Diseño y evaluación de un proceso de gestión de seguridad de servicios de TI :

Abstract

En la actualidad, la infraestructura de tecnologías de la información (TI) se ha convertido en esencial para las organizaciones, para prestar servicios de calidad a sus usuarios, mediante la cual, las organizaciones están buscando implementar normas que les permitan una mejor gestión de sus recursos, ya sea infraestructura o software, para aumentar la calidad de sus servicios y convertir esto en una ventaja competitiva en su campo. Debido a esto, es común el uso de ITSM (IT Service Management), que se basa en varios estándares, tales como: COBIR, MOF, ISO / IEC 20000 y ITIL, entre otros. En esta transición de proveedor de tecnología para el proveedor de servicios requiere el apoyo de estas metodologías. En este trabajo, se presenta un estudio sobre las metodologías ITIL v2, v3 MOF e ISO 20000, centrándose en el proceso de gestión de la seguridad en cada una de ellas, con el objetivo de diseñar un Proceso de Gestión de la Seguridad de Servicios de TI basado en las mejores prácticas de la norma ISO 20000, complementado con específica propuestas de MOF e ITIL v3 v2. Del mismo modo, la aplicación de este proceso en el caso de LabDC-UAA, que es, el laboratorio del Centro de Datos del Departamento de Sistemas Electrónicos de la Universidad Autónoma de Aguascalientes, e incluye unos 90 artículos en su infraestructura, además, cuenta con 28 servicios académicos que se ofrecen tanto a los alumnos como a los profesores de carreras relacionadas con TI. Esta situación hace necesaria la implementación de métodos de control, también, incluye el estudio de 3 herramientas de código abierto para apoyar el proceso de implementación. Del mismo modo, se somete a un proceso de evaluación mediante un par de cuestionarios que se puede ver en el Capítulo VII de este trabajo, en el que se recogieron los datos demográficos de los encuestados, y de la metodología propuesta se evalúan: constructos de utilidad, la facilidad de uso, compatibilidad, creencias normativas y la actitud final. Con el apoyo de los resultados de la evaluación, se puede concluir que la metodología propuesta en este trabajo para la implementación del proceso de gestión de la seguridad, con el apoyo de la herramienta de código abierto seleccionado (ProAct®), es 10 percibido por la gente como bastante útil, compatible con sus formas y necesidades de trabajo, y es coherente con los principios y comportamientos de trabajo de sus organizaciones, es decir, proporcionan beneficios a las organizaciones. Sin embargo, como con cualquier nuevo proceso organizacional para ser implementado, se identificó la necesidad de un período de entrenamiento, para utilizarlo correctamente. Por lo tanto, esta tesis, contribuye al avance del proceso de gestión del centro de datos de laboratorio para las organizaciones pequeñas o medianas, donde los altos costos impedían la adquisición de herramientas ITSM comerciales y contratar costosos consultores ITSM, a través de la provisión de un proceso esencial de gestión de seguridad, apoyado por una herramienta de código abierto.

Currently, the information technology infrastructure (IT) has become essential for organizations, to deploy quality services to its users, whereby, organizations are looking to implement standards to enable them improved management of its resources, either infrastructure or software, to increase the quality of their services and turn this into a competitive advantage in their field. Because of this it is common to use ITSM (IT Service Management), which is based on several standards, such as: COBIR, MOF, ISO / IEC 20000 and ITIL, among others. In this transition from technology provider to service provider requires the support of these methodologies. This paper, presents a study about methodologies ITIL v2, MOF v3 and ISO 20000, focusing on the safety management process in each of them, with the aim of designing a IT Service Safety Management Process based on best practices of ISO 20000, supplemented with specific proposals from MOF and ITIL v3 v2. Likewise, the application of this process in the case of LabDC-UAA, which is, the Data Center Electronic Systems Department laboratory from Autonomous University of Aguascalientes, and includes about 90 items in its infrastructure, It also has 28 academic services offered to both students and teachers of IT careers. This situation makes it necessary to implement control methods, also, includes the study of 3 open source tools to support the implementation process. Similarly, it is subjected to an evaluation process by a pair of questionnaires that can be seen in Chapter VII of this work, in which the demographics of respondents were collected, and from the proposed methodology are evaluated: constructs of utility, ease of use, compatibility, normative beliefs and final attitude. With support from the results of the assessment, it can be concluded that the methodology proposed in this paper for implementation of safety management process, with the support of the selected open source tool (ProAct), is perceived by people as quite useful, compatible with its ways and needs of work, and it is consistent with the principles and behaviors of work of their organizations, ie, provide benefits to organizations. However, as with any new organizational process to be implemented, the need for a training period was 12 identified, to use it properly. Therefore, this thesis, contributes to the advancement of management process Laboratory Data Center for small organizations or medium, where high costs prevented the acquisition of commercial ITSM tools and hiring expensive consultants ITSM, through the provision of a essential security management process, supported by an open source tool.