# Objetivos de control para la información y tecnologías relacionadas Objetivos de Control para las Tecnologías de la Información y Relacionadas (COBIT, en inglés: Control Objectives for Information and related Technology) es una guía de mejores prácticas presentada como framework, dirigida al control y supervisión de tecnología de la información (TI). Mantenida por ISACA (en inglés: Information Systems Audit and Control Association) y el IT GI (en inglés: IT Governance Institute), tiene una serie de recursos que pueden servir de modelo de referencia para la gestión de TI, incluyendo un resumen ejecutivo, un framework, objetivos de control, mapas de auditoría, herramientas para su implementación y principalmente, una guía de técnicas de gestión. ## Principios COBIT? 1. Satisfacer las necesidades de las partes interesadas 2. Cubrir la organización de forma integral 3. Aplicar un solo marco integrado 4. Habilitar un enfoque holístico 5. Separar el Gobierno de la Gestión ### COBIT 2019 Versión del 2019 complementaria a COBIT 5 busca ayudar en la gestión empresarial a través de información y tecnologías independientemente del lugar de origen. ISACA, publica COBIT 2019, una actualización que agrega factores de diseño y áreas de enfoque para hacerlo más práctico y personalizable. COBIT 2019 a los 25 años de desarrollo ha sembrado el proceso de comprensión, diseño e implementación de la gobernanza empresarial de TI (EGIT). COBIT 2019. Lo nuevo de COBIT 2019 * Introducen nuevos conceptos y se explica la terminología: el modelo central de COBIT y sus 40 objetivos de gobernanza y gestión proporcionan la plataforma para establecer su programa de gobernanza * El sistema de gestión del rendimiento se actualiza y permite la flexibilidad de utilizar mediciones de madurez y mediciones de capacidad. * Las introducciones a los factores de diseño y las áreas de enfoque ofrecen orientación práctica adicional sobre la adopción flexible de COBIT 2019, ya sea para proyectos específicos o implementación completa **COBIT es un marco para el gobierno y la gestión de la información y la tecnología de la empresa, dirigido a toda la empresa.** TI empresarial significa toda la tecnología y el procesamiento de información que la empresa implementa para lograr sus objetivos, independientemente de dónde ocurra esto en la empresa. En otras palabras, la TI empresarial no se limita al departamento de TI de una organización, sino que ciertamente lo incluye. ## Misión La misión de COBIT es "investigar, desarrollar, publicar y promocionar un conjunto de objetivos de control generalmente aceptados para las tecnologías de la información que sean autorizados (dados por alguien con autoridad), actualizados, e internacionales para el uso del día a día de los gestores de negocios (también directivos) y auditores". Gestores, auditores, y usuarios se benefician del desarrollo de COBIT porque les ayuda a entender sus Sistemas de Información (o tecnologías de la información) y decidir el nivel de seguridad y control que es necesario para proteger los activos de sus compañías mediante el desarrollo de un modelo de administración de las tecnologías de la información. # Information Technology Infrastructure Library La Biblioteca de Infraestructura de Tecnologías de Información (o ITIL, por sus siglas en inglés) es un conjunto de conceptos y buenas prácticas usadas para la [gestión de servicios de tecnologías de la información](https://es.wikipedia.org/wiki/Gesti%C3%B3n_de_servicios_de_tecnolog%C3%ADas_de_la_informaci%C3%B3n "Gestión de servicios de tecnologías de la información"), el desarrollo de [tecnologías de la información](https://es.wikipedia.org/wiki/Tecnolog%C3%ADas_de_la_informaci%C3%B3n "Tecnologías de la información") y las operaciones relacionadas con la misma en general. ITIL da descripciones detalladas de un extenso conjunto de procedimientos de gestión ideados para ayudar a las organizaciones a lograr calidad y eficiencia en las operaciones de TI. Estos procedimientos son independientes del proveedor y han sido desarrollados para servir como guía que abarque toda infraestructura, desarrollo y operaciones de TI. ### Historia ITIL se considera a menudo junto con otros marcos de trabajo de mejores prácticas como la *[Information Services Procurement Library](https://es.wikipedia.org/w/index.php?title=Information_Services_Procurement_Library&action=edit&redlink=1 "Information Services Procurement Library (aún no redactado)")* (ISPL, ‘Biblioteca de adquisición de servicios de información’), la *[Application Services Library](https://es.wikipedia.org/w/index.php?title=Application_Services_Library&action=edit&redlink=1 "Application Services Library (aún no redactado)")* (ASL, ‘Biblioteca de servicios de aplicativos’), el [método de desarrollo de sistemas dinámicos](https://es.wikipedia.org/wiki/M%C3%A9todo_de_desarrollo_de_sistemas_din%C3%A1micos "Método de desarrollo de sistemas dinámicos") (DSDM, *Dynamic Systems Development Method*), el [Modelo de Capacidad y Madurez](https://es.wikipedia.org/wiki/Modelo_de_Capacidad_y_Madurez "Modelo de Capacidad y Madurez") (CMM/CMMI) y a menudo se relaciona con la [gobernanza de tecnologías de la información](https://es.wikipedia.org/wiki/Gobernanza_de_TI "Gobernanza de TI") mediante [COBIT](https://es.wikipedia.org/wiki/COBIT "COBIT") (*Control OBjectives for Information and related Technology*). ITIL se construye en torno a una vista basada en proceso-modelo del control y gestión de las operaciones a menudo atribuida a [W. Edwards Deming](https://es.wikipedia.org/wiki/W._Edwards_Deming "W. Edwards Deming"). Las recomendaciones de ITIL fueron desarrolladas en los años 1980 por la [Central Computer and Telecommunications Agency](https://es.wikipedia.org/w/index.php?title=Central_Computer_and_Telecommunications_Agency&action=edit&redlink=1 "Central Computer and Telecommunications Agency (aún no redactado)") (CCTA) del gobierno británico como respuesta a la creciente dependencia de las tecnologías de la información y al reconocimiento de que sin prácticas estándar, los contratos de las agencias estatales y del sector privado creaban independientemente sus propias prácticas de gestión de TI y duplicaban esfuerzos dentro de sus proyectos TIC, lo que resultaba en errores comunes y mayores costes. ## Críticas a ITIL ITIL ha recibido críticas de varios frentes. Entre ellas: * El hecho de que muchos defensores de ITIL parecen creer que es un marco [holístico](https://es.wikipedia.org/wiki/Holismo "Holismo") y completo para el gobierno de TI. * Su tendencia a convertirla en una religión. Hay mucha confusión sobre ITIL, procedente de todo tipo de malentendidos sobre su naturaleza. ITIL, como afirma la OGC, es un conjunto de buenas prácticas. ## Visión general de la Biblioteca de Infraestructura de TI versión 2 (ITIL v2) La biblioteca de infraestructura de TI (ITIL) toma este nombre por tener su origen en un conjunto de libros, cada uno dedicado a una práctica específica dentro de la gestión de TI. Tras la publicación inicial de estos libros, su número creció rápidamente (dentro la versión 1) hasta unos 30 libros. Para hacer a ITIL más accesible (y menos costosa) a aquellos que deseen explorarla, uno de los objetivos del proyecto de actualización ITIL versión 2 fue agrupar los libros según unos conjuntos lógicos destinados a tratar los procesos de administración que cada uno cubre. De esta forma, diversos aspectos de los sistemas de TIC, de las aplicaciones y del servicio se presentan en conjuntos temáticos. Actualmente existe la nueva versión ITIL v3 que fue publicada en mayo de 2007. Aunque el tema de Gestión de Servicios (Soporte de Servicio y Provisión de Servicio) es el más ampliamente difundido e implementado, el conjunto de mejores prácticas ITIL provee un conjunto completo de prácticas que abarca no solo los procesos y requerimientos técnicos y operacionales, sino que se relaciona con la gestión estratégica, la gestión de operaciones y la gestión financiera de una organización moderna. Los ocho libros de ITIL y sus temas son: Gestión de Servicios de TI, 1. Mejores prácticas para la Provisión de Servicio 2. Mejores prácticas para el Soporte de Servicio Otras guías operativas 3. Gestión de la infraestructura de TI 4. Gestión de la seguridad 5. Perspectiva de negocio 6. Gestión de aplicaciones 7. Gestión de activos de *software* Para asistir en la implementación de prácticas ITIL, se publicó un libro adicional con guías de implementación (principalmente de la Gestión de Servicios): 8\. Planeando implementar la Gestión de Servicios Adicional a los ocho libros originales, más recientemente se añadió una guía con recomendaciones para departamentos de TIC más pequeños: 9\. Implementación de ITIL a pequeña escala ### Soporte de Servicio El libro de Soporte de Servicio ( Service Support , ITIL V2 ) se ocupa de asegurar que el Usuario tenga acceso a los servicios apropiados que soporten las funciones de negocio. Los temas que se tratan en el libro incluye los siguientes Procesos: Gestión del Incidente. Gestión del Problema. Gestión de Configuración. Gestión del Cambio. Gestión de la Entrega. Centro de Servicio al Usuario ( Función). ### Provisión de Servicio El libro de Provisión de Servicio analiza qué servicio requiere el negocio del proveedor (entendiendo como proveedor la organización interna o externa que provee el servicio de TI), para ofrecer un soporte adecuado a los Usuarios y/o Clientes de negocio. El libro cubre los siguientes temas: Gestión del Nivel de Servicio Gestión Financiera de Servicios TI Gestión de la Capacidad Gestión de la Continuidad del Servicio de TI Gestión de la Disponibilidad ## Ciclo de Vida del Servicio ITIL:undefined: Foundation estructura la gestión de los servicios TI sobre el concepto de Ciclo de Vida de los Servicios. Este enfoque tiene como objetivo ofrecer una visión global de la vida de un servicio desde su diseño hasta su eventual abandono sin por ello ignorar los detalles de todos los procesos y funciones involucrados en la eficiente prestación del mismo. En ITIL v3 reestructura el manejo de los temas para consolidar el modelo de "Ciclo de Vida del Servicio" separando y ampliando algunos subprocesos hasta convertirlos en procesos especializados. Esta modificación responde a un enfoque empresarial para grandes corporaciones que utilizan ampliamente ITIL en sus operaciones y aspira a consolidar el modelo para conseguir aún mejores resultados. Es por ello que los especialistas recomiendan que empresas emergentes o medianas no utilicen ITIL v3 si no cuentan con un modelo ITIL consolidado y aspiran a una expansión a muy largo plazo. El Ciclo de Vida del Servicio consta de cinco fases también llamadas disciplinas, correspondientes a los nuevos libros de ITIL:undefined:: 1\. Estrategia del Servicio 2\. Diseño del Servicio 3\. Transición del Servicio 4\. Operación del Servicio 5\. Mejora Continua del Servicio [](https://commons.wikimedia.org/wiki/File:Fases_ciclo_vida_itil.jpg) Fases de ITIL v3 ### Estrategia del Servicio Se enfoca en el estudio de mercado y posibilidades mediante la búsqueda de servicios innovadores que satisfagan al cliente tomando en cuenta la real factibilidad de su puesta en marcha. Así mismo se analizan posibles mejoras para servicios ya existentes. Se verifican los contratos con base en las nuevas ofertas de proveedores antiguos y posibles nuevos proveedores, lo que incluye la renovación o revocación de los contratos vigentes. #### Procesos 1. Gestión Financiera 2. Gestión del Portafolio 3. Gestión de la Demanda 4. Gestión de Relaciones con el Negocio #### Cambios en la versión 2011 Los conceptos dentro de la publicación se han aclarado, sin necesidad de cambiar el mensaje general. La publicación actualizada incluye una orientación más práctica y con más ejemplos. * Financial Management for IT services (Gestión Financiera de TI) La gestión financiera de TI ha ampliado para incluir algunos de los elementos clave de la ITIL publicaciones anteriores que habían sido excluidos en la edición 2007 de la Estrategia del Servicio – tales como contabilidad, elaboración de presupuestos y de cargos. * Business Relationship Management (Gestión de Relaciones del Negocio) Este es un nuevo proceso que se asemeja al existente en la ISO 20.000. Se hace una diferenciación para los distintos proveedores de servicio: tipo I, II y III . Se brinda una explicación diferente para cada tipo de proveedor. * Governance (Gobierno) Ahora hay más detalles sobre el concepto de Gobierno, incluida una definición más completa de su significado, la diferencia entre el gobierno y gestión, un marco de gobierno, y cómo la gestión del servicio se relaciona con el gobierno. * Cloud Computing (Computación en la nube) Se ha incluido en qué forma la gestión de servicios se ve afectada por la aparición de la computación en la nube. Se agregó un nuevo apéndice que cubre específicamente la estrategia de servicio y la nube: características, tipos, tipos de servicio, y los componentes de la arquitectura de nube. ### Diseño del Servicio Una vez identificado un posible servicio el siguiente paso consiste en analizar su viabilidad. Para ello se toman factores tales como infraestructura disponible, capacitación del personal y se planifican aspectos como seguridad y prevención ante desastres. Para la puesta en marcha se toman en consideración la reasignación de cargos (contratación, despidos, ascensos, jubilaciones, etc), la infraestructura y software a implementar. #### Procesos 1. Gestión del Catálogo de Servicios 2. Gestión de Niveles de Servicios 3. Gestión de la Disponibilidad 4. Gestión de la Capacidad 5. Gestión de la Continuidad de los Servicios de TI 6. Gestión de Proveedores 7. Gestión de la Seguridad de Información 8. Coordinación del Diseño (nuevo en la versión 2011) #### Cambios en la versión 2011 Las principales modificaciones del libro de ITIL V3 Diseño del Servicio en su versión 2011 incluye: un cambio a los denominados 5 aspectos del diseño y primordialmente la inclusión de un nuevo proceso de Coordinación del Diseño. De esta manera esta fase incluye ahora 8 procesos, en lugar de 7. ##### Nuevo Proceso ITIL V3 2011: Coordinación del Diseño (Design Coordination Process) Se adicionó este proceso para hacer más claro el flujo de actividades en el ciclo de vida del diseño. El propósito del proceso de Coordinación del Diseño es garantizar que las metas y los objetivos de la etapa de diseño del servicio se cumplan, entregando y manteniendo un punto único de coordinación y control de todas las actividades y procesos dentro de esta etapa del ciclo de vida de servicio. Las salidas del proceso de coordinación del diseño son potencialmente: * Diseño de servicios integrado y consistente a través del SDP (paquete de diseño del servicio) * Revisión de la arquitectura empresarial * Revisión del sistema de gestión * Revisión de las métricas y métodos de medición * Revisión de procesos * Actualización del Portafolio de Servicios * Actualización de los Registros de Cambios ### Transición del Servicio Antes de poner en marcha el servicio se deben realizar pruebas. Para ello se analiza la información disponible acerca del nivel real de capacitación de los usuarios, estado de la infraestructura, recursos IT disponibles, entre otros. Luego se prepara un escenario para realizar pruebas; se replican las bases de datos, se preparan planes de rollback (reversión) y se realizan las pruebas. Luego de ello se limpia el escenario hasta el punto de partida y se analizan los resultados, de los cuales dependerá la implementación del servicio. En la evaluación se comparan las expectativas con los resultados reales. #### Procesos 1. Gestión de la Configuración y Activos 2. Gestión del Cambio 3. Gestión del Conocimiento 4. Planificación y Apoyo a la Transición 5. Gestión de Release y Despliegue 6. Gestión Validación y Pruebas 7. Evaluación (Evaluación del cambio) #### Cambios en la versión 2011 En la edición ITIL V3 2011 del libro de Transición del Servicio, se realizaron modificaciones y aclaraciones, a efectos de mejorar el entendimiento de los conceptos. Se aclaró la estructura , el contenido y las relaciones entre el Sistema de Gestión de Configuraciones (CMS) y el Sistema de Gestión del Conocimiento del Servicio (SKMS) para hacer más entendibles los conceptos. Se incorporó un nuevo contenido relacionado con la forma que debe ser usado un Requerimiento de Cambio (RFC). El proceso de Evaluación (que no se ve en fundamentos sino en el Intermediate RCV) fue renombrado como Evaluación del cambio. Se modificó su propósito y alcance, a efectos de clarificar cuando debe ser usado. El proceso de Gestión de Activos y Configuraciones del Servicio tiene información adicional y se mejoraron los flujos de interacción con otros procesos, incluidos Gestión de Cambio, Gestión de Versiones y Entrega, y Evaluación del Cambio. Por último se mejoraron las descripciones de los Elementos de Configuración (CI) , Sistema de Gestión de Configuraciones (CMS) y el Sistema de Gestión del Conocimiento del Servicio (SKMS) ### Operación del Servicio En este punto se monitoriza activa y pasivamente el funcionamiento del servicio, se registran eventos, incidencias, problemas, peticiones y accesos al servicio. La percepción que el cliente y los usuarios tenga de los servicios adquiridos está condicionada por la última instancia fase en la cual se ven involucrados todas las partes de la organización. En todas las otras fases del ciclo de vida, como último objeto es medir y verificar que los servicios han aportado valor a la organización, con los niveles de ANS acordados. Es primordial la entrega a satisfacción del cliente del servicio con calidad de acuerdo a lo acordado. #### Procesos 1. [Gestión de Incidentes](https://es.wikipedia.org/wiki/Gesti%C3%B3n_de_incidentes "Gestión de incidentes") 2. Gestión de Problemas 3. Cumplimiento de Solicitudes 4. Gestión de Eventos 5. Gestión de Accesos ### Mejora Continua del Servicio Se utilizan herramientas de medición y feedback para documentar la información referente al funcionamiento del servicio, los resultados obtenidos, problemas ocasionados, soluciones implementadas, etc. Para ello se debe verificar el nivel de conocimiento de los usuarios respecto al nuevo servicio, fomentar el registro e investigación referentes al servicio y disponer de la información al resto de los usuarios.