Normas ISO y Certificaciones Tiers.

[pic 1]Universidad de La Frontera

Facultad de Ingeniería y Ciencias

Departamento de Ingeniería de Sistemas

Normas ISO y Certificaciones Tiers

Índice

Introducción        

Resumen        

Investigación sobre los temas e Implementación        

ISO 20000:        

ISO 27000        

Entendiendo los Tiers        

Tier I: Datacenter Básico        

Tier II: Componentes Redundantes.        

Tier III: Mantenimiento Concurrente.        

Tier IV: Tolerante a Fallas.        

Conclusiones        

Introducción

En un mundo cada vez más globalizado, se hace necesario buscar las mejores prácticas para estandarizar y ofrecer al público mejores servicios; de lo anterior se desarrollan normas y certificaciones tales como:

• ISO 20000: Normativa que regula las prácticas de gestión de servicios de TI por todo el mundo. La creación de esta como una norma oficial supone un gran avance hacia una cultura de servicios del sector de TI, ya que dispone de los medios para medir y certificar la excelencia en este tipo de servicios.
• ISO 27000: Esta normativa regula la implementación de sistemas de seguridad de datos con el fin de protegerlos, acceder a estos cuando sea necesario y  procurar su integridad para que no sufran alteraciones por terceros.

En cuanto a los tiers, son certificaciones que se estructuran por nivel (a mayor nivel, mayor disponibilidad). Esta es aplicada exclusivamente a datacenters, y fue ideada por el Uptime Institute Nueva York.  Es esta entidad también quien regula estas certificaciones.

Resumen

Todas esta regulaciones son aplicadas para la efectiva y eficiente instalación de servicios de tecnologías de información, las cuales verifican la correcta instalación de este tipo de sistemas.

En primer lugar tenemos la ISO 20000, donde esta permite gestionar con calidad los servicios de Tecnología Informática, ya sea en las áreas de soporte o en empresas de servicios de TI para terceros.

Además esta promueve la adopción de una visión de procesos integrados, para una provisión eficaz de servicios gestionados que satisfaga los requisitos del negocio y de los clientes, también define los requisitos para que un proveedor de servicios brinde servicios gestionados de una calidad aceptable a sus consumidores.  Esta norma tiene como uno de sus objetivos el proveer un sistema de gestión que incluye las políticas y el marco de trabajo para hacer posible una efectiva gestión e implementación de todos los servicios de TI.

La norma ISO 27000 nos explica como implantar un sistema de gestión para la seguridad de la información en la empresa, donde la protección de la información sea lo más confiable posible, es  la visión general del sistema de gestión de la seguridad de la información.

En el año 2005 el estándar ANSI/TIA-942 da a conocer una clasificación de cuatro niveles de la infraestructura en los centros de procesamiento de datos, determinados por su nivel de confiabilidad, estos fueron llamados Tier, donde formaron 4 grupos de Tiers según su nivel de confiabilidad, partiendo desde el más simple al más complejo, teniendo en cuenta el incremento de costos por cada nivel de Tier.

Investigación sobre los temas e Implementación

ISO 20000:

La norma ISO 20000 está centrada en la integración y en la aplicación de los procesos coordinados de gestión de servicios. Fue en 2005 cuando los miembros de la ISO y la IEC (International Electrotechnical Commission) aprobaron las bases necesarias para la elaboración de la norma ISO 20000. Sin duda, este hecho representó un importante paso en el proceso de normalización para conseguir un estándar internacional.

Esta norma, destinada a lograr la garantía de calidad en el servicio de TI, se compone de dos partes principales:

• ISO 20000-1: Es una especificación formal que define los requisitos de una organización para ofrecer servicios gestionados de una calidad aceptable para los clientes, los cuales se utilizan como punto de referencia para evaluar su cumplimiento.

• ISO 20000-2: Es un código de prácticas que describe las mejores prácticas para los procesos de gestión de servicios dentro del ámbito de aplicación de la primera parte de la norma ISO 20000. El código de prácticas es útil para las organizaciones que se están preparando para una auditoría según la norma ISO 20000-1 o que están planeando mejoras en su servicio.

La naturaleza de las relaciones entre proveedor y empresa determinará la forma en que se aplicarán los requisitos establecidos en la parte 1 de la ISO 20000 para cumplir los objetivos generales (el proveedor del servicio puede ser interno o externo a la compañía).

El objetivo final de la nueva norma es:

• Reducir la exposición al riesgo derivada de las operaciones.
• Cumplir las obligaciones contractuales.
• Demostrar calidad de servicio.

El contenido de la norma ISO 20000 se basa en los siguientes documentos de la BS 15000:

• Parte 1: Incluye un conjunto de requisitos mínimos a cumplir. Promueve la adopción de un modelo de procesos integrados para realizar una gestión eficaz de los servicios que responda a las necesidades de las empresas y sus clientes.
• Parte 2: Contiene un código de prácticas para la gestión de servicios (“Code of Practice for Service Management”) que analiza los elementos fundamentales de las prácticas establecidas por el modelo ITIL. Este documento pretende ayudar a las organizaciones a establecer procesos que cumplan los objetivos de la parte 1.

Ahora bien, ¿Conviene solicitar la certificación?

Como se ha mencionado anteriormente, la certificación ISO 20000 sirve para constatar que una empresa ha implantado las mejores prácticas de gestión de servicios de TI, según se demuestra a través de una evaluación externa e independiente realizada por una empresa de auditoría autorizada que toma como referencia la norma.

Este nivel de validación puede contribuir a mejorar la competitividad de la empresa.

Para decidir si le conviene solicitar la certificación ISO 20000, una organización debería tener en cuenta los siguientes factores:

• La ISO 20000 es particularmente importante para organizaciones de sectores industriales en los que la calidad de los servicios de TI es fundamental para el éxito del negocio (sector financiero, sector sanitario y el de servicios públicos, como son el suministro de agua y electricidad).

La certificación permite a las organizaciones que pertenecen a estas industrias demostrar a sus accionistas y clientes que disponen de una infraestructura tecnológica bien gestionada.

• La ISO 20000 también es importante para organizaciones que prestan servicios gestionados internamente o mediante subcontratación. La certificación les permite garantizar a sus clientes que sus entornos de TI se administrarán de la forma adecuada, y que recibirán servicios tecnológicos de alta calidad. La documentación debe incluir las políticas y los planes de gestión de servicios, los acuerdos de nivel de servicio, los procesos y procedimientos exigidos por la norma y sus registros de datos correspondientes.

• Las empresas deben tener en cuenta las implicaciones de la certificación con respecto al cumplimiento de la normativa local. Cada vez hay más normas y leyes cuyo cumplimiento se debe demostrar. Muchas de estas normas tienen que ver específicamente con los servicios tecnológicos y su gestión. En la actualidad, los inspectores no exigen la presentación de certificaciones como prueba de cumplimiento, pero podrían hacerlo en un futuro. Dado que la ISO 20000 aborda específicamente la calidad de gestión de los servicios de TI, podría convertirse en una norma internacional utilizada por los inspectores para comprobar el cumplimiento de la ley.

La certificación ISO 20000 sólo se otorgará a organizaciones que realicen operaciones de gestión de servicios de TI, y sólo certificará el buen funcionamiento de esas operaciones. Su objetivo no es certificar productos ni servicios de consultoría relativos a la aplicación de buenas prácticas. La certificación puede convertirse en un requisito imprescindible para poder hacer negocios con determinadas organizaciones tales como instituciones gubernamentales o empresas que subcontratan servicios tecnológicos.

...