RESUMEN ITIL, COBIT, NIST – JOHN VILLAMIZAR PEREZ

ITIL
GUÍAS DE BUENAS PRÁCTICAS

Biblioteca de infraestructura de tecnologías de información, librerías que

incorporan pasos para gestionar de manera eficiente y segura las tecnologías de
la información implementadas en la organización, brindando las pautas necesarias
para mantener la infraestructura TI en altos estándares de calidad y seguridad que
contribuyen a las buenas prácticas.

Se crea con el fin de unificar los procesos que sean aplicables a los sistemas TI,
mediante la publicación de libros integrando estas tecnologías con las
necesidades de la organización para el apoyo del cumplimiento de objetivos.

Versiones:

Versión 1. Compuesta por inicialmente 10 libros, hasta llegar a 42, para dar
orientación sobre la gestión de servicios.

Versión 2. Recopila la información de los libros de la V1, organizándola en:

“Gestión de servicios, infraestructuras, seguridad, aplicaciones, activos de
software, perspectiva del negocio, implementación ITIL a pequeña escala” 1.

Versión 3. Se definen 5 volúmenes publicados de la siguiente manera:

Estrategias de servicio, Service Strategy (SS): al implementar ITIL, se busca

como las tecnologías de la información pueden brindar un apoyo optimo a las
estrategias del negocio, teniendo en cuenta como se encuentran actualmente
todas las infraestructura TI, a través de un inventario de activos, donde se lleve el
control de los dispositivos o sistemas que se encuentren obsoletos, el
departamento de TI deberá gestionar para que se invierta en TI acorde a
presupuestos estipulados, planteando mediante objetivos, futuras cambios a
novedades tecnológicas que se adapten de manera correcta a los nuevos desafíos
y prácticas que posee la compañía, donde las TI siempre vayan de la mano con

1
Chicano, Ester. Gestión de servicios en el sistema informático. Ic editorial,2014. p.31.
las necesidades informáticas y tecnológicas de los diferentes procesos internos y
externos, contribuyendo a generar valor, a la mejora continua y a mantener un alto
índice de calidad de productos y servicios de tecnologías de la información que se
alineen con los estándares de calidad a nivel organizacional.

Diseño de servicio, Service Design (SD): Dentro de este módulo, se plantea

como la estrategia de servicio se va a desarrollar, poniendo en práctica todo lo
planteado anteriormente, se debe crear un modelo de servicio donde se estipule
los diferentes métodos que se deben aplicar para contribuir a que el departamento
TI logre alcanzar los objetivos planteados, a través de documentos, que deben ser
constantemente actualizados se estipulan las necesidades TI, la calidad de los
servicios, la seguridad que se debe implementar, disponibilidad, proveedores,
soporte, entre otros.

Transición del Servicio, Service Transition (ST): En este apartado, se orienta

sobra la implantación de las pruebas necesarias que se deben tener en cuenta al
momento de implementar ITIL sobre toda la infraestructura TI, verificando antes de
ejecutar que cualquier cambio o modificación a la estructura presente proporcione
seguridad de continuidad del negocio, que no se produzcas pérdidas financieras o
de información, para esto se debe contar con el espacio dedicado a pruebas,
como servidores, entornos, dispositivos, redes, y demás necesarios para que se
lleve a cabo el ejercicio. Todas las pruebas se deben documentar y definir políticas
de cambio, definiendo la planificación, implementación y evaluación de las
pruebas, controlando las versiones, cambios y configuraciones nuevas que se van
a implementar.

Operación del Servicio, Service Operatión (SO): ITIL aporta a través de esta
librería, una guía para el control de peticiones, errores o problemas que los
usuarios de las TI identifiquen en el desarrollo del ejercicio, se estipula que se
debe contemplar un centro de servicios, donde se reporten incidentes, que sirva
como puente entre usuarios y administradores del sistema, para el control y
seguimiento de todas las actividades que se produzcan, estableciendo los
diferentes canales físicos y digitales que los usuarios tengan para reportar al
departamento TI, así mismo se orienta sobre el manejo adecuado que se debe
llevar a cabo cuando se presente alguna incidencia, error o problema, la
documentación necesaria para identificar y determinar los fallos TI, clasificando las
afectaciones, para determinar el nivel de impacto generado, las soluciones más
optimas que se deben implementar y los cambios que se ejecutan.

Mejora continua, Continual Service Improvement (CST): ITIL proporciona una

serie de eventos que se deben tener en consideración para mantener las TI en
altos estándares de calidad mediante una mejora a través del tiempo y la
evolución de los sistemas, apoyándose en la documentación que se genera, se
logra relacionar con claridad las partes del sistema que requieren mejoras, y esto
se logra gracias a los indicadores que se obtienen de los análisis en los niveles
anteriores.

Versión 4. Esta versión incluye el Sistema de Gestión de Servicio 2 que presenta la

unificación de procesos de TI para generar un valor, determinando la oportunidad
que se presente a los usuarios que contribuya a alcanzar la demanda de los
servicios y/o productos, otorga pasos o lineamientos para que se cumplen si los la
organización cambia, evaluando y revisando los procesos para que logren los
objetivos planteados a través de un buen gobierno, aportando calidad y mejoras
continuas. Propone así cuatro dimensiones “Organizaciones y personas,
información y tecnología, socios y proveedores, flujo de valor y procesos” 3 que
complementan una buena gestión del servicio.

Presenta 34 prácticas que en conjunto contribuyen a lograr objetivos, estas

prácticas están divididas en 3 grupos: “Administración general (14 prácticas);
Gestión de servicios (17 prácticas); Gestión técnica (3 prácticas)” 4

Al final ITIL dentro de todas sus versiones busca la buena gestión y administración
de las Tecnologías de la información dentro de las organizaciones que
implementen y contemplen esta certificación dentro de sus procesos, lo que
contribuye hoy en día a cómo generar valor enfocando gracias a la buena
implementación de TI, logrando presupuestos coherentes, inversiones proactivas y
altos estándares de calidad entre los cuales se implemente seguridad a las TI.

2
FRESHWORKS. Todo lo que necesita saber acerca de la más reciente versión de ITIL. ITIL 4. [Consultado el
30 de abril del 2021]. Disponible en: https://freshservice.com/es/itil/itil-v4/
3
Aranda Software. ITIL V4. [Consultado el 30 de abril de 2021]. Disponible en: https://arandasoft.com/wp-
content/uploads/2019/05/documento-itil-v4-arandasoftware.pdf
4
Aranda Software. Op. Cit.
 COBIT
MARCO DE GOBIERNO

Objetivos de control para la información y tecnología relacionada, presenta un

marco para buenas prácticas de gestión de las tecnologías de la información a
través del gobierno TI, se enfoca en la buena administración que se le debe dar a
todos los recursos de tecnología de la información (información, aplicaciones o
software, tecnologías, hardware, sistemas operativos, multimedios, redes,
instalaciones físicas, recurso humano, entre otros) alineándolas e integrándolas
con la necesidad del negocio, involucrando desde la gerencia para el apoyo y
decisiones financieras de inversión, el personal técnico de TI, los auditores que
evalúan el estado del sistema para aportar posibles mejoras, responsables de
procesos o negocios, hasta los usuarios finales que interactúan día a día con el
sistema.

“Proporciona 9 principios organizados por dos grupos, principios de sistema de

gobierno (6) y principios del marco de gobierno (3)”. 5 Dentro de los cuales
tenemos:

Principios De Sistema De Gobierno6

1. Valor para las partes interesadas: Proporcionar que a través del gobierno
corporativo se tomen las mejores decisiones dentro de las cuales esta las
inversiones en TI que mejor se adapten al modelo de negocio y contribuya
a generación de valor.

2. Enfoque Holístico: Buscar la integración de la gestión de la información y la

tecnología, dentro del gobierno corporativo, que se alinean para
cumplimiento de objetivos a través de la buena gobernanza TI.

5
COBIT 2019. Isaca. Ritegno. p.14 Eduardo Disponible en: {https://iaia.org.ar/wp-
content/uploads/2019/07/COBIT2019-IAIA.pdf}
6
COBIT 2019. Op. cit.
 3. Sistema de Gobierno Dinámico: Gobierno Empresarial de la Tecnología y la
Información (EGIT) proporciona que, mediante el buen manejo de riesgos y
recursos, se establezcan métodos que proporcionen la creación de valor.

4. Separar Gobierno de Gestión: Buscar que la gestión y la gobernanza sean

claramente identificadas por separado, determinando la función de cada
una dentro de la compañía.

5. Ajustado a la necesidad empresarial: Se debe diseñar de manera efectiva la

participación del sistema de gobierno para que pueda solventar todas las
necesidades de la organización y optimizar los recursos.

6. Sistema de Gobierno extremo a extremo: Se debe abarcar todos los

componentes organizacionales, gobernando el área TI que da soporte y
control a las tecnologías de la información, y abarcar su gobierno a todo lo
referente a T&I, la información que es manipulada (generada, procesada,
editada) en la empresa, y las diferentes tecnologías que se utilizan como
canales para el procesamiento de esta información.

Principios Del Marco De Gobierno 7

1. Basado en un modelo conceptual: Para lograr que las TI logren apoyar a la

empresa en la automatización de los procesos, es indispensable tener claro
los elementos que harán parte de ello y que características propias y
comunes deben presentar.

2. Abierto y Flexible: el marco que se implemente al gobierno, debe permitir

futuros cambios o inclusiones al sistema que se adapten perfectamente sin
ocasionar ningún tipo de problemas, manteniendo en todo momento la
integridad de los datos.

3. Alineado con los principales estándares: Debe cumplir con los lineamientos
que exigen los estándares implementados y las regulaciones de ley
pertinentes.

7
COBIT 2019. Isaca. Ritegno. Eduardo. p.17. Disponible en: {https://iaia.org.ar/wp-
content/uploads/2019/07/COBIT2019-IAIA.pdf}
Dentro de los objetivos del marco se identifican claramente los 5 objetivos del
gobierno los cuales están directamente relacionados a la dirección, supervisión y
valoraciones pertinentes para la toma de decisiones y los objetivos de gestión los
cuales contemplan 35 objetivos que se deben contemplar dentro de los procesos
de gestión (organización, implementación, soporte, valoración). Dentro del marco
se estipula 11 factores de diseño que son determinantes a la hora de saber cuáles
de los 40 objetivos se ajustan más al modelo de negocio, dentro de los cuales se
busca examinar entre otras cosas como se encuentran determinadas las
estrategias empresariales, riesgos, amenazas, las TI, el tamaño de la empresa
entre otros.

Así mismo dentro del marco se especifican 7 componentes del sistema, los cuales
en la versión del COBIT 5 se denominaban catalizadores, dentro de los cuales,
citando directamente al marco, tenemos: “Procesos, Estructuras organizacionales,
Principios políticas y procedimientos, Información, Cultura, ética y
comportamiento, Personas, habilidades y competencias, Servicios,
infraestructuras y aplicaciones.”8

Dentro de COBIT implementa dentro de la implementación del marco un modelo

de evaluación “Gestión de rendimiento COBIT” 9 que logra clasificar objetivos en
niveles y entender cuáles de estos se adaptan al modelo de negocio.

8
COBIT 2019. Isaca. Ritegno. Eduardo. P.20. Disponible en: {https://iaia.org.ar/wp-
content/uploads/2019/07/COBIT2019-IAIA.pdf}
9
COBIT 2019 — EL NUEVO MODELO DE GOBIERNO EMPRESARIAL PARA INFORMACIÓN Y TECNOLOGÍA.
Gonzales, Pepe. Consultado el 3 de mayo del 2021. Disponible en {https://ppglzr.medium.com/cobit-2019-
el-nuevo-modelo-de-gobierno-empresarial-para-informaci%C3%B3n-y-tecnolog%C3%ADa-a7bf92b7288b}
 NIST
MARCO DE CIBERSEGURIDAD

Este marco es una guía de buenas prácticas que se implementa dentro de las
organizaciones que busca mantener su información protegida de los riesgos y
amenazas del entorno web. Este marco es utilizado mayormente para la
protección en ciberseguridad dentro de las infraestructuras críticas, sin embargo,
es aplicable a cualquier compañía que desarrolle actividades con la información en
entorno web.

Dentro de la página web oficial de NIST, se presenta el desarrollo del marco en

tres fases: “El marco de ciberseguridad consta de tres componentes principales: el
núcleo, los niveles de implementación y los perfiles” 10.

Núcleo: aquí se presentan las diferentes normativas, estándares y lineamientos

que son aplicables dentro de la organización en toda su estructura, dentro de este
se especifican cinco funciones, dentro de las cuales están 11:

 Identificación: Se busca tener claro que dispositivos y software contiene la

compañía para determinar y crear estrategias de control de ciberseguridad
involucrando al personal interno y externo, reconocer a que riesgos y
amenazas se enfrenta el sistema informático, para lograr normatizar las
medidas necesarias para protección a estas vulnerabilidades. “Incluyen:
Gestión de activos, Entorno de negocios, Gobernanza, Evaluación de
riesgos y Estrategia de gestión de riesgos”12.
10
Marco de ciberseguridad. NIST. Nuevo en Framework. Consultado 3 de mayo del 2021. Disponible en
{https://www.nist.gov/cyberframework/new-framework}
11
Ciberseguridad para pequeños negocios. Que es y cómo funciona el marco de ciberseguridad del NIST.
Consultado el 3 de may. de 21. Disponible en:
{https://www.ftc.gov/es/system/files/attachments/understanding-nist-cybersecurity-
framework/cybersecurity_sb_nist-cyber-framework-es.pdf}
12
Marco para la Marco para la mejora de la seguridad cibernética en infraestructuras críticas (pp 1-44). NIST.
2018. Disponible en:
{https://www.nist.gov/system/files/documents/2018/12/10/frameworkesmellrev_20181102mn_clean.pdf}
  Protección: Mediante diferentes metodologías como controles de acceso,
criptografías, constante capacitaciones, copias de seguridad entre otras, se
busca mantener un alto índice de protección de los datos del sistema.

 Detección: Implementando técnicas y metodologías adecuadas se busca

una detección temprana de posibles vulnerabilidades que permitan acceso
a ataques cibernéticos que comprometen la información, el objetivo es
buscar y analizar estas susceptibilidades del sistema antes del atacante.

 Respuesta: Se debe tener un protocolo establecido para contrarrestar o

prevenir amenazas y riesgos detectados, informar a los usuarios
involucrados, documentar y presentar ante las directivas los sucesos de
este tipo y actualizar el plan de protección.

 Recuperación: Mantener planes que permitan recuperar el sistema

informático de una manera óptima y veras restableciendo todos los
procesos luego de presentarse algún tipo de ataque.

Niveles de implementación: El marco especifica que se debe clasificar los

niveles de riesgos según el estado de protección o gestión de ciberseguridad de la
organización, según los objetivos estratégicos, teniendo en cuenta que tanto
afecta al proceso principal y al desarrollo continuo de la organización, el nivel se
gestión de seguridad que posea, esta clasificación permite otorgar a los directivos
toma de decisiones determinando las prioridades para la gestión de dichos
riesgos.

Se dividen en 4 niveles13: Nivel 1 o parcial, cuando dentro de la organización no se

tiene un plan de gestión de riesgo bien definido o claro, sin colaboración dentro y
fuera de la organización; Nivel 2 riesgo informado, la organización conoce los
riesgos existentes de ciberseguridad, pero están poco enfocado a nivel
organizacional lo que produce que no se cuenten con políticas o lineamientos bien
definidos para control de riesgos dentro y fuera de la organización; Nivel 3
repetible, se conoce y se implementa gestión de seguridad para el correcto
manejo de los riesgos cibernéticos, implementando métodos y técnicas que

13
Marco para la Marco para la mejora de la seguridad cibernética en infraestructuras críticas (pp 9-10). NIST.
2018. Disponible en:
{https://www.nist.gov/system/files/documents/2018/12/10/frameworkesmellrev_20181102mn_clean.pdf}
contribuyan a la protección del sistema, evaluando y mejorando continuamente
interna y externamente; Nivel 4 adaptable, las organizaciones que mantienen en
su desarrollo del negocio una gestión de riesgos que está orientada a las mejoras
continuas, que se adapta al modelo de negocio para contribuir a través de
procesos, métodos, lineamientos, normas, estándares, entre otros, a que exista
constantemente protección contra riesgos de ciberseguridad.

Perfil del marco: a través de la implementación de la norma, los perfiles de marco

contribuyen a dar una visión general en cuanto a cómo se encuentra la
organización en gestión de riesgos asociados a la ciberseguridad, dentro de
14
los cuales se contempla el “Perfil Actual” donde muestra lo que ha logrado
implementar seguridad cibernética en el momento, y el “Perfil Objetivo” 15 donde se
plantea lo que hace falta en temas de gestión de riesgos para alcanzar los
objetivos propuestos de ciberseguridad, estos dos perfiles permiten que la
organización posea una vista del estado actual vs el estado al que se desea llegar,
con el fin de lograr implementar todas las medidas necesarias para alcanzar los
objetivos propuestos de ciberseguridad.

14
Marco para la Marco para la mejora de la seguridad cibernética en infraestructuras críticas (pp 11). NIST.
2018. Disponible en:
{https://www.nist.gov/system/files/documents/2018/12/10/frameworkesmellrev_20181102mn_clean.pdf}

15
Op.Cit