1. Universidad Centroamericana
Facultad de Ciencia, Tecnología y Ambiente
Ingeniería en Sistemas y Tecnologías de la Información
Concentración de Redes y Comunicaciones
Asignatura: Seguridad de Sistemas y Redes
Estándar de
Seguridad
ITIL
Autores:
Espinoza Flores, Eduardo José
Gutiérrez Pérez, Yahoska Melissa
Hernández Hernández, Ingrid Gabriela
Lorío Cabezas, Diana Massiel
Mendoza López, Marco Mendoza
Docente:
Msc. Carlos Antonio Leal Saballos
Managua, 02 de julio de 2013
2. i
Contenido
1. Introducción ...................................................................................................... 1
2. Evolución Histórica de la norma ....................................................................... 2
2.1. Evolución....................................................................................................... 2
3. Estructura de la Norma..................................................................................... 4
3.1. Organización – Clientes – Usuarios ........................................................... 5
3.2. Service Desk .............................................................................................. 5
3.3. Knowledge Base (KB) ................................................................................ 5
3.4. Gestión de incidentes................................................................................. 6
3.5. Gestión de problemas ................................................................................ 6
3.6. Gestión de cambios.................................................................................... 6
3.7. Gestión de versiones.................................................................................. 7
3.8. Gestión de configuraciones........................................................................ 7
4. Entorno de aplicación ....................................................................................... 8
5. Como certificarse.............................................................................................. 9
6. Conclusiones .................................................................................................. 11
7. Bibliografía...................................................................................................... 12
3. Estándar de Seguridad
Seguridad de Sistemas y Redes Página 1
1. Introducción
La Biblioteca de Infraestructura de Tecnologías de la Información (ITIL por sus
siglas en inglés) se ha convertido en el estándar mundial en la Gestión de
Servicios Informáticos. Iniciado como una guía para el gobierno de Gran Bretaña,
la estructura base ha demostrado ser útil para las organizaciones en todos los
sectores a través de su adopción por innumerables compañías como base para
consulta, educación y soporte de herramientas de software. Hoy, ITIL es conocido
y utilizado mundialmente. Pertenece a la OGC (Office of Government Commerce),
pero es de libre utilización.
En este informe se presenta la evolución histórica de la norma como tal a fin de
comprender como esta se ha ido desarrollando en función del tiempo, asimismo
para una mayor comprensión se detalla la estructura interna de la norma, es decir
se especifica que estandariza y como lo hace. También se especifica en que
ámbito la norma es aplicable, a fin de lograr un mayor detalle de su alcance.
Por otro lado y un detalla más contextual en ámbito nacional se presentan el
método para poder lograr una certificación de ITIL en Nicaragua; además se
presenta qué tipo de certificaciones ofrece. De esta manera presentamos ante
ustedes el estándar de seguridad ITIL.
4. Estándar de Seguridad
Seguridad de Sistemas y Redes Página 2
2. Evolución Histórica de la norma
ITIL® nace de una iniciativa de la Oficina Gubernamental de Comercio Británica
(OGC), con el objetivo de ordenar la gestión de servicios TI intentando:
Reducir costos
Mejorar la relación con los proveedores
Se desarrolla en el Reino Unido durante los años 80, pero no fue ampliamente
adoptada hasta la década de los 90, con la intención de promover una práctica
correcta de la Gestión de los Servicios TI.
Desde los orígenes, ITIL® ha ido evolucionando:
Optimizando información en cuanto a manuales
Cambiando el enfoque en cuanto al cliente.
Añadiendo VALOR en cuanto al servicio, desde su versión V.1 hasta la
versión V.3
2.1. Evolución
ITIL®
Hace foco en la estabilidad y control de la infraestructura.
El departamento de TI son técnicos expertos, y estos se preocupan de
minimizar las interrupciones del negocio.
ITIL® V2
Hace foco en la calidad y eficiencia de los procesos de TI. Ti es ahora un
proveedor de servicios, que está separado del negocio, y depende del
presupuesto para su control.
5. Estándar de Seguridad
Seguridad de Sistemas y Redes Página 3
El 26 de junio de 2007 se presenta la tercera versión de este código de
buenas prácticas. ITIL 3 eleva las TI a un nivel estratégico. Sólo las
organizaciones que hayan madurado en experiencia con la versión anterior
serán capaces de afrontar la nueva. Para organizaciones de pequeño y
mediano tamaño la versión 3, más compleja, no es tan apropiada.
ITIL® 2011
Hace foco en la integración y alineamiento de TI y el Negocio. Se basa en
la Gestión de Servicios para el Negocio y la Tecnología. (IP Informática,
2012)
6. Estándar de Seguridad
Seguridad de Sistemas y Redes Página 4
3. Estructura de la Norma
ITIL parte de 2 grande áreas de proceso de administración que son soporte al
servicio de TI y provisión del servicio de TI, todo en caminado a brindar una buena
gestión de servicios mediante las tareas de:
Soporte al servicio: El soporte al servicio se preocupa de todos los
aspectos que garanticen la continuidad, disponibilidad y calidad del servicio
prestado al usuario.
Provisión del Servicio se ocupa de los servicios ofrecidos en sí mismos.
En particular de los Niveles de servicio, su disponibilidad, su continuidad, su
viabilidad financiera, la capacidad necesaria de la infraestructura TI y los
niveles de seguridad requeridos. El siguiente diagrama muestra los
principales aspectos según los estándares ITIL:
Esquema 1: Estructura de la norma ITIL
7. Estándar de Seguridad
Seguridad de Sistemas y Redes Página 5
3.1. Organización – Clientes – Usuarios
Clientes: Son los encargados de controlar los servicios TI y a los que hay que
rendir cuentas respecto a los acuerdos de nivel de servicio.
Usuarios: Son aquellos que utilizan los servicios TI para llevar a cabo sus
actividades.
Organización: La propia organización TI debe considerarse como otro
cliente/usuarios más de los servicios TI.
3.2. Service Desk
Debe representar el centro neurálgico de todos los procesos de soporte al servicio:
Registrando y monitorizando incidentes.
Aplicando soluciones temporales a errores conocidos en colaboración con
la Gestión de problemas.
Colaborando con la gestión de configuraciones para asegurar la
actualización de la CMDB. (configuration management database)
Gestionando cambios solicitados vía peticiones de servicio en colaboración
con la gestión de cambios y versiones.
3.3. Knowledge Base (KB)
La base de conocimiento debe recoger toda la información necesaria para:
Ofrecer una primera línea de soporte ágil y eficaz sin necesidad de recurrir
a escalados.
Realizar una tarea comercial y de soporte al negocio.
8. Estándar de Seguridad
Seguridad de Sistemas y Redes Página 6
3.4. Gestión de incidentes
Tiene como objetivo resolver cualquier incidente que cause una interrupción en el
servicio de la manera más rápida y eficaz posible.
La gestión de incidentes no debe confundirse con la gestión de problemas, pues a
diferencia de esta última, no se preocupa de encontrar y analizar causas
subyacentes a un determinado incidente sino exclusivamente a restaurar el
servicio.
3.5. Gestión de problemas
Sus funciones principales son:
Investigar las causas subyacentes a toda alteración, real o potencial, del
servicio TI.
Determinar posibles soluciones.
Proponer las peticiones de cambio (RFC, Requests for Comments).
Realizar revisiones post implementación (PIR) en colaboración con la
gestión de cambios.
3.6. Gestión de cambios
Sus principales funciones son:
Evaluar el impacto de los posibles cambios sobre la infraestructura TI.
Tramitar los cambios mediante procesos y procedimiento estandarizados y
consistentes.
Revisar, junto a la gestión de problemas y los usuarios los resultados post-
implementación.
9. Estándar de Seguridad
Seguridad de Sistemas y Redes Página 7
3.7. Gestión de versiones
Entre sus funciones se encuentran:
Implementar los cambios.
Llevar a cabo reparaciones de emergencia
Desarrollar planes de roll-out (lanzamiento de nuevas versiones) y back-out
(recuperación de versiones antiguas)
3.8. Gestión de configuraciones
Sus principales funciones pueden resumirse en:
Llevar el control de todos los elementos de configuración de la
infraestructura TI
Realizar auditorías periódicas de la configuración.
Proporcionar información precisa sobre la configuración TI a todos los
diferentes procesos de gestión. (osiatis.es, 2009)
10. Estándar de Seguridad
Seguridad de Sistemas y Redes Página 8
4. Entorno de aplicación
El 26 de junio de 2007 se presenta la tercera versión de este código de buenas
prácticas. ITIL 3 eleva las TI a un nivel estratégico. Sólo las organizaciones que
hayan madurado en experiencia con la versión anterior serán capaces de afrontar
la nueva. Para organizaciones de pequeño y mediano tamaño la versión 3, más
compleja, no es tan apropiada.
En este año se editó una nueva versión de ITIL, totalmente revisada y mejorada:
"ITIL Versión 3 (ITIL V3)". ITIL V3 recoge las experiencias de las versiones
anteriores y se centra al mismo tiempo en apoyar el negocio base de las empresas
e intentar que las mismas puedan conseguir a largo plazo ventajas sobre la
competencia mejorando la labor de la organización de TI.
11. Estándar de Seguridad
Seguridad de Sistemas y Redes Página 9
5. Como certificarse
Los particulares pueden conseguir varias certificaciones oficiales ITIL. Los
estándares de calificación ITIL son gestionados por la ITIL Certification
Management Board (ICMB) que agrupa a la OGC, a itSMF International y a los
dos Institutos Examinadores existentes: EXIN (con sede en los Países Bajos) e
ISEB (con sede en el Reino Unido).
Existen tres niveles de certificación ITIL para profesionales:
1. Foundation Certificate (Certificado Básico): acredita un conocimiento básico
de ITIL en gestión de servicios de tecnologías de la información y la
comprensión de la terminología propia de ITIL. Está destinado a aquellas
personas que deseen conocer las buenas prácticas especificadas en ITIL.
2. Practitioner's Certificate (Certificado de Responsable): destinado a quienes
tienen responsabilidad en el diseño de procesos de administración de
departamentos de tecnologías de la información y en la planificación de las
actividades asociadas a los procesos.
3. Manager's Certificate (Certificado de Director): garantiza que quien lo posee
dispone de profundos conocimientos en todas las materias relacionadas
con la administración de departamentos de tecnologías de la información, y
lo habilita para dirigir la implantación de soluciones basadas en ITIL.
No es posible certificar una organización o sistema de gestión como «conforme a
ITIL», pero una organización que haya implementado las guías de ITIL sobre
Gestión de los Servicios de TI puede lograr certificarse bajo la ISO/IEC 20000.
La versión 3 de ITIL, que apareció en junio de 2007, cambió ligeramente el
esquema de Certificaciones, existiendo certificaciones puentes, se definen 3
niveles:
1. Basic Level (Equivalente a ITIL Foundation en v2)
12. Estándar de Seguridad
Seguridad de Sistemas y Redes Página
10
2. Management and Capability Level (Equivalente a los niveles Practitioner y
Manager en ITIL v2)
3. Advanced Level (nuevo en v3)
13. Estándar de Seguridad
Seguridad de Sistemas y Redes Página
11
6. Conclusiones
Durante los años pasados, ITIL se convirtió en norma estándar de facto para la
gestión de Servicios de TI. Los responsables de TI fueron tomando consciencia de
la importancia de la Gestión de Servicios de TI y desarrollaron una terminología
conjunta para tal. Esta es una condición imprescindible también en situaciones en
las que el servicio de la infraestructura de TI tiene que ser externalizado, ya que
mediante ITIL se pueden definir en estos casos las relaciones necesarias entre
clientes y proveedores. La filosofía de ITIL se ha expandido desde entonces
también a otros modelos de la Gestión de Servicios de TI.
14. Estándar de Seguridad
Seguridad de Sistemas y Redes Página
12
7. Bibliografía
IP Informática. (29 de Febrero de 2012). Recuperado el 29 de Junio de 2013, de
http://ipinformatica.com/joomla-overview.html
osiatis.es. (13 de 08 de 2009). osiatis.es. Recuperado el 29 de 06 de 2013, de osiatis.es:
http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/fundamentos_de_la_gestion_TI/que_
es_ITIL/soporte_al_servicio.php
15. Estándar de Seguridad
Seguridad de Sistemas y Redes Página
13
Anexos
Figura 1: Evolución Histórica de ITIL
Figura 2: Estructura de ITIL
16. Estándar de Seguridad
Seguridad de Sistemas y Redes Página
14
Figura 3: Certificación en Nicaragua
Figura 4: Certificación ITIL