento básico. Para obtenerla se aconseja hacer el curso de Foundation, aunque no es una exigencia. Eso sí, se ha de realizar el examen de 40 preguntas. Para superarlo se han de tener un 65 por ciento de respuestas positivas. El nivel intermedio requiere la superación de varios módulos que proporcionan cada uno de a 3 créditos. Cada uno de estos módulos da un certificado, por ejemplo, el de Estrategia de servicio, el de Diseño de servicio o el de Mejora continua. En este caso se requiere del certificado ITIL Foundatión, realizar el curso del módulo en una institución acreditada y además se ha de hacer un examen de 8 preguntas con casos complejos que se ha de responder positivamente por lo menos en un 70% para pasar. Por otro lado, está el certificado Experto ITIL el cual se logra de manera automática luego de ganar 22 créditos en los niveles anteriores. Es una certificación que no
20
Mundo Tic Nº. 1
Certificación de Buenas Prácticas TI
requieren la realización de un examen, pero si se deben obtener 5 créditos con el módulo de Gerencia de Ciclo de Vida de Servicio, 15 con la cadena Ciclo de Vida de Servicios o Capacidad de Servicio y 2 con el primer nivel. Finalmente, para la certificación del nivel ITIL Máster se necesita primero haber logrado la certificación Experto ITIL. Así mismo, se necesita 5 años de experiencia en asesoría a nivel ejecutivo o en posiciones de liderazgo. También se debe demostrar la experiencia práctica por medio de la evaluación hecha por un colega. (Comana 10, 2016) •
COBIT En este caso, quien obtiene la certificación es aquel que presente la evaluación o examen, en la mayoría de las empresas que ofrecen la certificación sobre este marco comercial establecen un curso, el cual el participante interesado debe tomar y luego presentar el examen para así finalmente, obtener la certificación. En este entrenamiento se abordan los Principios, Catalizadores, Procesos y conceptos necesarios para la correcta adopción del buen Gobierno Corporativo de Tecnología.
•
ISO 20000 Solo las entidades de certificación acreditadas podrán evaluar a las empresas para otorgarles esta certificación, pero las personas podrán acreditarse superando exámenes. Las empresas deben, en un primer momento, completar unos documentos sobre los procesos ITSM, detallar todas las actividades y generar valor. Además, deben someterse a una auditoría interna antes de entrar en contacto con un certificador. Él será el encargado de llevar a cabo sus dos etapas: o La revisión de la documentación, para saber que se cumple con la ISO 20000.
21
Mundo Tic Nº. 1
Certificación de Buenas Prácticas TI
o Comprobar si las actividades de la empresa cumplen con la documentación aportada y, por tanto, con los requisitos especificados en la normativa. Se trata de un proceso muy estandarizado y, por consiguiente, lo más recomendable es contar con empresas de certificación, desde un primer momento, para asegurarse que los pasos son los adecuados. •
ISO 38500 Se debe tomar una capacitación denominada “Líder de Gobernanza de TI ISO/IEC 38500,” la cual permite adquirir los conocimientos para apoyar y dirigir una organización para evaluar con éxito, dirigir y controlar un modelo de gobierno de TI basado en ISO/IEC 38500. Durante este curso, también podrá obtener un amplio conocimiento de las mejores prácticas y principios fundamentales de su gobernanza y ser capaces de aplicar con eficacia en una organización con el fin de asegurar el buen gobierno de ella. Después de dominar todos los conceptos necesarios y principios básicos de gobernanza, podrán tomar el examen y solicitar una credencial de” PECB Certified ISO/IEC 38500 Lead IT Governance Manager “. Al mantener un certificado dl PECB, usted demostrará que tiene la capacidad y competencias profesionales para gobernar efectivamente el uso el uso de TI dentro de una organización
•
TOGAF En este caso, quien obtiene la certificación es aquel que presente la evaluación o examen, en la mayoría de las empresas que ofrecen la certificación sobre este marco comercial establecen un curso, el cual el participante interesado debe tomar y luego presentar el examen para así finalmente, obtener la certificación. Hay dos niveles: o TOGAF Level 1 (Foundation): Esta certificación valida que el candidato conoce la terminología y los elementos básicos de TOGAF® y comprende los principios en los que se basa la Arquitectura Empresarial.
22
Mundo Tic Nº. 1
Certificación de Buenas Prácticas TI
o TOGAF Level 2 (Certified): Esta certificación valida que el candidato puede aplicar sus conocimientos de TOGAF® en la empresa y que sabe alinearlo con las necesidades de ésta.
23
Mundo Tic Nº. 1
Certificación de Buenas Prácticas TI
Referencias Bibliográficas Cruz Hinojosa, N. J. (19 de 05 de 2017). TIC PORTAL . Obtenido de ITIL: Cómo aplicar las buenas prácticas en las PYMEs: https://www.ticportal.es/expert/itil-buenaspracticas-pymes Comana 10. (26 de Julio de 2016). Obtenido de http://www.conama10.es/conseguircertificado-itil/ Eumednet. (2014). Obtenido de grupo de investigación eumednet: http://www.eumed.net/tesisdoctorales/2010/rdce/NORMA%20TECNICA%20COLOMBIANA%20ISO%2014 000.htm ISO. (2015). Obtenido de Iso 900:2015: https://www.iso.org/obp/ui/#iso:std:iso:9000:ed-4:v1:es Mintic . (2015). Obtenido de www.mintic.gov.co/gestionti/615/w3-propertyvalue6204.html Molano, A. (20 de Febrero de 2015). Colombia Digital . Obtenido de https://colombiadigital.net/actualidad/articulos-informativos/item/8163-quees-togaf.html Sánchez, O. (14 de Marzo de 2014). Search Data Center en Español . Obtenido de https://searchdatacenter.techtarget.com/es/cronica/Mejores-practicas-de-TIMas-valor-para-el-negocio Provider: ProQuest Ebook Central. Modelo para el gobierno de las tic basado en las normas iso. (2012). Retrieved from https://ebookcentral.proquest.com
24
Mundo Tic Nº. 1
Certificación de Buenas Prácticas TI
NTC-ISO-IEC 38500
ITIL
COBIT
Modelo de Gestión IT4+
ISO 20000
TOGAF
REVISTA
MUNDO TIC Edición N.1
Realizado por: Ing. Anderson Pechene T.
¡GRACIAS!
UMB VIRTUAL Mayo 2018