Category Tecnología

Gigantes tecnológicos firman pacto sobre ciberseguridad en París

El lunes 12/Nov/18, en el marco del Foro de Gobernanza de Internet en París, Microsoft, Facebook, Google, IBM y HP respaldaron el acuerdo. anunciaron su respaldo al “Llamado de París a la confianza y la seguridad en el ciberespacio”, que busca unir a gigantes tecnológicos y gobiernos para luchar contra la manipulación de elecciones y la piratería de software.

El documento, que tiene como objetivos evitar que actores extranjeros interfieran con las elecciones y que las empresas privadas estén envueltas en delitos cibernéticos, tiene el respaldo de más de 50 países, 90 organizaciones sin fines de lucro y universidades, y 130 corporaciones y grupos privados. Los Estados Unidos no es uno de ellos.

“Es una oportunidad para que las personas se reúnan en torno a algunos de los principios clave: en torno a la protección de civiles inocentes, en la protección de las elecciones, en la protección de la disponibilidad de Internet en sí. Es una oportunidad para promover eso a través de un proceso de múltiples partes interesadas ”, advirtió Brad Smith, presidente y director legal de Microsoft.

En el evento países como los Estados Unidos, Rusia, China, Irán, Israel y el Reino Unido optaron por no firmar el acuerdo.

Más información aqui

Colombia es el país más atacado por ciberextorsión en Latinoamérica

La firma de ciberseguridad Eset informó que en 2018 Colombia ha sido el país de Latinoamérica con el mayor número de casos de ataque cibernéticos de secuestro de información, mejor conocidos como ‘ransomware’ o ciberextorsiones. 

Según los sistemas de detección de la firma eslovaca, Colombia registra 28 por ciento de los casos, seguido por Perú (17 %), México (15 %), Brasil (11 %), Argentina (9 %), y más atrás con el 4 por ciento, Chile, Ecuador y Venezuela.

 

“Vemos este año un gran foco de ataques de este tipo en Colombia, principalmente por una campaña totalmente dirigida a este país del virus Crysis”, explicó a Efe Matías Porolli, analista de Malware de Eset.

“Vemos este año un gran foco de ataques de este tipo en Colombia, principalmente por una campaña totalmente dirigida a este país del virus Crysis”, explicó a Efe Matías Porolli, analista de Malware de Eset.

Precisamente, ese virus informático lideró el número de detecciones en el país suramericano, con el 79 por ciento de los casos, seguido por otros ‘ransomwares’ como TeslaCrypt con el 4 por ciento y Locky con el 2 por ciento.

Crysis estuvo durante 2017 en el top 5 de las ciberextorsiones más detectadas en Latinoamérica y causó “grandes pérdidas de datos en la región y a nivel mundial”, según la compañía.

Eset alertó en julio que una nueva campaña de Crysis se propaga a través de correo electrónico, especialmente en países como Brasil, México, Colombia, Argentina y Perú.

En Colombia, el virus se propagó con un correo que pedía al usuario el pago de una deuda a través de una empresa de cobranzas “con un supuesto archivo PDF que en realidad era un ‘link’ para descargar el ‘malware'”, dijo Porolli.

Una vez la ciberamenaza ingresa en los ordenadores, se encriptan los datos de sus víctimas, como los demás virus de esta misma familia, y luego exige con un límite de tiempo el pago de un rescate para recuperar la información. Dichos pagos, por lo general se manejan por medio de una moneda virtual. 

De acuerdo con los datos de Eset, Latinoamérica representa el 13 por ciento de las detecciones de ‘ransomware’ en el mundo y Estados Unidos sigue siendo el principal blanco de esta amenaza, con el 9,5 por ciento de los casos internacionales.

Más información aqui

Proyecto de Ley de Modernización del Sector TIC

Con la promesa de cerrar las brechas digitales, aumentar la eficiencia institucional e incrementar la inversión, la ministra de las Tecnologías de la Información y las Comunicaciones (TIC), Sylvia Constaín, radicó el miércoles 18 de septiembre de 2018, ante el Congreso de la República, el proyecto de ley de modernización del sector TIC.

La iniciativa plantea la aspiración del Gobierno de Iván Duque de lograr una Colombia ‘moderna’ y conectada al ciento por ciento.

Para alcanzar este objetivo, el proyecto está enmarcado bajo de la política ‘El futuro digital es de todos’, presentada por primera vez en agosto durante la 33.ª edición del Congreso Andicom. Su pilar es precisamente la consolidación de un matrimonio entre el sector público y privado.

El Ministerio TIC ha reiterado que esto ayudaría a aumentar la competitividad y a garantizar el acceso a de las TIC en las poblaciones rurales.

Busca elevar a Colombia al nivel de los países con los cuales competimos por inversión, que nos permita llegar a un lugar donde podamos conectar a todos los colombianos

Con este proyecto, que pretende actualizar la Ley 1341 de 2009, que es la norma marco del sector TIC, se espera que se garanticen los recursos para la generación de contenidos y aplicaciones de interés público, se cree un regulador único y se aumenten las licencias de uso del espectro.

“Es un proyecto ambicioso que reconoce que Colombia viene en un momento en el que las inversiones en el sector han venido bajando.  Busca elevar a Colombia al nivel de los países con los cuales competimos por inversión, que nos permita llegar a un lugar donde podamos conectar a todos los colombianos, promover la apropiación de la tecnología para crear condiciones de mejoramiento de la calidad de vida de los colombianos con un enfoque especial en aquellos colombianos que están alejados”, dijo Constaín.

Por su parte, Alberto Samuel Yohai, presidente  de la Cámara Colobiana de Informática y Telecomunicaciones (CCIT), señaló: “Con un regulador único se eliminarán las confusiones existentes entre entidades para una mayor seguridad jurídica en el sector. De otro lado veo un incentivo a la inversión privada, pues las concesiones para los operadores de comunicaciones pasarían de 10 a 30 años, lo que traerá última tecnología, empleo y mayor bienestar”.

Estas son las claves de la iniciativa:

Espectro radioeléctrico

La cartera de las TIC ha hecho énfasis en que uno de los principales objetivos de esta política es aumentar la certidumbre jurídica en el país. En este sentido, se plantea que la asignación del espectro radioeléctrico quede a cargo solamente del Ministerio TIC (hoy lo puede hacer también la Autoridad Nacional de Televisión, ANTV).

El Gobierno dice que con esta medida se ayudaría a alcanzar la meta de masificar la conectividad y especialmente garantizar la conexión de última milla que permitiría que internet llegue no solo a las cabeceras municipales de las ubicaciones más alejadas del país sino también a colegios, hogares, hospitales y negocios.

En este punto también se plantea que el periodo de los permisos para el uso del espectro sea hasta por 30 años y no solamente 10, como está establecido actualmente. Según el MinTIC, el periodo actual es un tiempo muy corto para recuperar la inversión por lo que al ampliar las licencias el país quedaría en una posición más atractiva.

Tasa única para los operadores

Para hacer más eficiente el pago de contraprestaciones por el uso del espectro se definirá una tasa única de contraprestaciones para los operadores que acabaría con las diferencias y garantizaría la inversión por parte de estas compañías. El Ministerio TIC definirá el valor de la contraprestación periódica en máximo seis meses después de la promulgación de la ley y se revisará cada cuatro años.

Según el proyecto, esa  contraprestación será fijada mediante resolución por el Ministro basándose en criterios de fomento a la inversión así como otros aspectos como el ancho de banda asignado, número de usuarios potenciales, disponibilidad del servicio y planes de expansión y cobertura.

Fondo Único

La creación de un Fondo Único de TIC, que resultará de la unión del Fondo de Tecnologías de la Información y las Comunicaciones (FonTIC) y el Fondo para el Desarrollo de la Televisión y los Contenidos (FonTV), es una de las estrategias con las que el Gobierno espera cerrar la brecha digital. De acuerdo con el MinTIC, al existir dos fondos se genera incertidumbre jurídica y muchas veces los proyectos se estructuran desarticuladamente lo que hace que se reduzca su impacto

Al unificarlos, dice el Gobierno, se incrementará la eficiencia en el recaudo y la inversión en materia de cobertura.

Fortalecimiento de la televisión y la radio pública

Pero, ¿cómo se garantizarían los recursos para la televisión? La iniciativa apunta a que los recursos que se han destinado normalmente entre el 2012 y 2017 para la televisión pública se mantendrían con un incremento anual y habría unos recursos adicionales destinados a la creación de contenidos multiplataforma de interés público y social. La idea es que esta inversión llegue especialmente a las escuelas públicas en las zonas apartadas del país.

Regulador Único y modernización institucional

El Gobierno plantea la creación de un regulador único del sector TIC que se encargaría de todo lo relacionado con televisión, Telecomunicaciones, Internet y Radiodifusión Sonora. Actualmente existen dos entidades que cumplen esta labor por separado: la Comisión de Regulación de Comunicaciones (CRC) y la Autoridad Nacional de Televisión (ANTV). Al unificarse la entidad, dice el MinTIC, se generaría mayor certidumbre en el sector y por lo tanto se lograría una mayor modernización institucional. Sin embargo, la imposición de sanciones quedaría a cargo solamente del Ministerio de las TIC por lo que sería la única entidad con la facultad de vigilancia y control.

Este regulador tendría cinco comisionados con periodos fijos de cuatro años y se financiaría con una tasa regulatoria que está definida en la ley, tal y como se ha venido haciendo.

“Creamos un regulador único para el sector que reconoce que la televisión, la radio y las telecomunicaciones son realmente sectores que están uniéndose en uno, y como tal para ofrecerle al sector privado incentivos en términos de claridad jurídica tanto normativa como institucional”, agregó Constaín.

Más información aqui

Nueva Norma ISO/IEC 20000

Ya en la gran mayoría de nuestras organización se emplean Tecnologías de la Información como soporte de los procesos de negocio, y con toda seguridad habrá oído hablar del principal Sistema de Gestión que lo gestiona: la norma ISO/IEC 20000 para la gestión de servicios. Y es difícil  imaginar una empresa en la que no se utilicen TIC, absolutamente asombroso resultaría ignorar la naturaleza vital y dinámica de cualquier marco de gestión: Ya la ISO ha publicado en septiembre 2018  la tercera edición de la norma.

Bajo el paraguas de la norma ISO 9001, de Sistemas de Gestión de la Calidad, e integrado con otros sistemas de gestión, como el de Seguridad de la Información (ISO/IEC 27001) o el de Continuidad de Negocio (ISO 22301), ISO 20000-1 define un amplio catálogo de requisitos para un desempeño eficaz y eficiente de las Tecnologías de la Información que, además, debe ser capaz de seguir el vertiginoso ritmo de unos procesos de negocio cada vez más ágiles y digitalizados. La vigente versión fue publicada en 2011 (para Colombia 2012).

Cabe recordar que, precisamente un año más tarde, en 2012, ISO establecía que toda nueva edición de un estándar para un sistema de gestión debería adecuarse a una estructura de alto nivel (HLS) común definida en el Anexo SL de ISO; es decir, el índice y, consecuentemente, parte del contenido, debían unificarse. De este modo, se favorece la comprensión de los estándares y su aplicación conjunta e integrada. Por lo tanto, éste era un ejercicio de alineamiento y convergencia pendiente para el Sistema de Gestión de Servicios ISO/IEC 20000-1.

Ya en 2015 el Grupo de Trabajo internacional ISO/IEC JTC1 SC40 WG2 inició sus trabajos bajo la dirección de la editora del estándar, Lynda Cooper, quien, a finales del pasado mes de enero, ha sometido al procedimiento de votación internacional el primer borrador “committee draft” dejando atrás tres borradores preliminares; en él se trazan las líneas maestras de lo que será la nueva edición de esta norma.

Entre las principales novedades que anticipa este borrador se encuentran las siguientes:
El proceso de gestión de niveles de servicio se dividirá en dos: gestión del catálogo de servicios y gestión de niveles de servicio. También se separan en dos, gestión de la disponibilidad y gestión de la continuidad de servicios o gestión de incidencias y peticiones de servicio. Se añaden procesos nuevos como gestión de activos, la gestión de la demanda o la gestión del conocimiento. Sin embargo, el nuevo estándar hace énfasis en que la organización por procesos es a nivel de requisitos que se han de cumplir. El número de procesos que efectivamente se implementen en cada organización pueden variar, siempre y cuando se pueda evidenciar cumplimiento de todos los requisitos.

Se elimina la necesidad de tener planes de disponibilidad o capacidad, aunque se mantiene el plan de continuidad y plan de gestión de servicios. Eso no quiere decir que no haya que planificar la disponibilidad o la capacidad, pero deja de ser obligatorio tener un documento específico para cada plan.

Los requisitos de muchos procesos se actualizan y clarifican para asegurar su aplicación en paradigmas actuales de computación como cloud computing o outsourcing. También se mejora la redacción de algunos requisitos que resultaban confusos.

Existen otro tipo de cambios, derivados de la adaptación al anexo SL de ISO que, aunque puedan parecer menores, están teniendo cierto impacto. Es el caso de tener que sustituir “proveedor de servicio” por “organización”, añadir nuevos requisitos sobre el contexto del sistema de gestión o hacer mayor énfasis en la gestión de objetivos.

Sin duda, la nueva edición de la norma aportará una mejora en el alineamiento de este sistema de gestión de servicios con otros marcos de referencia ampliamente reconocidos y, por ende, implicará un aumento de la integración y del protagonismo de las Tecnologías de la Información en unos procesos de negocio que necesitan de ellas como elemento dinamizador y diferencial.

Los nuevos requisitos del estándar en su versión 2018 afectan principalmente a:

  • La planificación de servicios
  • La gestión administrativa
  • La gestión de activos
  • Gestión de la demanda
  • Servicios de entrega

Requisitos en la documentación de procesos

  • Se reduce el número de procedimientos documentados requeridos
  • El requisito de documentar el plan de Capacidad y Disponibilidad se sustituye por requisitos para planificar la disponibilidad del servicio y la capacidad
  • Los requisitos de CMDB (configuration management database) se sustituye por nuevos requisito de información de configuración
  • La definición de una Política de liberación de servicios ahora son requisitos para definir tipos de liberación y frecuencia.
  • La Política de mejora continua ahora debe de considerarse en requisitos para determinar los criterios de evaluación y oportunidades de mejora
  • La cláusula de notificación del servicio ahora se contempla dentro de las cláusulas para elaboración de informes

Más información aqui

 

22301 Continuidad

ISO 22301:2012 ha sido una conclusión de los esfuerzos del ámbito empresarial internacional por obtener un estándar que nos ayude a gestionar la Continuidad de un negocio y/o actividades de una organización. Como precedente a este estándar nos encontramos con la norma Británica BS 259999 que actuó como base e impulsora de la actual ISO 22301 Gestión de la Continuidad del Negocio publicada por la Organización Internacional de estandarización ISO.

Las claves para entender la norma ISO 22301 pasan entender que se trata de:

  • Establecer una base común de conocimiento para entender la continuidad del Negocio
  • Desarrollar e implantar una política de Continuidad del Negocio en una organización
  • Acreditar la conformidad y compromiso de una organización con las mejores prácticas internacionales en Continuidad del Negocio.

EL principal objetivo de esta norma es mantener la continuidad de las actividades de una organización, proteger sus intereses defendiendo los intereses de sus empleados y partes interesadas, mantener la reputación su reputación ante cualquier amenaza o circunstancia adversa.

La norma ISO 22301 está pensada para que sea implementada por cualquier tipo de organización ya sea pública o privada sin importar su tamaño

Ahora bien, aplicar este estándar en pequeñas organizaciones surge la duda si el esfuerzo necesario y los requisitos de la norma se pueden adaptar a estas organizaciones de forma que se obtengan los resultados que se pretenden.

Ante este interrogante se debe tener en cuenta:

  • El daño que se puede producir a una organización por no haber previsto que hacer en circunstancias adversas puede ser causa de cierre o de suspensión de actividades y pérdidas patrimoniales
  • El método de la norma ISO 22301 puede ser utilizado por cualquier empresa para conocer y tomar medidas no siempre costosas para disminuir el riesgo
  • Las políticas y la cultura de prevención del riesgo reduce los costes operacionales y fomenta las buenas prácticas

Concordancia con otras normas

Mas información aqui

Gobierno de TIC

En abril de 2015 se publicó ISO/IEC  TS 38501,  la nueva guía para la implementación de gobierno de las Tecnologías de la Información y Comunicaciones (TIC). La familia 38500 es aplicable a todas las organizaciones, desde las más pequeñas hasta las más grandes, independientemente de qué tipo sea.

El objetivo de ISO / IEC 38500 es proporcionar principios, definiciones, y un modelo que los órganos de gobierno puedan utilizar para evaluar, dirigir y supervisar el uso de tecnología de la información  en sus organizaciones.

ISO / IEC 38500: 2015  hace referencia a ISO/IEC  TS 38501: 2015   Guía de implementación de gobierno de las TIC, e ISO / IEC TR 38502: 2014 Marco y modelo de Gobierno de TI.

El Informe Cadbury fue publicado por el Comité de Aspectos Financieros del Gobierno Corporativo,  en 1992.  Sirvió como fundamento para la definición de Gobierno Corporativo presentada en el documento “Principios de Gobierno Corporativo” publicado por la OECD (Organización para la Cooperación y el Desarrollo Económico) en 1999 (revisada en 2004). 

Como una extensión natural del concepto de Gobierno Corporativo surge la definición de Gobierno Corporativo de las TIC, presentado en la primera edición de la norma internacional ISO/IEC 38500 Gobierno Corporativo de las TIC, la cual se publicó en junio del 2008: El sistema por el cual el uso actual y futuro de TI es dirigido y controlado.

En febrero de 2015 fue publicada la segunda edición de ISO / IEC 38500, esta vez con el título “Gobierno de TI para la organización”.  En la cláusula de Términos y Definiciones se aclara con una nota que el gobierno corporativo es el gobierno organizacional aplicado a las corporaciones y  que la definición gobierno corporativo  se incluye para aclarar la evolución en la terminología respecto a la edición anterior.

ISO / IEC 38500: 2015  presenta los beneficios de contar con un buen gobierno de las TIC, basado en principios y un modelo  que los órganos de gobierno  pueden utilizar.  ¿Qué órganos de gobierno? El principio número uno del Informe King III nos responde diciendo “La junta directiva  debe ser responsable del gobierno de tecnología de la información”.  En las matrices RACI de COBIT 5, se puede observar que la letra “A”  por Accountability que indica la rendición de cuentas de cada una de las prácticas de gobierno está asignada al Board. En la traducción al español de ISACA de Madrid figura el Consejo de Administración. 

ISO / IEC 38501: 2015 plantea un enfoque de implementación en el que se requiere establecer y mantener un entorno apropiado para  el gobierno de las TIC y llevar a cabo una revisión continua.  Se centra en los resultados en vez de los medios para lograrlos.

ISO / IEC 38502: 2014 trata acerca del Modelo Evaluar-Dirigir-Supervisar  para el Gobierno de las TIC, hace la distinción entre gobierno y gestión de TI, y provee una guía para la aplicación del modelo, reconociendo que  para que exista un buen gobierno de TI se requiere  establecer un sistema eficaz de control interno en la organización.  Habla también de delegación e indica que los aspectos del gobierno de las TIC pueden ser atendidos por los gerentes, si tienen la responsabilidad y autoridad apropiada asignada por el órgano de gobierno.

Si considera que las TIC  juega un papel importante en su organización, debería leer y estudiar estas normas. Muchos problemas a los que se enfrentas las organizaciones hoy en día como por ejemplo: proyectos que terminan tarde y se pasan del presupuesto, entregables que no cumplen con los requerimientos, servicios interrumpidos, personal de las TIC frustrado que trabaja en un horario excesivo y que aun así no logra satisfacer la demanda, etc., no son problemas de raíz, sino apenas el síntoma de un mal mayor, la deficiencia o carencia del Gobierno de las TIC.

Más información aqui

Iso20000-1:2012

La NTC-ISO/IEC 20000-1: 2012 es la especificación formal para la gestión de servicios de TI. Define claramente en 31 páginas todos los requisitos que necesita para ofrecer servicios de TI gestionados y alcanzando un nivel de calidad aceptable para los clientes.

Los requisitos del sistema de gestión de servicios se resumen en:

SECCIÓN 4: REQUISITOS GENERALES DEL SISTEMA DE GESTIÓN DE SERVICIOS
La alta dirección deberá proporcionar evidencia de su compromiso con la planificación, establecimiento, implementación, operación, monitoreo, revisión, mantenimiento y mejora de los SGS y los servicios a través de:

  • Establecer y comunicar el alcance, la política y los objetivos para la gestión del servicio;
  • Creando un plan de gestión del servicio con el fin de cumplir con la política y lograr los objetivos para la gestión del servicio y los del propio servicio;
  • Comunicar la importancia de cumplir con los requisitos del servicio;
  • Comunicando la importancia de cumplir con los requisitos reglamentarios y legales y las obligaciones contractuales;
  • Asegurando la provisión de recursos;
  • Planificar y realizar auditorías internas y revisiones de la administración;
  • Asegurando que los riesgos a los servicios sean evaluados y gestionados.

GOBIERNO DE LOS PROCESOS OPERADOS POR OTRAS PARTES
(Secciones 5 a 9) Un requisito importante es la necesidad de que cualquier proveedor de servicios TI deberá identificar todos o parte de los procesos que sean operados por otras partes (es decir, un grupo interno, un cliente o un proveedor). El proveedor del servicio deberá demostrar que es quien controla y gobierna los procesos operados por otras partes.

GESTIÓN DE LA DOCUMENTACIÓN

El proveedor del servicio debe establecer y mantener documentos, incluyendo registros, para garantizar una planificación, operación y control efectivos del SGS (Sistemas de Gestión de Servicios).

ADMINISTRACION DE RECURSOS
El proveedor del servicio debe determinar y proporcionar los recursos humanos, técnicos, de información y financieros necesarios para establecer, implementar y mantener el SGS. Además, el personal debe ser competente sobre la base de formación, capacitación, habilidades y experiencia apropiadas.

ESTABLECER Y MEJORAR EL SGS
Los pasos que debe seguir el proveedor del servicio para establecer y mejorar el SGS son:

Definir el alcance del sistema de Gestión de Servicios

Planificación del SGS (Planear)

Implementando y operando el SGS (Hacer)

Monitoreo y revisión del SGS (Verificar)

Mantenimiento y mejora del SGS (Actuar )

SECCIÓN 5: DISEÑO Y TRANSICIÓN DE SERVICIOS NUEVOS O MODIFICADOS
El proceso de gestión y control de cambios contempla la necesidad de las empresas de incorporar nuevos servicios o mejorar los existentes, estableciendo requisitos para el proceso de diseñas incorporar y realizar la transición a los nuevos servicios.

Para ello se establecen requisitos para los siguientes procesos

Planificar los servicios nuevos o modificados: identificación de los requisitos de servicio para el servicio nuevo o modificado;

Diseño y desarrollo de servicios nuevos o modificados: diseño y documentación del servicio nuevo o modificado;

Transición de servicios nuevos o modificados: prueba del nuevo servicio para verificar el cumplimiento de los requisitos del servicio y diseño documentado.

SECCIÓN 6: PROCESOS DE PRESTACIÓN DEL SERVICIO
En esta cláusula se establecen requisitos para los siguientes procesos relacionados con la entrega del servicio:

Gestión del Nivel de Servicio: es una serie de actividades que incluyen

  • Creando un catálogo de servicios;
  • Establecer uno o más SLA (Service Level Agreement – Acuerdos de niveles de Servicio) para cada servicio;
  • Monitoreo de los niveles de servicio;
  • Informes sobre los resultados; y
  • Revisando niveles de servicio.

Presentación de Informes de servicio: Requisitos para la descripción de cada informe de servicio, incluyendo:

  • Su identidad,
  • propósito,
  • audiencia,
  • frecuencia y
  • detalles de las fuentes de datos,

Gestión de la continuidad y la disponibilidad  del servicio: el proveedor del servicio evaluará y documentará los riesgos para la continuidad del servicio y la disponibilidad de los servicios

El proveedor del servicio establecerá con los clientes y las partes interesadas los requisitos de continuidad y disponibilidad del servicio.

Además, el proveedor del servicio deberá tener un plan de continuidad y disponibilidad del servicio.
La disponibilidad de los servicios debe ser monitoreada, los resultados registrados y comparados con los objetivos acordados.

Presupuesto y  contabilidad de los servicios: requisitos para la evaluación de los costos a nivel presupuestario para permitir un control financiero efectivo y la toma de decisiones para los servicios prestados.

Gestión de la capacidad: Requisitos para identificar y acordar los requisitos de capacidad y rendimiento de los servicios con el cliente y las partes interesadas para garantizar que el proveedor del servicio tenga la capacidad suficiente para satisfacer las necesidades actuales y futuras de los clientes.

Gestión de la seguridad de la información: requisitos para

Estableces una política de seguridad de la información teniendo en cuenta los requisitos del servicio, incluyendo los requisitos legales y reglamentarios y las obligaciones contractuales.

Requisitos para garantizar que los proveedores de servicios administren efectivamente la seguridad en todas las actividades de servicio.

SECCIÓN 7: PROCESOS DE RELACIÓN
Se establecen requisitos para dos procesos de relación con respecto a la administración de los servicios TI:

Gestión de relaciones con el negocio: requisitos para establecer y mantener unas buenas las relaciones entre el proveedor de servicios y el cliente, basadas en la comprensión del cliente y sus unidades de negocio.

Gestión de los proveedores: requisitos para la gestión de proveedores con el objetivo de garantizar la prestación de servicios de calidad constante.

SECCIÓN 8: PROCESOS DE SOLUCIÓN
Esta cláusula incluye requisitos para la gestión de incidentes, solicitudes de servicio, y gestión de problemas.

Para ello la norma se fija en las mejores prácticas existentes en muchas organizaciones para procesar informes de incidentes y procesos de cambio de servicio a través de un proceso común.

La gestión de incidentes persigue el restablecimiento de la normal prestación de servicios lo antes posible ante la ocurrencia de un incidente y minimizar las interrupciones.

También es importante el establecimiento de requisitos para identificar y analizar la causa de los incidentes y así facilita la gestión de los problemas hasta el cierre de los mismos.

SECCIÓN 9: PROCESOS DE CONTROL
En esta cláusula se describen los siguientes procesos y sus requerimientos

Gestión de la configuración: Se refiere a la gestión de los activos del servicio y sus elementos de configuración (CI) para admitir otros procesos de gestión de servicios.
NOTA :Un elemento de configuración se refiere a cualquier componente que requiera ser controlado.
P. ej. Router, documentación, motor de BD, portátiles, teléfonos etc.
Se establecen requisitos para:

  • Los registros de configuración y los registros de deficiencias como documentos requeridos para la administración de la configuración.
  • Definir y controlar los componentes del servicio y mantener una información de configuración precisa.

Gestión del cambio: se establecerá una política de gestión del cambio que defina:

  • Los elementos de configuración que están bajo el control de la gestión del cambio;
  • Los criterios para determinar los cambios con potencial de tener un gran impacto en los servicios o el cliente.
  • Requisitos para garantizar que todos los cambios sean evaluados, aprobados, implementados y revisados de manera controlada.

Gestión de versiones e implementaciones: el proveedor del servicio debe establecer y acordar con el cliente una política de liberación de servicios que considere la frecuencia y el tipo de puesta en marcha de un servicio.
Planificar con el cliente el despliegue de los servicios nuevos o modificados y los componentes del servicio en el entorno en vivo.
La planificación debe coordinarse con el proceso de gestión del cambio e incluir referencias a las solicitudes de cambio relacionadas, errores conocidos y problemas que se cierran a través de la puesta en marcha.
Las liberaciones de emergencia se deben administrar de acuerdo con un procedimiento documentado que se relacione con el procedimiento de cambio de emergencia.
Se debe monitorear y analizar el éxito o el fracaso de las versiones y se debe proporcionar información al proceso de gestión de cambios, los procesos de gestión de solicitudes de incidentes y servicios.

Más información aqui