Categoría Tecnología

Actualización Iso20000-1:2018

La ISO 20000-1 es la norma de sistema de gestión de servicios de TI más reconocida a nivel internacional.

Esta norma especifica los requisitos y procesos para apoyar la gestión del ciclo de vida de los servicios de TI, incluyendo la planificación, el diseño, la transición, la entrega y la mejora de los servicios.

ISO 20000-1:2018

La nueva edición de la norma ISO 20000-1:2018 se publicó el 30 de septiembre de 2018.

El principal cambio de la ISO 20000-1:2018 respecto a la versión anterior de 2011 es su total reestructuración debido a la adopción de la estructura de alto nivel, el marco común para las normas de sistemas de gestión ISO.

Si desea conocer todos los cambios en detalle de la norma ISO 20000-1:2018, contáctanos.

Pasos recomendados para realizar la transición

Entender el contenido y los requisitos de la nueva norma.
Formar y concienciar a las personas acerca de estos nuevos requisitos y los cambios clave.
Identificar las brechas a abordar para cumplir los nuevos requisitos y establecer un plan de adecuación a los mismos.

Calendario de transición

El periodo de transición es de 3 años a partir del 30 de septiembre de 2018.

Todos los certificados acreditados ISO 20000-1:2011 dejarán de ser válidos a partir del 29 de septiembre de 2021.

A partir del 29 de marzo de 2020 las entidades de certificación han dejado de realizar auditorías iniciales y de renovación según la versión 2011 de la norma.

Te podemos apoyar a través de los siguientes servicios:

Consultoría en la que acompañamos a la empresa en todo el proceso de adecuación a los nuevos requisitos y aquellas áreas de mejora que se identifiquen.
Diagnóstico o auditoría en el que evaluamos el sistema de gestión con respecto a los requisitos de la nueva edición de la norma e identificamos las brechas que deben abordarse. Esto proporcionará información útil para el proceso de cumplimiento de la nueva norma. El nivel de detalle de esta evaluación puede adaptarse a las necesidades de la organización.
Formación y acompañamiento tipo coaching cuyo objetivo es proporcionar una visión detallada del contenido, los cambios y los pasos necesarios para la transición. Se trata de cursos modulares en los que el nivel de detalle puede adaptarse a las necesidades de la organización.

Gigantes tecnológicos firman pacto sobre ciberseguridad en París

El lunes 12/Nov/18, en el marco del Foro de Gobernanza de Internet en París, Microsoft, Facebook, Google, IBM y HP respaldaron el acuerdo. anunciaron su respaldo al “Llamado de París a la confianza y la seguridad en el ciberespacio”, que busca unir a gigantes tecnológicos y gobiernos para luchar contra la manipulación de elecciones y la piratería de software.

El documento, que tiene como objetivos evitar que actores extranjeros interfieran con las elecciones y que las empresas privadas estén envueltas en delitos cibernéticos, tiene el respaldo de más de 50 países, 90 organizaciones sin fines de lucro y universidades, y 130 corporaciones y grupos privados. Los Estados Unidos no es uno de ellos.“Es una oportunidad para que las personas se reúnan en torno a algunos de los principios clave: en torno a la protección de civiles inocentes, en la protección de las elecciones, en la protección de la disponibilidad de Internet en sí. Es una oportunidad para promover eso a través de un proceso de múltiples partes interesadas ”, advirtió Brad Smith, presidente y director legal de Microsoft.En el evento países como los Estados Unidos, Rusia, China, Irán, Israel y el Reino Unido optaron por no firmar el acuerdo.

Más información aqui

Colombia es el país más atacado por ciberextorsión en Latinoamérica

La firma de ciberseguridad Eset informó que en 2018 Colombia ha sido el país de Latinoamérica con el mayor número de casos de ataque cibernéticos de secuestro de información, mejor conocidos como ‘ransomware’ o ciberextorsiones.Según los sistemas de detección de la firma eslovaca, Colombia registra 28 por ciento de los casos, seguido por Perú (17 %), México (15 %), Brasil (11 %), Argentina (9 %), y más atrás con el 4 por ciento, Chile, Ecuador y Venezuela. “Vemos este año un gran foco de ataques de este tipo en Colombia, principalmente por una campaña totalmente dirigida a este país del virus Crysis”, explicó a Efe Matías Porolli, analista de Malware de Eset.“Vemos este año un gran foco de ataques de este tipo en Colombia, principalmente por una campaña totalmente dirigida a este país del virus Crysis”, explicó a Efe Matías Porolli, analista de Malware de Eset.Precisamente, ese virus informático lideró el número de detecciones en el país suramericano, con el 79 por ciento de los casos, seguido por otros ‘ransomwares’ como TeslaCrypt con el 4 por ciento y Locky con el 2 por ciento.

Crysis estuvo durante 2017 en el top 5 de las ciberextorsiones más detectadas en Latinoamérica y causó “grandes pérdidas de datos en la región y a nivel mundial”, según la compañía.

Eset alertó en julio que una nueva campaña de Crysis se propaga a través de correo electrónico, especialmente en países como Brasil, México, Colombia, Argentina y Perú.

En Colombia, el virus se propagó con un correo que pedía al usuario el pago de una deuda a través de una empresa de cobranzas “con un supuesto archivo PDF que en realidad era un ‘link’ para descargar el ‘malware'”, dijo Porolli.

Una vez la ciberamenaza ingresa en los ordenadores, se encriptan los datos de sus víctimas, como los demás virus de esta misma familia, y luego exige con un límite de tiempo el pago de un rescate para recuperar la información. Dichos pagos, por lo general se manejan por medio de una moneda virtual.

De acuerdo con los datos de Eset, Latinoamérica representa el 13 por ciento de las detecciones de ‘ransomware’ en el mundo y Estados Unidos sigue siendo el principal blanco de esta amenaza, con el 9,5 por ciento de los casos internacionales.

Más información aqui

Proyecto de Ley de Modernización del Sector TIC

Con la promesa de cerrar las brechas digitales, aumentar la eficiencia institucional e incrementar la inversión, la ministra de las Tecnologías de la Información y las Comunicaciones (TIC), Sylvia Constaín, radicó el miércoles 18 de septiembre de 2018, ante el Congreso de la República, el proyecto de ley de modernización del sector TIC.

La iniciativa plantea la aspiración del Gobierno de Iván Duque de lograr una Colombia ‘moderna’ y conectada al ciento por ciento.

Para alcanzar este objetivo, el proyecto está enmarcado bajo de la política ‘El futuro digital es de todos’, presentada por primera vez en agosto durante la 33.ª edición del Congreso Andicom. Su pilar es precisamente la consolidación de un matrimonio entre el sector público y privado.

El Ministerio TIC ha reiterado que esto ayudaría a aumentar la competitividad y a garantizar el acceso a de las TIC en las poblaciones rurales.

Busca elevar a Colombia al nivel de los países con los cuales competimos por inversión, que nos permita llegar a un lugar donde podamos conectar a todos los colombianos

Con este proyecto, que pretende actualizar la Ley 1341 de 2009, que es la norma marco del sector TIC, se espera que se garanticen los recursos para la generación de contenidos y aplicaciones de interés público, se cree un regulador único y se aumenten las licencias de uso del espectro.

“Es un proyecto ambicioso que reconoce que Colombia viene en un momento en el que las inversiones en el sector han venido bajando.  Busca elevar a Colombia al nivel de los países con los cuales competimos por inversión, que nos permita llegar a un lugar donde podamos conectar a todos los colombianos, promover la apropiación de la tecnología para crear condiciones de mejoramiento de la calidad de vida de los colombianos con un enfoque especial en aquellos colombianos que están alejados”, dijo Constaín.

Por su parte, Alberto Samuel Yohai, presidente  de la Cámara Colobiana de Informática y Telecomunicaciones (CCIT), señaló: “Con un regulador único se eliminarán las confusiones existentes entre entidades para una mayor seguridad jurídica en el sector. De otro lado veo un incentivo a la inversión privada, pues las concesiones para los operadores de comunicaciones pasarían de 10 a 30 años, lo que traerá última tecnología, empleo y mayor bienestar”.

Estas son las claves de la iniciativa:

Espectro radioeléctrico

La cartera de las TIC ha hecho énfasis en que uno de los principales objetivos de esta política es aumentar la certidumbre jurídica en el país. En este sentido, se plantea que la asignación del espectro radioeléctrico quede a cargo solamente del Ministerio TIC (hoy lo puede hacer también la Autoridad Nacional de Televisión, ANTV).

El Gobierno dice que con esta medida se ayudaría a alcanzar la meta de masificar la conectividad y especialmente garantizar la conexión de última milla que permitiría que internet llegue no solo a las cabeceras municipales de las ubicaciones más alejadas del país sino también a colegios, hogares, hospitales y negocios.

En este punto también se plantea que el periodo de los permisos para el uso del espectro sea hasta por 30 años y no solamente 10, como está establecido actualmente. Según el MinTIC, el periodo actual es un tiempo muy corto para recuperar la inversión por lo que al ampliar las licencias el país quedaría en una posición más atractiva.

Tasa única para los operadores

Para hacer más eficiente el pago de contraprestaciones por el uso del espectro se definirá una tasa única de contraprestaciones para los operadores que acabaría con las diferencias y garantizaría la inversión por parte de estas compañías. El Ministerio TIC definirá el valor de la contraprestación periódica en máximo seis meses después de la promulgación de la ley y se revisará cada cuatro años.

Según el proyecto, esa  contraprestación será fijada mediante resolución por el Ministro basándose en criterios de fomento a la inversión así como otros aspectos como el ancho de banda asignado, número de usuarios potenciales, disponibilidad del servicio y planes de expansión y cobertura.

Fondo Único

La creación de un Fondo Único de TIC, que resultará de la unión del Fondo de Tecnologías de la Información y las Comunicaciones (FonTIC) y el Fondo para el Desarrollo de la Televisión y los Contenidos (FonTV), es una de las estrategias con las que el Gobierno espera cerrar la brecha digital. De acuerdo con el MinTIC, al existir dos fondos se genera incertidumbre jurídica y muchas veces los proyectos se estructuran desarticuladamente lo que hace que se reduzca su impacto

Al unificarlos, dice el Gobierno, se incrementará la eficiencia en el recaudo y la inversión en materia de cobertura.

Fortalecimiento de la televisión y la radio pública

Pero, ¿cómo se garantizarían los recursos para la televisión? La iniciativa apunta a que los recursos que se han destinado normalmente entre el 2012 y 2017 para la televisión pública se mantendrían con un incremento anual y habría unos recursos adicionales destinados a la creación de contenidos multiplataforma de interés público y social. La idea es que esta inversión llegue especialmente a las escuelas públicas en las zonas apartadas del país.

Regulador Único y modernización institucional

El Gobierno plantea la creación de un regulador único del sector TIC que se encargaría de todo lo relacionado con televisión, Telecomunicaciones, Internet y Radiodifusión Sonora. Actualmente existen dos entidades que cumplen esta labor por separado: la Comisión de Regulación de Comunicaciones (CRC) y la Autoridad Nacional de Televisión (ANTV). Al unificarse la entidad, dice el MinTIC, se generaría mayor certidumbre en el sector y por lo tanto se lograría una mayor modernización institucional. Sin embargo, la imposición de sanciones quedaría a cargo solamente del Ministerio de las TIC por lo que sería la única entidad con la facultad de vigilancia y control.

Este regulador tendría cinco comisionados con periodos fijos de cuatro años y se financiaría con una tasa regulatoria que está definida en la ley, tal y como se ha venido haciendo.

“Creamos un regulador único para el sector que reconoce que la televisión, la radio y las telecomunicaciones son realmente sectores que están uniéndose en uno, y como tal para ofrecerle al sector privado incentivos en términos de claridad jurídica tanto normativa como institucional”, agregó Constaín.

Más información aqui

Nueva Norma ISO/IEC 20000

Ya en la gran mayoría de nuestras organización se emplean Tecnologías de la Información como soporte de los procesos de negocio, y con toda seguridad habrá oído hablar del principal Sistema de Gestión que lo gestiona: la norma ISO/IEC 20000 para la gestión de servicios. Y es difícil  imaginar una empresa en la que no se utilicen TIC, absolutamente asombroso resultaría ignorar la naturaleza vital y dinámica de cualquier marco de gestión: Ya la ISO ha publicado en septiembre 2018  la tercera edición de la norma.

Bajo el paraguas de la norma ISO 9001, de Sistemas de Gestión de la Calidad, e integrado con otros sistemas de gestión, como el de Seguridad de la Información (ISO/IEC 27001) o el de Continuidad de Negocio (ISO 22301), ISO 20000-1 define un amplio catálogo de requisitos para un desempeño eficaz y eficiente de las Tecnologías de la Información que, además, debe ser capaz de seguir el vertiginoso ritmo de unos procesos de negocio cada vez más ágiles y digitalizados. La vigente versión fue publicada en 2011 (para Colombia 2012).

Cabe recordar que, precisamente un año más tarde, en 2012, ISO establecía que toda nueva edición de un estándar para un sistema de gestión debería adecuarse a una estructura de alto nivel (HLS) común definida en el Anexo SL de ISO; es decir, el índice y, consecuentemente, parte del contenido, debían unificarse. De este modo, se favorece la comprensión de los estándares y su aplicación conjunta e integrada. Por lo tanto, éste era un ejercicio de alineamiento y convergencia pendiente para el Sistema de Gestión de Servicios ISO/IEC 20000-1.

Ya en 2015 el Grupo de Trabajo internacional ISO/IEC JTC1 SC40 WG2 inició sus trabajos bajo la dirección de la editora del estándar, Lynda Cooper, quien, a finales del pasado mes de enero, ha sometido al procedimiento de votación internacional el primer borrador “committee draft” dejando atrás tres borradores preliminares; en él se trazan las líneas maestras de lo que será la nueva edición de esta norma.

Entre las principales novedades que anticipa este borrador se encuentran las siguientes:
El proceso de gestión de niveles de servicio se dividirá en dos: gestión del catálogo de servicios y gestión de niveles de servicio. También se separan en dos, gestión de la disponibilidad y gestión de la continuidad de servicios o gestión de incidencias y peticiones de servicio. Se añaden procesos nuevos como gestión de activos, la gestión de la demanda o la gestión del conocimiento. Sin embargo, el nuevo estándar hace énfasis en que la organización por procesos es a nivel de requisitos que se han de cumplir. El número de procesos que efectivamente se implementen en cada organización pueden variar, siempre y cuando se pueda evidenciar cumplimiento de todos los requisitos.

Se elimina la necesidad de tener planes de disponibilidad o capacidad, aunque se mantiene el plan de continuidad y plan de gestión de servicios. Eso no quiere decir que no haya que planificar la disponibilidad o la capacidad, pero deja de ser obligatorio tener un documento específico para cada plan.

Los requisitos de muchos procesos se actualizan y clarifican para asegurar su aplicación en paradigmas actuales de computación como cloud computing o outsourcing. También se mejora la redacción de algunos requisitos que resultaban confusos.

Existen otro tipo de cambios, derivados de la adaptación al anexo SL de ISO que, aunque puedan parecer menores, están teniendo cierto impacto. Es el caso de tener que sustituir “proveedor de servicio” por “organización”, añadir nuevos requisitos sobre el contexto del sistema de gestión o hacer mayor énfasis en la gestión de objetivos.

Sin duda, la nueva edición de la norma aportará una mejora en el alineamiento de este sistema de gestión de servicios con otros marcos de referencia ampliamente reconocidos y, por ende, implicará un aumento de la integración y del protagonismo de las Tecnologías de la Información en unos procesos de negocio que necesitan de ellas como elemento dinamizador y diferencial.

Los nuevos requisitos del estándar en su versión 2018 afectan principalmente a:

  • La planificación de servicios
  • La gestión administrativa
  • La gestión de activos
  • Gestión de la demanda
  • Servicios de entrega

Requisitos en la documentación de procesos

  • Se reduce el número de procedimientos documentados requeridos
  • El requisito de documentar el plan de Capacidad y Disponibilidad se sustituye por requisitos para planificar la disponibilidad del servicio y la capacidad
  • Los requisitos de CMDB (configuration management database) se sustituye por nuevos requisito de información de configuración
  • La definición de una Política de liberación de servicios ahora son requisitos para definir tipos de liberación y frecuencia.
  • La Política de mejora continua ahora debe de considerarse en requisitos para determinar los criterios de evaluación y oportunidades de mejora
  • La cláusula de notificación del servicio ahora se contempla dentro de las cláusulas para elaboración de informes

Más información aqui

 

22301 Continuidad

ISO 22301:2012 ha sido una conclusión de los esfuerzos del ámbito empresarial internacional por obtener un estándar que nos ayude a gestionar la Continuidad de un negocio y/o actividades de una organización. Como precedente a este estándar nos encontramos con la norma Británica BS 259999 que actuó como base e impulsora de la actual ISO 22301 Gestión de la Continuidad del Negocio publicada por la Organización Internacional de estandarización ISO.

Las claves para entender la norma ISO 22301 pasan entender que se trata de:

  • Establecer una base común de conocimiento para entender la continuidad del Negocio
  • Desarrollar e implantar una política de Continuidad del Negocio en una organización
  • Acreditar la conformidad y compromiso de una organización con las mejores prácticas internacionales en Continuidad del Negocio.

EL principal objetivo de esta norma es mantener la continuidad de las actividades de una organización, proteger sus intereses defendiendo los intereses de sus empleados y partes interesadas, mantener la reputación su reputación ante cualquier amenaza o circunstancia adversa.

La norma ISO 22301 está pensada para que sea implementada por cualquier tipo de organización ya sea pública o privada sin importar su tamaño

Ahora bien, aplicar este estándar en pequeñas organizaciones surge la duda si el esfuerzo necesario y los requisitos de la norma se pueden adaptar a estas organizaciones de forma que se obtengan los resultados que se pretenden.

Ante este interrogante se debe tener en cuenta:

  • El daño que se puede producir a una organización por no haber previsto que hacer en circunstancias adversas puede ser causa de cierre o de suspensión de actividades y pérdidas patrimoniales
  • El método de la norma ISO 22301 puede ser utilizado por cualquier empresa para conocer y tomar medidas no siempre costosas para disminuir el riesgo
  • Las políticas y la cultura de prevención del riesgo reduce los costes operacionales y fomenta las buenas prácticas

Concordancia con otras normas

Mas información aqui