pierre sergei zuppa azúa prácticas de dirección y gestión de servicios de ti

Pierre Sergei Zuppa Azúa

Prácticas de dirección y gestión de servicios de TI

Administración de servicios de TI


Keywords



Es una serie de metodologías, sistemas, herramientas y técnicas aplicadas y probadas con resultados sobresalientes en empresas que han sido reconocidas como de clase mundial.

Mejores prácticas



¿Qué es ITIL?

ITIL (por sus siglas en inglés: Information Technology Infrastructure Library) es una colección de documentos públicos, que basados en procesos y en un marco de mejores prácticas de la industria, permite la Gestión de Servicios de TI con calidad y a un costo adecuado.



¿Cuáles son las características de ITIL?

• Es un framework de procesos de TI no propietario.

• Es independiente de los proveedores.• Es independiente de la tecnología.• Está basado en "Best Practices".• Provee:

– Una terminología estándar.– Las interdependencias entre los procesos.– Los lineamientos para la implementación.– Los lineamientos para la definición de

roles y responsabilidades de los procesos– Las bases para comparar la situación de

la empresa frente a las “mejores prácticas”.



¿Cuáles son los beneficios de ITIL?

• Maximiza la calidad del servicio apoyando al negocio de forma expresa. Ofrece una visión clara de la capacidad del área de las IT.

• Aumenta la satisfacción en el trabajo mediante una mayor comprensión de las expectativas y capacidades del servicio.

• Minimiza el ciclo de cambios y mejora los resultados de los procesos y proyectos de IT.

• Facilita la toma de decisiones de acuerdo con indicadores de IT y de negocio.



¿Qué es SEIS SIGMA?

Es una metodología de mejora de procesos, centrada en la reducción de la variabilidad de los mismos, consiguiendo reducir o eliminar los defectos o fallos en la entrega de un producto o servicio al cliente. La meta de Seis Sigma es llegar a un máximo de 3,4 defectos por millón de eventos u oportunidades (DPMO), entendiéndose como defecto cualquier evento en que un producto o servicio no logra cumplir los requisitos del cliente.



¿Cuáles son los proceso de Seis Sigma?

• Definir: que consiste en concretar el objetivo del problema o defecto y validarlo, a la vez que se definen los participantes del programa.

• Medir: que consiste en entender el funcionamiento actual del problema o defecto.

• Analizar: que pretende averiguar las causas reales del problema o defecto.

• Mejorar: que permite determinar las mejoras procurando minimizar la inversión a realizar.

• Controlar: que se basa en tomar medidas con el fin de garantizar la continuidad de la mejora y valorarla en términos económicos y de satisfacción del cliente.



¿Qué es COBIT?

COBIT (Control Objectives for Information and related Technology) desarrollada por la Information Systems Audit and Control Association (ISACA) y el IT Governance Institute (ITGI).

Es una metodología aceptada mundialmente para el adecuado control de proyectos de tecnología, los flujos de información y los riesgos que éstas implican.



¿Para qué usar la metodología COBIT?

Para planear, implementar, controlar y evaluar el gobierno sobre TIC, incorporando objetivos de control, directivas de auditoría, medidas de rendimiento y resultados, factores críticos de éxito y modelos de madurez.

Permite a las empresas aumentar su valor TIC y reducir los riesgos asociados a proyectos tecnológicos.

Contribuye a reducir las brechas existentes entre los objetivos de negocio y los beneficios, riesgos, necesidades de control y aspectos técnicos propios de un proyecto TIC, proporcionando un Marco Referencial Lógico para su dirección efectiva.



Diferencian entre COBIT e ITIL

Cobit• Enfocado para auditorías.• Tiene más herramientas para que el

directivo sepa qué debe controlar dentro de la organización.

• Es marco de referencia de gobierno de TI.

• Cuando queremos evaluar, formular, definir y justificar, auditar.

• Es más completo y sistemático, además define qué debemos controlar.

ITIL

• Enfocado por la dirección de TI.• Se orienta a las funciones de la

organización TI.• Puede implementar gobierno de TI.• Cuando se necesitan más detalles,

o cuando necesito la autoridad de justificar lo que sugiero.

• Define cómo debemos hacerlo.



¿Qué es CMMI?

CMMI (Capability Maturity Model Integration) es un modelo de referencia para la mejora de los procesos asociados con el desarrollo y mantenimiento de productos y servicios de desarrollo de software.

Es una guía integrada de lineamientos para el desarrollo de productos y procesos, enfocándose en las mejores prácticas de desarrollo, para generar productos de calidad y servicios que los acompañan, de tal manera que se cumplan con las necesidades y las expectativas de los clientes.


Prácticas de dirección y gestión de servicios de TI Características de la madurez

Nivel inicial (ML1)• Proceso se improvisa.• Dependencia en individuos.• Riesgo elevado al negocio.

Nivel de proceso Gestionado (ML2)• Gestión de proyectos.• Mecanismos de control.• Puede haber silos.• Procesos de ingeniería no necesariamente acordados.

Nivel Definido (ML3)• Proceso estándar compartido.• Guías de adaptación adecuadas.• Procesos de ingeniería concordados.

Alta Madurez (ML4 y ML5)• Entendimiento exacto del rendimiento del proceso.• Gestión cuantitativa de proyectos.• Mejora continua de calidad y rendimiento.



ISO/IEC 27002

Anteriormente denominada ISO 20000, es un estándar para la seguridad de la información.



Esquema para la ISO27002: 2013• Introducción• Alcance• Referencias de la norma• Términos y definiciones • Estructura de esta norma• Políticas de Seguridad de la Información• Organización de la Seguridad de la Información• Seguridad de los Recursos Humanos• Gestión de activos• Control de Acceso• Criptografía• Seguridad física y ambiental•

Procedimientos y responsabilidades. Operación y Seguridad. Protección contra el malware, copia de seguridad y vigilancia, control de software operacional, gestión de vulnerabilidades técnicas y sistemas de información de coordinación de auditoría.



Esquema para la ISO27002: 2013• Seguridad de la comunicación - gestión de la

seguridad de red y la transferencia de información. • Sistema de adquisición, desarrollo y mantenimiento -

requisitos de seguridad de sistemas de información, seguridad en los procesos de desarrollo, de apoyo y los datos de prueba.

• Relaciones con los proveedores - seguridad de la información en las relaciones con proveedores y gestión de la prestación de servicios de proveedores.

• Información de gestión de incidentes de seguridad - gestión de incidentes de seguridad de la información y mejoras.

• Los aspectos de seguridad de información de gestión de la continuidad del negocio - información continuidad, seguridad y despidos.

• Cumplimiento - cumplimiento de los requisitos legales y contractuales, además de las revisiones de seguridad de información.



Implementación en el control de acceso I

• Los usuarios de los sistemas corporativos de TI, redes, aplicaciones e información deben ser identificados y autenticados individualmente.

• El acceso del usuario a la empresa, los sistemas de TI, redes, aplicaciones y la información, debe ser controlada de acuerdo con los requisitos de acceso especificados por los propietarios de activos de información relevante, según el rol del usuario.

• IDs genéricos o de prueba no deben ser creadas o habilitadas en los sistemas de producción a menos que sea específicamente autorizado por el propietario de activos de información relevante.

• Después de un número predefinido de intentos de inicio de sesión fallidos, las entradas del registro de seguridad y (en su caso) las alertas de seguridad deben ser generadas y las cuentas de usuario deben estar bloqueadas como se requiere por los propietarios de activos de información relevante.

• Las contraseñas o frases de paso, deben ser largas y complejas, consiste en una mezcla de letras, números y caracteres especiales que serían difíciles de adivinar.

• Las contraseñas o frases de paso no deben ser escritos o almacenados en un formato legible.



Implementación en el control de acceso II• Información de autenticación, tales como

contraseñas, registros de seguridad, configuraciones de seguridad y así sucesivamente, debe ser asegurada adecuadamente contra intentos no autorizados o inapropiados de acceso, modificación, alteración o pérdidas.

• Derechos de acceso privilegiados suelen ser necesarios para administrar, configurar, administrar, proteger y supervisar los sistemas de TI, deben ser revisados periódicamente (por lo menos dos veces al año) por la Seguridad de la Información y cotejadas por los directores de los departamentos correspondientes.

• Los usuarios deben: cerrar la sesión o proteger la contraseña, para bloquear sus sesiones antes de dejarlas sin vigilancia.

• Protectores de pantalla protegidos por una contraseña con una espera de inactividad de no más de 10 minutos deben estar habilitadas en todos los puestos de trabajo/ordenadores.

• El acceso de escritura a dispositivos extraíbles (memorias USB, CD / grabadoras de DVD, etc.) debe ser desactivada en todos los escritorios, salvo autorización específica por motivos comerciales legítimos.



Frase

"En el camino de tu vida, no es tan importante la distancia a que has llegado,

sino la dirección que llevas."

pierre sergei zuppa azúa prácticas de dirección y gestión de servicios de ti

Documents