Conceptos fundamentales para la implementación de TI 05/09/2023

Creado por: Mónica Lucía Pérez Gómez

En este documento se describirán algunas normas, documentos y metodologías alrededor de las tecnologías
de la información, que son y en qué consisten para de esta manera, poder hacer uso de ellas cuando sea
necesario y tener el contexto suficiente tanto nacional como internacional para poder hacer uso e
implementación de las tecnologías de la información al margen de ellas.

 ISO/IEC 2000 (1)

Certificación ISO/IEC 20000-1, Tecnología de la información. Sistemas de Gestión del Servicio: Esta
norma se basa en los principios ITIL (Information Technology Infrastructure Librar) y consiste en la
metodología de la gestión de servicios de IT proporcionando un marco y enfoque sistemático para
ser capaz de planear, implementar operar, revisar, mantener y mejorar un sistema que gestione los
servicios de IT.

 ISO/IEC 27000:2018 (2)

Técnicas de Seguridad y Sistemas de Gestión de Seguridad de la Información: ISO/IEC 237000 es
una norma que aborda ampliamente los sistemas de gestión de seguridad de la información (ISMS),
también establece términos y definiciones usados comúnmente en ISMS así como algunos
estándares, por esto, una de sus principales funciones es facilitar las bases y lenguajes para el resto
de las normas.

 ISO/IEC 38500:2015 (3)

Gobierno de IT para la organización: Esta norma está principalmente dirigida a los miembros de las
áreas de gobierno de las organizaciones y consiste en la forma más efectiva, eficiente y aceptable
del uso de las tecnologías de la información en sus organizaciones, y yace en los siguientes
principios:

o Asegurar que los principios y las prácticas establecidas en la norma sean seguidas.
o Establecer el vocabulario para gobierno de IT así como informar y guiarlos en el uso de IT.

 ISO/IEC 31000:2018 (4)

Gestión de Riesgos: La mencionada norma provee las pautas en la administración y gestión de los
riesgos a los que se enfrenta una organización, el uso y la aplicación de estas pautas se pueden
particularizar para cualquier organización y en cualquier contexto. En esta norma se puede encontrar
un enfoque estandarizado para gestionar cualquier tipo de riesgo y no está especificada para un
sector o industria determinado, y puede ser utilizado en cualquier actividad, incluyendo los niveles de
toma de decisiones.
 ISO/IEC 22301:2019 (5)
Seguridad y Resiliencia, Sistemas de Gestión en la Continuidad del Negocio: En este documento se
puede encontrar las especificaciones del requerimiento para la implementación, mantenimiento y
mejora de la gestión de sistemas para tener la capacidad de afronta, reducir la incidencia o
prepararse para responder y recuperarse de las disrupciones que sucedan en la organización. Los
requerimientos establecidos en esta norma tienen la intención de ser aplicables en cualquier
organización o partes de la organización sin considerar su tamaño y naturaleza. Esta norma es
aplicable a cualquier organización que:
o Implemente, mantenga y actualice los sistemas de gestión de la continuidad del negocio
(BCMS)
o Busque la conformidad con la política de continuidad de negocio.
o Tenga la capacidad de continuar entregando los productos y servicios durante una
disrupción.
o Busque mejorar su resiliencia durante la aplicación de BCMS.

 NMX-I-20000-1-NYCE-2019 (6)
Requisitos del sistema de gestión del servicio: La mencionada norma es una norma mexicana que
especifica los distintos requisitos establecidos para que una organización instituya, implemente,
mantenga y mejore de manera continua un Sistema de Gestión de Servicios (SGS), incluye la
planificación, diseño, transición, entrega y mejora de los servicios. Esta norma es idéntica que la
ISO/IEC 20000-1:2018.

 NMX-I-27000-NYCE-2019 (7)
Sistemas de Gestión de Seguridad de la Información: Esta norma mexicana establece los
fundamentos de los Sistemas de Gestión de Seguridad de la Información (SGSI). También define los
términos y conceptos de las normas de SGSI, esta norma se puede aplicar en cualquier tipo de
organizaciones. Esta norma es idéntica a ISO/IEC 27000:2018.

 COBIT 5 (8)
Objetivos de control para la Información y Tecnologías Relacionadas: Es un conjunto de
herramientas de soporte para reducir la brecha entre los requerimientos de control, temas técnicos y
los riesgos de la organización. Mediante COBIT 5, se puede establecer una política que permita el
control de las Tecnologías de la Información cumpliendo las regulaciones e incrementando el valor
del área de TI. COBIT 5 se ha usado desde la auditoría de TI, hasta el control gestión, gobierno de
ellas.
Se considera el uso de Business Model for Information Security (BMIS) e IT Assurance Framework
(ITAF). Además permite alinearse con los principales estándares o marcos como Information
Technology Infrastructure Library (ITIL), The Open Group Architecture Forum (TOGAF), Project
Management Body of Knowledge (PMBOK), PRojects IN Controlled Environments 2 (PRINCE2),
Committee of Sponsoring Organizations of the Treadway Commission (COSO) y estándares ISO.
COBIT 5 cuenta con los siguientes principios:
 1. Satisfacción de las Necesidades de los Accionistas.
2. Consideración de toda la empresa.
3. Aplicar un único modelo de referencia integrado.
4. Posibilitar un enfoque Holístico.
5. Separar el gobierno de la gestión.
 ITIL (9)

Information Technology Infrastructure Library: es el marco de referencia de mejores prácticas de

Service Management más popular a nivel mundial. Su intención al momento de su inicio era alinear la
entrega de servicios de TI con las necesidades y expectativas del gobierno inglés, en 2007 fue
entregada la versión 3 de ITIL que contiene 26 procesos y 4 funciones y propone la gestión de TI a
través de la gestión de estos 26 procesos ordenados en un ciclo de vida de 5 fases, finalmente, la
ITIL 4 substituye al ciclo de vida con el nuevo concepto de Sistema de Valor del Servicio (SVS) que
pretende mostrar una mezcla de distintos componentes que asistirá la conversión de Demanda y
Oportunidades en Valor. El núcleo de SVS se compone de los siguientes elementos:

o Cadena de Valor del Servicio.

o 34 Prácticas de ITIL.
o 7 Principios Guía.
o Gobierno.
o Mejora Continua.

 TOGAF (10)
The Open Group Architecture Framework: Trata de un marco de referencia que permite planificar,
diseñar e implementar la arquitectura empresarial de una organización. La arquitectura empresarial
consiste en optimizar todos los elementos que apoyan la realización de la estrategia de negocio,
posibilita tener una visión global de la empresa, considerando procesos, estructura empresarial y TI.
Partiendo de esto, TOGAF define los componentes especiales que actúan como base para
estructurar y ensamblar los diferentes elementos de la organización en edificaciones más complejas.
Se puede hacer uso de TOGAF en cualquier organización que se desee desarrollar una arquitectura
empresarial, adaptándolo a sus necesidades.
 eTOM (11)
Business Process Framework (eTOM): El marco de procesos de negocio (eTOM) es un esquema
jerárquico de clasificación con descripciones de los procesos de negocio clave para correr un servicio
enfocado en el negocio. eTOM establece un lenguaje unificado para todos los departamentos,
sistemas, asociados y proveedores para así reducir el costo y riesgos que tiene la implementación,
integración y obtención de los sistemas.
El objetivo de eTOM son los procesos del negocio que son orientados al servicio de empresas, como
se entrelazan estos procesos y el uso de la información para distintos procesos.
 DevOps (12)
DevOps la combinación de desarrollo y operaciones, designando la unión de personas, procesos y
tecnología para otorgar valor a los clientes. DevOps procura que los roles de operaciones de TI,
 ingeniería de calidad y seguridad tengan la capacidad de coordinarse y colaborar para crear mejores
productos. Implementando DevOps conjunto sus prácticas y herramientas se adquirirá una mejor
capacidad de respuesta a las necesidades de los clientes, así como se aumentará la confianza en las
aplicaciones creadas y se alcanzarán los objetivos empresariales en menor tiempo.
DevOps influye en el ciclo de vida de las aplicaciones a lo largo de las fases de planificación,
desarrollo, entrega y uso, interrelacionándolas.
 Lean IT (13)
Lean IT complementa otros marcos de referencia como ITIL y Scrum, aportando un sentido del
propósito para entregar valor al cliente, es decir, se enfoca a la construcción de una cultura enfocada
al cliente y a los empleados que se involucran en los procesos de TI. También procura la integración
de todos los empleados para preservar el valor con menos y esfuerzo y con ello, poder optimizar
todas las operaciones de TI. Para realizar su propósito pretende proporcionar:
o Un conjunto estándar de la industria de materiales de referencia de Lean IT y otros recursos
para que lo utilicen las organizaciones profesionales.
o Una comprensión clara del valor y el posicionamiento de Lean IT en relación con otros
cuerpos de conocimiento, marcos y estándares.
o Un esquema de certificación dirigido a organizaciones profesionales que buscan adoptar los
principios de Lean IT.

 IT4IT (14)
Es un marco de referencia creado por Open Forum para establecer las TI como negocio, con ello,
plantea la evolución de un modelo de negocio conceptual a un modelo lógico. Pretende realizar esto
mediante una arquitectura prescriptiva de servicio con la capacidad de replicarlo de manera
automática. Para crear esta arquitectura requiere de cuatro flujos:
o Un Portafolio Estratégico en el que se cree un marco de trabajo en donde se tenga la
capacidad de administrar soluciones, dando paso a que las TI contribuyan con la estrategia
establecida por el negocio.
o El Requerimiento de Implementación desde hacer la estrategia tangible, que se tenga una
oferta viable, construida y entregada con respecto a los requerimientos del cliente.
o Una Solicitud al Cumplimiento, que se refiere a poner las aplicaciones a disposición del
usuario, con el fin de monitorear el uso de ella y construir soluciones acordes a lo
observable.
o Detectar y corregir las fallas antes de que afecten el servicio y tomar decisiones de mejora a
la estrategia partiendo de ellas.

Todos los conceptos analizados, que van desde la reglamentación, las normas, hasta las mejores
metodologías y culturas relacionadas a IT, nos pueden ser de gran utilidad, no solo para implementar de la
mejor y más óptima manera cualquier marco de referencia o el conjunto de ellos, también para ser capaces de
identificar si se están realizando de manera correcta las implementaciones de IT, en cualquier parte de su
ciclo de vida, y adicional, mejorar y reforzar cualquier proceso relacionado a IT.
 Bibliografía

(1) Icontec. (2023, 22 marzo). Certificación ISO/IEC 20000-1, Tecnología de la Información. Sistemas de Gestión del
Servicio. - IconTec. Recuperado de https://www.icontec.org/eval_conformidad/certificacion-iso-iec-20000-1-tecnologia-
de-la-informacion-sistemas-de-gestion-del-servicio-2/
(2) ISO/IEC 27000:2018. (2022, 4 mayo). Recuperado de https://www.iso.org/standard/73906.
(3) ISO/IEC 38500:2015. (s. f.). Recuperado de https://www.iso.org/standard/62816.html
(4) ISO 31000:2018. (2022, 4 febrero). Recuperado de https://www.iso.org/standard/65694.html
(5) ISO 22301:2019. (2023, 5 junio). Recuperado de https://www.iso.org/standard/75106.html
(6) DECLARATORIA de vigencia de la Norma Mexicana NMX-I-20000-1-NYCE-2019. (2020, 6 marzo). Recuperado de
https://www.dof.gob.mx/nota_detalle.php?codigo=5588618&fecha=06/03/2020#gsc.tab=0
(7) DECLARATORIA de vigencia de la Norma Mexicana NMX-I-27000-1-NYCE-2019. (2020, 9 marzo). Recuperado de
https://www.dof.gob.mx/nota_detalle.php?codigo=5588711&fecha=09/03/2020#gsc.tab=0
(8) Los cinco principios de COBIT 5 | Conexión ESAN. (s. f.). Recuperado de https://www.esan.edu.pe/conexion-esan/los-
cinco-principios-de-cobit-5
(9) ITIL 4: Las mejores prácticas en gestión de servicios de TI. (2020, 11 agosto). Recuperado de https://www.itil.com.mx/
(10) Unir, V. (2022, 3 febrero). ¿Qué es la metodología TOGAF? UNIR. Recuperado de https://www.unir.net
(11) TM Forum. (2023, 7 julio). Process Framework (ETOM) - TM Forum. Recuperado de
https://www.tmforum.org/oda/business/process-framework-etom/
(12) ¿Qué es DevOps? (s. f.). Recuperado de https://azure.microsoft.com/es-mx/resources/cloud-computing-dictionary/
what-is-devops
(13) Lean IT Fundamentos | Certification Hub. (s. f.). Recuperado de https://www.certification-hub.com/leanit-fundamentos
(14) Infochannel, S. (2021). IT4IT para que la tecnología genere negocio. Infochannel. Recuperado de
https://infochannel.info/it4it-para-que-la-tecnologia-genere-negocio/