Normas ISO y Certificaciones Tiers.

...

Este nivel de validación puede contribuir a mejorar la competitividad de la empresa.

Para decidir si le conviene solicitar la certificación ISO 20000, una organización debería tener en cuenta los siguientes factores:

- La ISO 20000 es particularmente importante para organizaciones de sectores industriales en los que la calidad de los servicios de TI es fundamental para el éxito del negocio (sector financiero, sector sanitario y el de servicios públicos, como son el suministro de agua y electricidad).

La certificación permite a las organizaciones que pertenecen a estas industrias demostrar a sus accionistas y clientes que disponen de una infraestructura tecnológica bien gestionada.

- La ISO 20000 también es importante para organizaciones que prestan servicios gestionados internamente o mediante subcontratación. La certificación les permite garantizar a sus clientes que sus entornos de TI se administrarán de la forma adecuada, y que recibirán servicios tecnológicos de alta calidad. La documentación debe incluir las políticas y los planes de gestión de servicios, los acuerdos de nivel de servicio, los procesos y procedimientos exigidos por la norma y sus registros de datos correspondientes.

- Las empresas deben tener en cuenta las implicaciones de la certificación con respecto al cumplimiento de la normativa local. Cada vez hay más normas y leyes cuyo cumplimiento se debe demostrar. Muchas de estas normas tienen que ver específicamente con los servicios tecnológicos y su gestión. En la actualidad, los inspectores no exigen la presentación de certificaciones como prueba de cumplimiento, pero podrían hacerlo en un futuro. Dado que la ISO 20000 aborda específicamente la calidad de gestión de los servicios de TI, podría convertirse en una norma internacional utilizada por los inspectores para comprobar el cumplimiento de la ley.

La certificación ISO 20000 sólo se otorgará a organizaciones que realicen operaciones de gestión de servicios de TI, y sólo certificará el buen funcionamiento de esas operaciones. Su objetivo no es certificar productos ni servicios de consultoría relativos a la aplicación de buenas prácticas. La certificación puede convertirse en un requisito imprescindible para poder hacer negocios con determinadas organizaciones tales como instituciones gubernamentales o empresas que subcontratan servicios tecnológicos.

---------------------------------------------------------------

ISO 27000

Similar a otras normas ISO, la 27000 es una serie de estándares.

La ISO 27000 es la norma que explica cómo implantar un Sistema de Gestión de Seguridad de la Información en una empresa. La implantación de una ISO 27000 en una organización permite proteger la información de ésta de la forma más fiable posible.

Se persiguen 3 objetivos:

- Preservar la confidencialidad de los datos de la empresa.

- Conservar la integridad de estos datos.

- Hacer que la información protegida se encuentre disponible.

Una empresa que tiene implantada la ISO 27000 garantiza, tanto de manera interna como externa (resto de las empresas), que los riesgos de la seguridad de la información son controlados por la organización de una forma eficiente.

El estándar ISO 27000 es totalmente compatible con otras normas de sistemas de gestión (por ejemplo, la ISO 9001, ISO 14001, etc) y puede ser implantado de forma integrada con estas.

---------------------------------------------------------------

Entendiendo los Tiers

Tier es una certificación (o también considerada una “clasificación”) de un DataCenter en lo que respecta a su diseño, desempeño, estructura, fiabilidad, inversión y retorno de inversión.

Todo esto se asocia a cuatro niveles (Tier I, Tier II, Tier III y Tier IV):

Los cuatro niveles de tiers se pueden entender como cuatro niveles de disponibilidad, teniendo que “a mayor número de tier, mayor disponibilidad”, lo que implica mayores costos constructivos.

Esta clasificación se aplica a cada subsistema, asignando la clasificación global del datacenter la del subsistema con menor número de tier. Por ende, si tenemos un datacenter con todos sus subsistemas en nivel III salvo por el eléctrico que es nivel II, el datacenter seria de nivel II.

Lo anterior es importante porque cuando se pretende adecuar datacenters a nivel IV en lugares como América Latina hay limitaciones físicas difíciles de salvar en los emplazamientos edilicios actuales. Prácticamente para lograr un datacenter tier IV se debe pensar en este nivel desde un principio.

Tier I: Datacenter Básico

Un datacenter tier I puede ser susceptible a interrupciones tanto planeadas como no planeadas. Cuenta con sistemas de aire acondicionado y distribución de energía; pero puede o no tener piso técnico, UPS o generador eléctrico; si los posee pueden no tener redundancia y existir varios puntos únicos de falla. La carga máxima de los sistemas en situaciones críticas es del 100%.

La infraestructura del datacenter deberá estar fuera de servicio al menos una vez al año por razones de mantenimiento y/o reparaciones. Situaciones de urgencia pueden motivar paradas más frecuentes y errores de operación o fallas en los componentes de su infraestructura causarán la detención del datacenter.

La tasa de disponibilidad máxima del datacenter es 99.671% del tiempo.

Tier II: Componentes Redundantes.

Los datacenters con componentes redundantes son ligeramente menos susceptibles a interrupciones, tanto planeadas como las no planeadas. Estos datacenters cuentan con piso falso, UPS y generadores eléctricos, pero están conectados a una sola línea de distribución eléctrica. Su diseño es “lo necesario más uno” (N+1), lo que significa que existe al menos un duplicado de cada componente de la infraestructura.

La carga máxima de los sistemas en situaciones críticas es del 100%. El mantenimiento en la línea de distribución eléctrica o en otros componentes de las infraestructuras puede causar una interrupción del procesamiento.

La tasa de disponibilidad