CASO DE EXITO EN LA CERTIFICACION ISO 20000-

1:2011 E ISO 27001:2013 EN LA UPTC UNA UNIVERSIDAD

PUBLICA COLOMBIANA

Diana Rocio Plata Arango1,a

aUniversidad Pedagógica y Tecnológica de Colombia, Coordinadora Grupo Organización y Sistemas. Km1. Av. Central del Norte. Tunja – Boyacá, Colombia.

diana.plata@uptc.edu.co

Resumen. Lograr realizar gestión en las áreas de TI de las organizaciones, requiere cada vez más mayores retos para los difrectores de TI, ya que actualmente la dependencia de dar soluciones desde el área de TI, hacia las otras áreas de las organizaciones es mayor al 90%, y por supuesto en las Universidades no hay excepción, cada vez es más común que los procesos académicos, de investigación y administrativos, estén respaldados por soluciones de TI, para lo cual es importante que el departamento o la dirección de sistemas en las Universidades, mejore su gestión y logre estar alineado con la alta dirección, para desarrollar de manera adecuada las soluciones propuestas y que permitan que TI mantenga un presupuesto adecuado a los retos actuales. Por eso como una

posibilidad de mejorar la gestión del área de TI y comenzar el camino hacia un Gobierno de TI, este documento presenta un caso de Implementación con alcance a la certificación, de las normas ISO 20000 e ISO 27001, en el Grupo Organización y Sistemas (área de Tecnología), en la Universidad Pedagógica y Tecnológica de Colombia, UPTC, donde se resaltan las estrategias que se siguieron para lograr la certificación en enero de 2015.

Palabras Clave: Gestión de Servicios de TI, Buenas prácticas, ISO 9000, ISO 20000, ISO 27000, Mejora Continua, Seguridad de la Información.

1 Introducción

El hecho de asumir la implementación con fines de certificación, para dos estándares de gestión para las áreas de TI fue un reto y más para una Universidad y de carácter

público, ya que en Latinoamérica somos hoy la primera Universidad en contar con estas

certificaciones, por eso es importante en este espacio , contar cual fue el camino recorrido

para lograr la certificación y que retos esperan ahora para TI en la Universidad

Pedagógica y Tecnológica de Colombia.

1 Ingeniera de Sistemas, Especialista en Gerencia de Proyectos Informáticos, Magistra en Ciencias

Computacionales, Auditor ISO 9001, EXIN .Fundamentos IT Service Management de acuerdo ISO 20000,

Auditor ISO 20000-1:2011, Auditor ISO 27001:2005. CEH. Fundamentos de ITIL

Este Documento presenta en la primera parte de que se tratan las dos normas, luego

presenta el modelo seguido para la implementación, junto con los mapas de procesos

obtenidos para cada una de las normas, los indicadores generales y los cambios derivados

en el área de TI a partir de la auditoria de certificación.

2 ACERCA DE LAS NORMAS CERTIFICADAS.

2.1. ISO 20000-1:2011.

Es un estándar para la Gestión de servicios, La norma ISO 20000 se centra en la

integración y aplicación de los procesos coordinados de gestión de servicios. Su objetivo

es proporcionar un control continuo, una mayor eficiencia y oportunidades para seguir mejorando. Eso significa trabajar dentro de la organización para alinear el personal y los

procedimientos de su servicio al cliente, servicios de apoyo, prestación de servicios y

equipo de operaciones.2

Esta norma, destinada a lograr la garantía de calidad en el servicio de TI, se compone

de dos partes principales.

ISO 20000-1 - una especificación formal que define los requisitos de una

organización para ofrecer servicios gestionados de una calidad aceptable para los

clientes, los cuales se utilizan como punto de referencia para evaluar su

cumplimiento.

ISO 20000-2 - un Código de prácticas que describe las mejores prácticas para los

procesos de gestión de servicios dentro del ámbito de aplicación de la norma ISO

20000-1. El Código de prácticas es particularmente útil para las organizaciones

que se están preparando para una auditoría según la norma ISO 20000-1 o que

están planeando mejoras en su servicio.

La certificación ISO 20000 demuestra la fiabilidad y calidad de sus servicios de TI a los

empleados, accionistas y clientes., Además que cumple con los “Requerimientos

2 http://www.sgs.co/es-ES/Health-Safety/Quality-Health-Safety-and-Environment/Risk-

Assessment-and-Management/Security-Management/ISO-20000-IT-Certification.aspx

necesarios para realizar una entrega de servicios de TI alineados con las necesidades y

objetivos del negocio, con calidad y valor añadido para los clientes”3

Un beneficio adicional, además de la satisfacción de los usuarios es lograr el cambio de

percepción en que las áreas de Tecnología son sólo costos, pues con la adopción de

buenas prácticas bajo los estándares internacionales se puede evidenciar, como los

departamentos de tecnología le agregan valor a la organización y permiten que sean más

eficientes en el uso planificado y controlado de los recursos requeridos, ventajas que se pueden obtener con ISO 20000.

La Organización Internacional de Estandarización (ISO), a través de las normas recogidas

en ISO / IEC 20000, establece una implementación efectiva y un planteamiento

estructurado para desarrollar servicios de tecnología de la información fiables en lo

referente a la gestión de servicios de TI.4

La certificación permite demostrar de manera independiente que los servicios ofrecidos

cumplen con las mejores prácticas.

La Norma ISO 20000 consta de:

13 procesos definidos.

Un proceso de planificación e implementación de servicios

Requisitos de un sistema de gestión.

Ciclo de mejora continua (PDCA).

En la Figura 1, se observa la Organización de un Sistema De Gestión de Servicios TI.

3 https://www.aenor.es/AENOR/certificacion/calidad/calidad_serviciosti_20000.asp#.VSsp0_mG85k 4 http://www.normas-iso.com/iso-20000

Fig. 1. Organización de un SGSTI Sistema de Gestión de Servicios de Tecnologías de la

Información. Fuente. http://www.normas-iso.com/iso-20000

De acuerdo con AENOR5, los beneficios que obtiene una empresa al certificarse con

ISO 20000-1, son los siguientes:

Alinear los servicios de TI a las necesidades de negocio.

Proporcionar una adecuada gestión de la calidad del servicio de TI ofrecido.

Maximizar la calidad y eficiencia del servicio de TI.

Reducir los riesgos asociados a los servicios de TI.

Reducir costes y generar negocio.

Aumentar la satisfacción del cliente.

Visión clara de la capacidad de los departamentos de TI.

5 https://www.aenor.es/AENOR/certificacion/calidad/calidad_serviciosti_20000.asp#.VSsp0_mG85k

Minimizar el tiempo del ciclo de incidentes y cambios, y mejorar resultados

en base a métricas.

Toma de decisiones en base a indicadores de negocio y TI.

Aportar un valor añadido de confianza, mejorando su imagen de cara a otras

empresas convirtiéndose en un factor de distinción frente a la competencia.

2.2. ISO 27001.

ISO 27001 es una norma internacional emitida por la Organización Internacional de

Normalización (ISO) y describe cómo gestionar la seguridad de la información en una

empresa. La revisión más reciente de esta norma fue publicada en 2013 y ahora su nombre

completo es ISO/IEC 27001:2013. La primera revisión se publicó en 2005 y fue

desarrollada en base a la norma británica BS 7799-2.

ISO 27001 puede ser implementada en cualquier tipo de organización, con o sin fines

de lucro, privada o pública, pequeña o grande. Está redactada por los mejores especialistas

del mundo en el tema y proporciona una metodología para implementar la gestión de la

seguridad de la información en una organización. También permite que una empresa sea

certificada; esto significa que una entidad de certificación independiente confirma que la seguridad de la información ha sido implementada en esa organización en cumplimiento

con la norma ISO 27001.6

El eje central de ISO 27001 es proteger la confidencialidad, integridad y disponibilidad

de la información en una empresa. Esto lo hace investigando cuáles son los potenciales

problemas que podrían afectar la información (es decir, la evaluación de riesgos) y luego

definiendo lo que es necesario hacer para evitar que estos problemas se produzcan (es

decir, mitigación o tratamiento del riesgo).

Igualmente con la implementación de ISO 27001 se logra asegurar la confidencialidad,

disponibilidad e Integridad de la Información, y esto representa enormes beneficios tanto

para la organización como para los usuarios finales, ya que se puede lograr disminuir

incidentes de seguridad de la información que en la actualidad son tan comunes, como los fraudes a través de correo electrónico y redes sociales, y se debe brindar información a los

usuarios para que conozcan y asuman el reto que la responsabilidad de la seguridad de la

Información es tarea de todos.

La estructura de la norma se observa en la Figura 2.

6 http://www.iso27001standard.com/es/que-es-iso-27001/

Fig. 2. Estructura del estándar ISO/IEC 27001:2013. Fuente:

http://www.magazcitum.com.mx/?p=2397

Un Sistema de Gestión de Seguridad de la Información SGSI, es el diseño, implantación y

mantenimiento de un conjunto de procesos para gestionar eficientemente la accesibilidad

de la información, buscando asegurar la confidencialidad, integridad y disponibilidad de

los activos de información minimizando a la vez los riesgos de seguridad de la

información. Como todo proceso de gestión, un SGSI debe seguir siendo eficiente durante

un largo tiempo adaptándose a los cambios internos de la organización así como los

externos del entorno.7

Los beneficios que una organización obtiene con la implementación de un SGSI, son:

Un análisis de riesgos, identificando amenazas, vulnerabilidades e impactos en

la actividad empresarial.

Una mejora continua en la gestión de la seguridad.

Una garantía de continuidad y disponibilidad del negocio.

Reducción de los costos vinculados a los incidentes.

El incremento de los niveles de confianza de clientes y partners.

El aumento del valor comercial y mejora de la imagen de la organización.

Voluntad de cumplir con la legislación vigente de protección de datos de

carácter personal, servicios de la sociedad y la información, comercio

electrónico, propiedad intelectual y en general, aquella relacionada con la

seguridad de la información.

3. Modelo de Implementación Propuesto.

La primera estrategia para lograr éxito en el desarrollo de estos proyectos es contar con el

apoyo de la alta dirección, para este caso en el 2011, se incluyó el Proyecto “Adopción de

buenas prácticas bajo los estándares ISO 20000 e ISO 27001” dentro del Plan de

Desarrollo de la Universidad Pedagógica y Tecnológica de Colombia; esto garantiza que

se cuenta no solo con el aval de la alta dirección sino con recursos para llevar a cabo las

actividades requeridas para lograr en 2014 la certificación con estas normas.

Esto se convirtió en un reto, ya que no se conocer Universidades Certificadas con ISO

20000 en Colombia y en ISO 27001 se han adoptado las buenas prácticas pero no todas

tienen la certificación en el estándar, la Universidad Pedagógica y Tecnológica de

Colombia, es una Universidad Pública de carácter estatal, que actualmente tiene 27000

estudiantes, 1600 profesores, y 1100 funcionarios y Una sede Central Ubicada en Tunja y

3 sedes seccionales ubicadas en Duitama, Sogamoso y Chiquinquirá en el Departamento

de Boyacá. Además de 25 CREADS en diferentes lugares del País. Esto deja ver que es

una de las Universidades grandes del País y actualmente la primera en estar certificada en

el área de TI en las dos normas mencionadas anteriormente.

El modelo propuesto para la Implementación de los procesos se observa en la Figura 3, el cual se trabajo en los dos últimos años para generar los diferentes procesos requeridos.

7 http://isc2capitulocolombia.org/portal/images/documents/ISO_27001-

2013_ISC2_Colombia_Chapter.pdf

Fig. 3. Fases para la implementación de servicios con las normas ISO 2000 e ISO 27000,

luego del Análisis GAP. Fuente Autor.

En la fase inicial o fase 0, se realizó un diagnóstico con respecto a las normas

planteadas en este documento. Se contrató con empresas de consultoría expertas en

implementación de las normas para adelantar este proceso, así se logró establecer cual es

el estado de la Universidad frente a la norma y evitar esfuerzos en procesos,

procedimientos y/o elementos ya existentes. Como resultado de este proceso se identificó

las fortalezas y debilidades frente a lo requerido en cada norma y de las dos se pudo

establecer la ventaja de tener organizada ya la Universidad en el trabajo por procesos de acuerdo con la certificación de ISO 9000, y NTCGP:1000, con lo cual se contaba con los

procesos comunes requeridos por la norma.

En la fase 1, se revisó los procesos comunes requeridos por las normas, como son

Control de Documentos, Control de registros, Auditorías Internas y Revisión por la

Dirección, donde se requerían ajustes pequeños pues ya estaban creados de ISO 9001.

Además se identificó que otros procesos hacen parte del Sistema requerido por cada

norma, los cuales se reflejan en las figuras de mapa de procesos, presentadas más

adelante.

Fase 0. • Diagnóstico Inicial. Revisión del Sistema. Identificación de Procesos Comunes

Fase 1.

• Verificar procesos comunes exigidos por las normas, Control de Documentos, Control de Registros, Auditorias Internas, revisión por la Dirección

Fase 2.

• .ISO 27001: Gestión de Activos y Gestión de Riesgos.

• ISO 20000: Gestión de la Configuración, Gestión de Incidentes, Gestión de Problemas.

Fase 3.

• ISO 27001: Gestión de la Cultura y Gestión de Cumplimiento.

• ISO 20000: Gestión de Cambios, Gestión de la Capacidad, Gestión de nivel del servicio, Presentación de Informes.

Fase 4

• ISO 27001: Gestión de la Arquitectura, Gestión de la continuidad y Gestión de Vulnerabilidad..

• ISO 20000: Gestión de versiones y entrega, Gestión de la Continuidad y Disponibilidad del Servicio, Presupuesto y contabilidad de los Servicios de TI, Gestión de las Relaciones del Negocio y Gestión de Proveedores Externos.

En una segunda fase, gestión de activos y gestión de Riesgos desde ISO 27001 y en

conjunto la gestión de incidentes con ISO 20000, además los procesos de Gestión de la

Configuración, gestión de incidentes y gestión de problemas.

En la tercera fase se trabajaron los procesos de Gestión de la Cultura y Gestión de

Cumplimiento desde ISO 27001 y los procesos de Gestión de cambios, Gestión de la

Capacidad, Gestión de Nivel del Servicio y presentación de Informes en lo que tiene que

ver con ISO 20000

En la cuarta y última fase la gestión de la continuidad, Gestión de Arquitectura y Gestión de Vulnerabilidad desde ISO 27001 y los procesos gestión de la continuidad y

disponibilidad del servicio, Presupuesto y Contabilidad de los servicios de TI, Gestión de

las Relaciones del Negocio y Gestión de Proveedores externos desde ISO 20000.

Este modelo, permitió llevar un hilo conductor de como ir avanzando en la

implementación de los procedimientos, sin embargo a la par era necesario ir reforzando

las estrategias para lograr realizar no solo la implementación sino también la certificación,

Anteriormente se dijo que la primera estrategia fue de contar con el apoyo de la alta

dirección, luego de esto es importante asegurar recursos para capacitar al personal de TI

en los fundamentos de las normas y en auditoría a las mismas, así mismo se deben

disponer recursos para la contratación de las empresas consultoras o expertos que

colaboren en el proceso. La Siguiente estrategia es definir el alcance de las normas, es decir a que servicios o

procesos se va a dar cobertura con la aplicación de las normas.

En la Universidad se eligió El proceso Gestión de Recursos Informáticos para el

alcance de las normas que hace parte de los procesos administrativos dentro del Sistema

de calidad. Este proceso es el que contempla las actividades realizadas actualmente en el

Grupo Organización y Sistemas que tiene definidas 4 áreas de trabajo:

1. Desarrollo y administración de los sistemas de Información,

2. Redes y Telecomunicaciones

3. Soporte a Usuarios en Hardware y Software.

4. Administración de aulas de Informática para préstamo a Docentes y

estudiantes. El objetivo del proceso es: “Gestionar La Infraestructura Informática Y De

Telecomunicaciones, Que Permita La Prestación De Servicios cumpliendo con las políticas de

Seguridad de la Información Para La Satisfacción De Necesidades De Los Clientes” [3] y en este

objetivo se refleja la incorporación de Seguridad y de servicios requeridos por ISO 20000

e ISO 27001.

El proceso contaba inicialmente con cuatro (4) procedimientos que integraban el

quehacer básico del Grupo Organización y Sistemas dentro de la Universidad Pedagógica y

tecnológica de Colombia, y con la implementación de las normas han pasado a ser ahora

veintiséis (26) que se observan en la tabla1, los procedimientos iniciales son los cuatro que

se presentan a continuación, con lo cual se observa la relación con las áreas de trabajo presentadas anteriormente

Procedimiento para la Incorporación de Sistemas de Información.: Este

procedimiento busca identificar y satisfacer las necesidades específicas de los

sistemas de información requeridos por los procesos del Sistema Integrado de

Gestión de la Universidad Pedagógica y Tecnológica de Colombia, lo cual

implica conceptuar para compra, desarrollo y/o implantación de sistema de

información

Soporte y Administración de Recursos Informáticos: Este procedimiento

busca cubrir las necesidades de todos los procesos del Sistema Integrado de Gestión de la Calidad relacionados con la prestación de servicios que

garanticen la funcionalidad básica del hardware y software

Seguridad de la Información: Este procedimiento permite salvaguardar y

proteger la información almacenada por los sistemas de información de la

Universidad, los cuales gestionan las operaciones transaccionales de la

Institución

Administración de Aulas de Informática: Velar por el correcto

funcionamiento de la infraestructura informática de las Aulas y coordinar la

prestación del servicio según disponibilidad, teniendo en cuenta el número de

clientes, recursos de software y hardware

No. NOMBRE DOCUMENTO

1 PROCEDIMIENTO PARA LA INCORPORACION DE SISTEMAS DE INFORMACION

2 SOPORTE Y ADMINISTRACION DE RECURSOS INFORMATICOS

3 COPIAS DE SEGURIDAD DE LA INFORMACION

4 ADMINISTRACION AULAS DE INFORMATICA

5 PROCEDIMIENTO GESTION DE LA DISPONIBILIDAD

6 GESTION DE LA CONFIGURACION

7 PROCEDIMIENTO PARA LA GESTION DE INCIDENTES

8 PROCEDIMIENTO PARA LA GESTION DE PROBLEMAS

9

PROCEDIMIENTO INVENTARIO Y CLASIFICACION DE ACTIVOS DE

INFORMACION

10 PROCEDIMIENTO PARA LA GESTION DE CAMBIOS

11 PROCEDIMIENTO GESTION DEL RIESGO DE SEGURIDAD DE LA INFORMACION

12 PROCEDIMIENTO GESTION DE LA CAPACIDAD

13 PROCEDIMIENTO GESTION DE NIVEL DEL SERVICIO

14 GESTION DE SERVICIOS NUEVOS Y MODIFICADOS

15 GESTION DE INFORMES

16 GESTION DE LA CONTINUIDAD

17 GESTION DE SEGURIDAD DE LA INFORMACION

18 MEJORA CONTINUA SGS

19 GESTION DE IDENTIDAD Y ACCESO

20 CONTACTO CON LAS AUTORIDADES

21 GESTION DE MEDIOS REMOVIBLES

22 ELIMINACION SEGURA DE INFORMACION

23 RECOLECCION DE EVIDENCIAS

24 TRABAJO EN AREAS SEGURAS

25 ETIQUETADO Y MANEJO DE LA INFORMACION

26 INGRESO SEGURO A APLICACIONES.

Tabla 1.. Procedimientos que hacen parte del Proceso Gestión de Recursos Informáticos.

En la Tabla 1 se encuentran todos los procedimientos que desde el área de TI son

requeridos por las normas ISO 20000 e ISO 27001, cada procedimiento cumple con un

objetivo específico para lograr cumplir el objetivo general, del proceso y ayuda al

cumplimiento de lo requerido por las normas.

En cumplimiento de la norma ISO 20000-1, se generó el sistema de Gestión de

Servicios SGS y el mapa de procesos, se observa en la figura4, donde se evidencian los

procesos que lo integran y cuáles son las entradas y salidas del sistema.

Fig.4. Mapa de Procesos del Sistema de Gestión de Servicios SGS. Fuente: El autor.

Los procedimientos que administra el proceso Gestión de Recursos Informáticos se

observan en la Tabla 2 y son:

PROCEDIMIENTO GESTION DE LA DISPONIBILIDAD

GESTION DE LA CONFIGURACION

PROCEDIMIENTO PARA LA GESTION DE INCIDENTES

PROCEDIMIENTO PARA LA GESTION DE PROBLEMAS

PROCEDIMIENTO PARA LA GESTION DE CAMBIOS

PROCEDIMIENTO GESTION DE LA CAPACIDAD

PROCEDIMIENTO GESTION DE NIVEL DEL SERVICIO

GESTION DE SERVICIOS NUEVOS Y MODIFICADOS

GESTION DE INFORMES

GESTION DE LA CONTINUIDAD

GESTION DE SEGURIDAD DE LA INFORMACION

MEJORA CONTINUA SGS

GESTION DE ENTREGAS Y DESPLIEGUES

Tabla 2. Procedimientos de TI requeridos por ISO 20000-1:2011. Fuente: El autor.

Respecto a la norma ISO 27001:2013, La visión general del sistema de Gestión de

seguridad de la Información SGSI, se observa en el siguiente mapa de procesos reflejado

en la figura 5, donde se detalla también el ciclo PHVA (Planear, Hacer, Verificar y Actuar).

Fig 5. Mapa de Procesos del SGSI. Fuente: El autor.

Los procedimientos que el área de TI, administra para dar cumplimiento a lo requerido

por la norma se observan en la Tabla 3 y son:

COPIAS DE SEGURIDAD DE LA INFORMACION

PROCEDIMIENTO PARA LA GESTION DE INCIDENTES

PROCEDIMIENTO INVENTARIO Y CLASIFICACION DE ACTIVOS DE INFORMACION

PROCEDIMIENTO PARA LA GESTION DE CAMBIOS

PROCEDIMIENTO GESTION DEL RIESGO DE SEGURIDAD DE LA INFORMACION

GESTION DE LA CONTINUIDAD

GESTION DE ENTREGAS Y DESPLIEGUES

GESTION DE IDENTIDAD Y ACCESO

CONTACTO CON LAS AUTORIDADES

GESTION DE MEDIOS REMOVIBLES

ELIMINACION SEGURA DE INFORMACION

RECOLECCION DE EVIDENCIA

TRABAJO EN AREAS SEGURAS

PROCEDIMIENTO PARA EL ETIQUETADO Y MANEJO DE LA INFORMACION

INGRESO SEGURO A APLICACIONES

Tabla 3. Procedimientos administrados por TI para dar cumplimiento a ISO

27001:2013. Fuente: El Autor

Además de implementar procedimientos, para el cumplimiento de ISO 20000 se

estableció el catálogo de servicios del área y con ellos se definió el alcance para la

certificación:

1. Desarrollo de aplicaciones. 2. Asistencia Técnica.

3. Aulas de Informática.

4. Infraestructura de Red y comunicaciones.

5. Gestión de la seguridad informática.

Y para cada uno de ellos se generó el respectivo acuerdo de nivel de servicio.

3. 1. Políticas Implementadas.

Además del trabajo realizado para lograr los procesos, procedimientos y acuerdos de

niveles de servicios, la implementación de estas normas requiere un grupo de políticas

adicionales a las generales que respaldan los sistemas de gestión, a continuación se

presenta la lista de políticas requeridas e implementadas.

Políticas generales de Seguridad de la Información y del Sistema de Gestión de

Servicios

Capacidad

Configuración

Disponibilidad

Continuidad

Entrega

Ley de Protección de Datos Personales

Terceros

Propiedad de la Información

Clasificación de activos de Información

Uso de Recursos informáticos

Relacionadas con el personal: Ingreso, confidencialidad, aceptación,

desvinculación.

Relacionadas con la seguridad Fisica: Condiciones eléctricas y ambientales,

control de acceso a áreas de TI, control de acceso a instalaciones de la

Universidad.

Asignación de responsabilidades operativas.

Control de cambios

Protección software malicioso

Almacenamiento y respaldo

Uso de comunicaciones

Acceso a Internet

Uso de periféricos

Auditorías a la plataforma tecnológica

Cuentas de usuario

Contraseñas.

Acceso a sistemas operativos

Redes de datos y sistemas de información.

Cifrado de información.

Desarrollo y soporte

Administración de vulnerabilidades

Contingencia

Propiedad intelectual

Privacidad de la Información

Pirateria.

Con la generación de estas políticas, se da cumplimiento a la mayoría de los dominios requeridos por la norma ISO 27001.

3.2. Hitos En El Proceso De Implementación Para El Área De TI.

Si bien es cierto que se llevó a cabo el proceso de implementación teniendo en cuenta el

modelo propuesto y las estrategias detectadas para lograr la certificación, se identifican

actualmente algunos momentos considerados como Hitos, ya que marcaron un cambio importante en el área de TI.

1. Capacitar al personal de TI. Se buscó capacitación certificada en Fundamentos

de la norma ISO 20000 y la norma ISO 27001 para todos. No todos pasaron los

cursos, fue necesario repetir durante los tres años los fundamentos de las normas

para generar conciencia y motivación, y aún hoy es necesario, para dejar ver que

no es una moda sino un cambio en la manera de hacer.

2. Identificar capacidad y disponibilidad de TI, para prestar los servicios.

Implica no hablar solamente de un inventario de elementos de TI, sino identificar como están asociados a recursos humanos y financieros y que disponibilidad

presentan para atender los servicios.

3. Pasar de atender solicitudes de soporte a atender incidencias o peticiones a

través de la Mesa de Ayuda. Tener en cuenta los acuerdos de niveles de

servicio, registrar y clasificar de acuerdo al servicio. Atender las incidencias

considerando los tiempos establecidos.

4. Identificar incidentes de seguridad y registrarlos. Aprender a identificar y

clasificar los incidentes de seguridad y llevar el debido registro.

5. Solicitar Auditorías Externas para gestión de Vulnerabilidades. Considerar

que se pueden tener vulnerabilidades y abrir el espacio para que un tercero entre

a verificar las condiciones de acceso a equipos y sistemas de información, cuando antes se consideraba que todo estaba bien.

6. Preparar la Gestión de Continuidad. Pensar en cómo iniciar a tener un plan de

recuperación de desastres como una primera estrategia de garantizar continuidad,

cuando no se tenía ninguna opción y revisando presupuesto.

7. Identificación de activos de información y Valoración de Riesgos de

Seguridad de la Información. Comenzar a identificar activos de información

no solo como equipos, sino considerar las personas y los documentos con un

valor especial y los riesgos a los que puede estar expuesto por la información que

puede manejar.

8. Medir, definir indicadores para cada norma. La medición es un factor

importante para evidenciar el cumplimiento del ciclo PHVA, pero identificar que

medir y cómo medir es una tarea compleja al iniciar. 9. Auditorías Internas y Externas. Es necesario que se contraten con consultores

externos o empresas expertas, dado que no hay personal suficiente con

conocimiento en las dos normas al interior de la organización.

10. Cultura de Seguridad de la Información. Dar a conocer que la Seguridad es

responsabilidad de todos es una tarea que involucra mantener diferentes

estrategias involucrar de manera especial a la oficina de comunicaciones.

3.3. Indicadores Propuestos.

Otro tema importante para completar la implementación de las normas es lo relacionado

con los indicadores ya que medir es uno de los puntos importantes para cumplir con el

ciclo de Planear, hacer, verificar y actuar, en las siguientes figuras observamos algunos de

los indicadores planteados en los sistemas, junto con los resultados obtenidos a diciembre

de 2014 y su comparación con diciembre de 2015 luego de un año de operación. En la Figura 6, se observan los indicadores del Sistema de Gestión de Servicios SGS con ISO

20000 y en la Figura 7 los indicadores de ISO 27001, del Sistema de Gestión de

Seguridad de la Información.

Fig. 6. Indicadores del SGS. Fuente: El Autor.

NUMERO NOMBRE DEL INDICADOR DATO 1 DATO 2

VALOR DEL

INDICADOR.

31/12/2014 DATO 1 DATO 2

VALOR DEL

INDICADOR.

31/03/2015

NUS NTUE NUS NTUE

1389 1442 759 825

ME MP ME MP

691 691 0 0

EA EP EA EP

7 7 0 0

NIA NIR NIA NIR

1043 1221 96 133

NPA NPR NPA NPR

1357 1504 860 1031

72,2

83,4

30,8

92,0

14,4

17,0

96,3

1

Cumplimiento de los acuerdos de nivel de servicio * Se revisa

información de Dashboard de Sistema Mesa de ayuda y se

genera % de cumplimiento de SLAs por categoria.

Meta: 80%. Frecuencia Trimestral.

2

Satisfacción de usuarios.

Meta: mantener 80%. Frecuencia Semestral medidas

trimestral.

3

Planes de mantenimiento de equipos y actualización de

tecnología.

Meta: 90% Frecuencia: Semestral

100,0

5

Oportunidad atención de incidencias ** Tiempo Medio de

atención de Incidencias de acuerdo con informe de Sistema

Mesa de Ayuda.

Meta: 90%. Frecuencia: Trimestral

21,0

4 100,0

7 Número de peticiones atendidas 90,2

6 Número de incidentes atendidos 85,4

Actualización de tecnología.

Meta: 90% Frecuencia: Semestral

Aquí se observa que el indicador 1 relacionado con el cumplimiento en los acuerdos de

Nivel de servicio no se ha cumplido, pues como se veía en los hitos pasar a atender

incidencias de acuerdo con los tiempos establecidos es un tema que cuesta dentro de la

cultura, sin embargo se observa cómo ha evolucionado la medición hacia el primer

semestre de 2015, ya que se pasó de 17% en diciembre a 30% en marzo, la meta es llegar

al cumplimiento del 80%.

El segundo indicador relacionado con la satisfacción de los usuarios muestra en diciembre el resultado final del año en un 96, 3% y en el primer trimestre va en 92% la meta esta en

mantenerlo en 80%

El indicador 3, relacionado con el mantenimiento aún no se ha medido porque la

frecuencia es semestral; el indicador 4, está relacionado con la actualización tecnológica

que se mide anualmente.

El indicador 5, está relacionado con la oportunidad en la atención de las incidencias, lo

cual se cruza con el primer indicador, se busca que el tiempo este cada vez mas cerca a los

ANS, y allí se observa que los tiempos han venido bajando, deben llegar cercanos a 8.

Los indicadores 6 y 7 relacionados con atención de incidencias y peticiones dejan ver que el Sistema de Gestión de Servicios, está teniendo una buena dinámica ya que el número de

incidencias ha disminuido y el de peticiones ha aumentado, lo que refleja que se han

solucionado las fallas en la tecnología y se incrementa el uso de la mesa de ayuda.

Fig. 7. Indicadores del SGSI. Fuente El Autor.

NUMERO NOMBRE DEL INDICADOR DATO 1 DATO 2

VALOR DEL

INDICADOR

31/12/2014. DATO 1 DATO 2

VALOR DEL

INDICADOR.

31/03/2015

TEI TEP TEI TEP

4 4 3 4

NNC NTCN * NNC NTCN *

35 36 3 7

NIS NIR NIS NIR

277 678 2 2

NPI NPP NPI NPP

1420 16

75,0

42,9

100,0

4 Efectividad del plan de Tratamiento de Riesgos 88,8

2 Verificación del Mejoramiento del SGSI 97,2

3 Tratamiento de Incidentes de Seguridad de la Información 40,9

1Estrategias de Divulgación del Sistema de Gestión de

Seguridad de la Información100,0

Respecto a los indicadores de Seguridad de la Información, el primero esta asociado a

las estrategias para la divulgación del sistema para 2014 se fijaron cuatro (4) en

conjunto con la oficina de comunicaciones, que ayudaron a que las personas

conocieran en que va el proceso de implementación del sistema, divulgación en radio,

en la página web, entrevista para el programa de TV, y correo electrónico.

El segundo indicador es el cumplimiento con el plan de mejoramiento de las no

conformidades detectadas en temas de seguridad de la información, lo cual evidencia mejora continua.

El tercero relacionado con tratamiento de los incidentes de seguridad, en 2014 se

empezaron a registrar y se encontraron más de 600 de los cuales solo 277 se

resolvieron oportunamente, los otros se resolvieron pero no rápidamente tomo más

tiempo la solución.

El cuarto el cumplimiento a los proyectos derivados del Plan de Tratamiento de

Riesgos, que deben estar asociados a los proyectos del plan de acción anual.

Referencias

1. Departamento de Informática es Considerado un Gasto. Fuente Setesca. 29/03/2011. http://www.diarioti.com/gate/n.php?id=29358.

2. INSTITUTO COLOMBIANO DE NORMA TECNICAS Y DE CERTIFICACION. Norma Técnica de Calidad en la Gestión Pública NCTGP 1000:2009. P 1.

3. OSIATIS. Formación ITIL, Fundamentos de la Gestión de Servicios de TI. http://www.osiatis.es/formacion/Formacion_ITIL_web_version2.pdf.

4. INSTITUTO COLOMBIANO DE NORMA TECNICAS Y DE CERTIFICACION. Norma Técnica Colombiana. NTC-ISO/IEC 20000-1. P 3.

5. INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y DE CERTIFICACIÓN. Norma Técnica Colombiana Sistemas de Gestión de la Seguridad de la Información. NTC-ISO/IEC 27001. P 2.

6. INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y DE CERTIFICACIÓN. Norma Técnica Colombiana Sistemas de Gestión de la Seguridad de la Información. NTC-ISO/IEC 27001. P 5.

7. INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y DE CERTIFICACIÓN. Norma Técnica Colombiana Sistemas de Gestión de la Seguridad de la Información. NTC-ISO/IEC 27001. P 3.

8. SGS Colombia, ISO 20000 Certificación de TI. Consultado marzo de 2015. http://www.sgs.co/es-ES/Health-Safety/Quality-Health-Safety-and-Environment/Risk-Assessment-and-Management/Security-Management/ISO-20000-IT-Certification.aspx

9. AENOR. Certificación ISO 20000 del Sistema de Gestión de Servicios de

Tecnologías de la Información. Marzo de 2015 https://www.aenor.es/AENOR/certificacion/calidad/calidad_serviciosti_20000.asp#.VSsp0_mG85k

10. Normas ISO. ISO 20000. Calidad de los Servicios de TI. http://www.normas-iso.com/iso-20000

11. HALABY, William. ISO 27001:2013 Todo lo que usted necesita saber acerca de los

nuevos cambios. Consultado en Marzo de 2015 en

http://isc2capitulocolombia.org/portal/images/documents/ISO_27001-2013_ISC2_Colombia_Chapter.pdf