gerencia de sistemas
DESCRIPTION
El Departamento de Tecnologías de Información y Sistemas de Información de las organizaciones en el mundo ha evolucionado desde un enfoque orientado puramente a la administración con una preocupación centrada en mantener operativa la infraestructura tecnológica, y los demás recursos informáticos hasta orientarse específicamente en la mejora de los Servicios que ofrece el área de Tecnologías de Información y Sistemas de Información a las diferentes áreas, departamentos o unidades de las empresas que son vistos ahora como clientes y no solo cómo usuarios de las tecnologías.TRANSCRIPT
Gerencia de Sistemas
Pedro Miguel Jacinto Mejía
2
ÍNDICE DE FIGURAS
Figura 01. Las cinco Áreas de Enfoque del Gobierno de TI………………………..13
Figura 02. Principios de COBIT…………………………………………………...….17
Figura 03. Requerimientos de Información de Negocio…………………………….18
Figura 04. Figura 04. Estructura de COBIT…………………………………………..21
Figura 05. Dominios de COBIT……………………………………………………..…22
Figura 06. Cubo de COBIT…………………………………………………………..…42
Figura 07. Marco de Trabajo Completo COBIT……………………………………...43
Figura 08. Relación del Marco de COBIT con el Gobierno de TI……………….…43
Figura 09. Componentes Esenciales de COBIT…………………………………..…44
Figura 10.Objetivo de control de alto nivel representado en formada de
cascada…………………………………………………………………………………..45
Figura 11. Relación Proceso con los Criterios de Información………………….…45
Figura 12. Relación del Proceso con los Recursos de TI…………………………45
Figura 13. Relación del Proceso con las Áreas de Enfoque de Gobierno de TI…46
Figura 14. Representación de las Entradas de cada Proceso……………………..46
Figura 15. Representación de las Salidas de cada Proceso……………………….47
Figura 16. Roles de la Matriz RACI……………………………………………………47
Figura 17. Representación de la Matriz RACI………………………………………..47
Figura 18. Representación de las Metas y Métricas………………………………...48
Figura 19. Representación del Modelo de Madurez del Proceso………………….48
Figura 20. Ciclo de Vida de los Servicios de TI……………………………………...55
Figura 21. Evolución de la Administración de TI…………………………………….57
Figura 22. Estructura de ITIL v. 2.0……………………………………………………59
Figura 23. Estructura de Soporte de Servicio………………………………………..60
Figura 24. Estructura de Entrega del Servicio……………………………………….61
Figura 25. Estructura de ITIL v. 3.0……………………………………………………64
Figura 26. Estructura de Procesos…………………………………………………….67
Figura 27. Gestión Financiera………………………………………………………….70
Figura 28. Gestión de Portafolio del Servicio………………………………………...72
Figura 29. Gestión de demanda……………………………………………………….73
Figura 30. Gestión del Catálogo del Servicio………………………………………...75
Figura 31. Gestión de Nivel de Servicio………………………………………………77
3
Figura 32. Gestión de la Capacidad…………………………………………………..78
Figura 33. Gestión de la Disponibilidad……………………………………………....80
Figura 34. Gestión de Continuidad del Servicio de TI………………………………82
Figura 35. Gestión de la Seguridad de la Información………………………………83
Figura 36. Gestión de Proveedores…………………………………………………...85
Figura 37. Planificación y soporte a la Transición…………………………………...87
Figura 38. Gestión de Cambios………………………………………………………..89
Figura 39.Gestión de Configuración y Activos del Servicio………………………...91
Figura 40. Gestión de Entregas y Despliegues………………………………………92
Figura 41. Gestión de Validación y Pruebas…………………………………………94
Figura 42. Gestión de Evaluación……………………………………………………..96
Figura 43. Gestión del Conocimiento…………………………………………………97
Figura 44. Gestión de Eventos……………………………………………………...…99
Figura 45. Gestión de Incidencias…………………………………………………..101
Figura 46. Gestión de peticiones…………………………………………………….102
Figura 47. Gestión de Problemas………………………………………………...….104
Figura 48. Gestión de Acceso……………………………………………………….105
Figura 49. Proceso de Mejora………………………………………………………..106
Figura 50. Informe de Servicios TI…………………………………………………..107
4
ÍNDICE DE TABLAS
Tabla 01.Procesos y Objetivos de Control del Dominio Planificar y Organizar.....24
Tabla 02.Procesos y Objetivos de Control del Dominio Adquirir e Implementar...29
Tabla 03.Procesos y Objetivos de Control del Dominio Entrega y Soporte………33
Tabla 04.Procesos y Objetivos de Control del Dominio Monitorear y Evaluar…...39
5
PRESENTACIÓN
El Departamento de Tecnologías de Información y Sistemas de Información de las
organizaciones en el mundo ha evolucionado desde un enfoque orientado
puramente a la administración con una preocupación centrada en mantener
operativa la infraestructura tecnológica, y los demás recursos informáticos hasta
orientarse específicamente en la mejora de los Servicios que ofrece el área de
Tecnologías de Información y Sistemas de Información a las diferentes áreas,
departamentos o unidades de las empresas que son vistos ahora como clientes y
no solo cómo usuarios de las tecnologías.
Desde inicios del presente siglo se propuesto un enfoque nuevo denominado
Gobierno de Tecnologías de Información y Sistemas de Información que procura
garantizar que se cumplan roles que son considerados los pilares centrales en
este nuevo enfoque, el Alineamiento de las TI/SI con las estrategias del negocio,
la Administración del Valor que generan las Tecnologías de Información, la
Administración de los Riesgos asociados con las Tecnologías de Información, la
Gestión de los Recursos de Tecnologías de Información y el Monitoreo o Control
de los proyectos de Tecnologías de Información.
Todos estos enfoques modernos son analizados y discutidos en la presente
publicación, y espero resulte ser un aporte a todos aquellos que han asumido
algún tipo de responsabilidad al frente de la Dirección del Área de Tecnologías de
Información.
6
ÍNDICE
INDICE DE FIGURAS…………………………………………………………………02
INDICE DE TABLAS....…………………………………………………………………04
PRESENTACIÓN………………………………………………………………………..05
INTRODUCCIÓN………………………………………………………………………..07
CAPÍTULO I: GOBIERNO DE TECNOLOGIAS DE INFORMACIÓN
1.1. Gobernanza………………………………………..…………………………….10
1.2. Gobierno………………………………………………………………………….10
1.3. Gobierno Corporativo…………………………………………………………...11
1.4. Gobierno de TI…………………………………………………………………...11
1.5. COBIT y Gobierno de TI………………………………………………………..13
CAPÍTULO II: Control Objectives for Information and Related Technology -
Objetivos de Control para la Información y Tecnologías relacionadas -
COBIT
2.1. Generalidades de COBIT……………….………………………………………15
2.2. Misión de COBIT…………………………..…………………………………….15
2.3. Regla de Oro de COBIT………………………………………………………...15
2.4. Aceptabilidad General de COBIT……………………………………………...16
2.5. Beneficios de Implementar COBIT…………………………………………….16
2.6. Principios de COBIT……………………………………………………………17
CAPÍTULO III: MARCO METODOLÓGICO DE COBIT 3.1. El cubo de COBIT……………………………………………………………….42
3.2. Marco de Trabajo Completo……………………………………………………43
3.3. COBIT y las áreas de enfoque de Gobierno de TI…………………………..43
3.4. Componentes esenciales de COBIT…………………………………………..44
CAPÍTULO IV: Gestión de los Servicios de TI y Marcos de Trabajo Asociados 4.1. Definición de Gestión de los Servicios de TI – ITSM……………………….50
4.2. Procesos de ITSM……………………………………………………………....52
4.3. Buenas Prácticas………………………………………………………………..53
7
4.4. Frameworks o Marcos de Trabajo……………………………………………..54
4.5. Servicio…………………………………………………………………………...54
4.6. Gestión de Servicios de TI……………………………………………………..55
4.7. El Ciclo de Vida de los Servicios de TI………………………………………..55
4.8. Biblioteca de Infraestructura de Tecnologías de Información………………61
CAPÍTULO V: Marco Metodológico ITIL – Biblioteca de Infraestructura de Tecnologías de Información
5.1. Estrategia del Servicio…………………………………………………………..70
5.2. Diseño del Servicio……………………………………………………………...75
5.3. Transición del Servicio………………………………………………………….88
5.4. Operación del Servicio………………………………………………………….99
5.5. Mejora Continua del Servicio…………………………………………………107
REFERENCIAS…………,…………………………………………………………….109
8
INTRODUCCIÓN
El Estado del Arte del tema ha sido obtenido en base a la revisión de 53 artículos
científicos con respecto a la Administración de las Tecnologías de Información y
69 artículos relacionados con el Outsourcing y Offshoring de Tecnologías de
Información y Sistemas de Información.
Las bases de datos de origen son fundamentalmente de fuentes encontradas en
la Association for Computing Machinery - ACM y la Computer Society de IEEE
Los artículos analizados permiten arribar a las siguientes conclusiones:
La Administración de TI/SI ha evolucionado desde la Gestión de los
Recursos Informáticos orientados a buscar la eficiencia de los procesos a los
que soportan hasta llegar a tener una importancia estratégica dado el
requerimiento de los mismo como soporte a los objetivos estratégicos, esto
se conoce como “Alineamiento de las TI/SI a las Estrategias de Negocios”
Otros aspectos destacados en los artículos científicos corresponden a la
evaluación de los roles cumplidos tradicionalmente por el departamento de
Tecnologías de Información y la propuesta de los nuevos roles que debe
cumplir la Gerencia de SI/TI así como la redefinición de las funciones y
responsabilidades de los profesionales a cargo, estos son el Chief
Information Officer (CIO) o Gerente de Informática y el Chief Technology
Officer (CTO) o Gerente de Tecnologias o Infraestructura Tecnológica.
Por otro lado en la redefinición de roles se presenta la evolución de la
Administración de TI/SI desde un punto de vista operativo o táctico hasta el
desarrollo a un nivel estratégico con la aparición del IT Governance o en su
traducción al español como Gobierno o Gobernabilidad de Tecnologías de
Información y Sistemas de Información que persigue como objetivos
centrales el Alineamiento de las TI/SI a las Estrategias del Negocio, la
Generación del Valor de las TI/SI, la Administración de los Recursos de
TI/SI, la Administración de los Riesgos asociados con las TI/SI y el
Monitoreo y Control de los Proyectos de TI/SI.
9
Previo a Gobierno de TI/SI se presenta en los artículos un enfoque moderno
de mucha vigencia en las empresas del mundo, denominado ITSM o de sus
terminología en inglés Information Technology Service Management que
traducido al castellano puede decirse que se trata de la Administración de
las Tecnologías de Información con un enfoque orientado a los Servicios y
que corresponde al esfuerzo del Departamento de TI/SI por convertirse en
un centro de servicios de Tecnologías de Información donde se procura
garantizar la calidad de dichos servicios a través de la implementación de
este enfoque.
En relación al IT Governance se presentan diferentes Frameworks o marcos
de trabajo que presentan qué es lo que se debe hacer para la viabilidad u
operativización del Gobierno de TI. Entre las marcos de trabajo más
popularizados y que en opinión de ISACA es el que mejor implementa
Gobierno de TI/SI esta COBIT en cualquiera de sus versiones.
ITIL, VAL IT, RISK IT y BSC de TI/SI, entre otros frameworks de reciente
aparición pretenden explicar cómo debe implementarse algunos de los
pilares fundamentales de Gobierno de TI/SI.
Los modelos anteriormente presentados se sustentan sobre la base de
Gobernabilidad de TI e ITSM y se diferencian con respecto a la orientación
que cada uno de ellos tiene sobre el modelo de capas al que referencian. Así
mismo presentan como metodologías reiteradas a COBIT e ITIL.
10
CAPÍTULO I GOBIERNO DE TECNOLOGIAS DE INFORMACIÓN
1. GOBIERNO DE TECNOLOGIAS DE INFORMACIÓN
1.1. Gobernanza
La RAE define gobernanza como el arte o manera de gobernar que se
propone como objetivo el logro de un desarrollo económico, social e
institucional duradero, promoviendo un sano equilibrio entre el Estado, la
sociedad civil y el mercado de la economía.
El concepto de gobernanza no es algo nuevo según la Comisión Económica y
Social para Asia y el Pacífico (UNESCAP). Es tan antiguo como la civilización
humana. Gobernanza como concepto aislado significa: el proceso de toma de
decisiones y el proceso por el que las decisiones son implementadas, o no. El
término gobernanza puede ser utilizado en diferentes contextos, como por
ejemplo gobernanza corporativa, gobernanza internacional, gobernanza
nacional y gobernanza local. Dado que la gobernanza es el proceso de toma
de decisiones y el proceso por el que estas son implementadas, o no, el
análisis de la gobernanza se centra en los actores, formales e informales, que
están involucrados en el proceso de toma de decisiones y en su
implementación, así como en las estructuras, formales e informales, que se
han preparado para poder implementar las decisiones.
1.2. Gobierno
La PNUDA describe gobernabilidad como “Un ejercicio de autoridad
económica, política y administrativa para manejar los asuntos de un país en
todos los niveles. Comprende los mecanismos, procesos e instituciones a
través de los cuales los ciudadanos, las ciudadanas y las agrupaciones
expresan sus intereses, ejercen sus derechos legales, cumplen sus
obligaciones y reconcilian sus desacuerdos.
11
La Gobernación y gobernanza se entienden como la acción y efecto de
gobernar o gobernarse, permitiendo entender la leve diferencia entre esos
términos y la gobernabilidad, siendo este ultimo la respuesta a las
interrogantes: de calidad ¿buena o mala?, de estado ¿en equilibrio o en
desequilibrio?, ¿estable o inestable?, ¿es eficaz, eficiente, efectiva? Es decir
este tipo de interrogantes, referidos a la calidad, estado, o propiedad de la
acción y el efecto de gobernar, son a las que haría referencia específica la
noción de gobernabilidad. [1]
1.3. Gobierno Corporativo
De acuerdo a la OCDE , implica un conjunto de relaciones entre la dirección
de las empresas, su consejo, sus accionistas y los terceros interesados. El
Gobierno Corporativo también provee la estructura a través de la cual los
objetivos de la sociedad son determinados, así como es monitoreado su
desempeño y cumplimiento.
1.4. Gobierno de Tecnologías de Información (Gobierno de TI o IT
Governance)
ITGI [2] define a "IT Governance” en COBIT 4.1 en donde se manifiesta que el
gobierno de TI es responsabilidad de los ejecutivos, del consejo de directores
y consta de liderazgo, estructuras y procesos organizacionales que garantizan
que TI en la empresa sostiene y extiende las estrategias y objetivos
organizacionales.
En conclusión se puede decir que el Gobierno de Tecnologías de Información
establece una dirección que asegure el cumplimiento de la visión estratégica,
y el control para asegurar que se obtiene el máximo rendimiento de la
inversión en TI permitiendo cuantificar el valor que devuelven las TI a la
organización. Entregando responsabilidades a personas dentro de una
estructura establecida en la misma que permita decidir para incentivar el
comportamiento deseable de las TI y una adecuada gestión del riesgo.
12
La norma ISO/IEC 38500:2008 IT Governance Standard, se publicó en junio
de 2008, basándose en la norma australiana AS8015:2005. Es la primera de
una serie sobre el Gobierno de TI. Su objetivo es proporcionar un marco de
principios para que la dirección de las organizaciones los utilicen al evaluar,
dirigir y monitorizar el uso de las tecnologías de la información (TI).
Pilares del Gobierno de TI
Alineación Estratégica: Se enfoca en garantizar la alineación entre
los planes de negocio y de TI; en definir, mantener y validar la
propuesta de valor de TI; y en alinear las operaciones de TI con las
operaciones de la empresa.
Entrega de Valor: se refiere a ejecutar la propuesta de valor a todo lo
largo del ciclo de entrega, asegurando que TI genere los beneficios
prometidos en la estrategia concentrándose en optimizar los costos y
en brindar el valor intrínseco de la TI.
Administración de Recursos: Se trata de la inversión óptima, así
como la administración adecuada de los recursos críticos de TI:
aplicaciones, información, infraestructura y personas. Los temas claves
se refieren a la optimización de conocimiento y de infraestructura.
Administración de Riesgos: Requiere conciencia de los riesgos por
parte de los altos ejecutivos de la empresa, un claro entendimiento del
apetito de riesgo que tiene la empresa, comprender los requerimientos
de cumplimiento, transparencia de los riesgos significativos para la
empresa, y la inclusión de las responsabilidades de administración de
riesgos dentro de la organización.
Medición de Desempeño: Rastrea y monitorea la estrategia de
implementación, la terminación del proyecto, el uso de los recursos, el
desempeño de los procesos y la entrega del servicio, con el uso, por
13
ejemplo, de BSC que traducen la estrategia en acción para lograr las
metas medibles más allá del registro convencional.
Figura 01. Las cinco Áreas de Enfoque del Gobierno de TI
1.5. COBIT y Gobierno de TI
Para COBIT, Gobierno de TI es:
Dirigir y controlar: Establecer directivas, políticas, planes, y luego
controlar que eso sea ejecutado de la forma en q fue planificado.
Asignar responsabilidad: Se definen dos conceptos Accountable y
Responsable. Accountable es el CEO (Chief Executive Officer o
Director Ejecutivo), el responsable superior, mayor, el responsable de
absolutamente todo, debido a que él no puede realizar todas las
actividades, entonces delega autoridad para ejecutar las actividades o
las responsabilidades que se le ha dado. La autoridad se delega, la
responsabilidad siempre se mantiene arriba.
Ejecución de las Actividades: esa ejecución dentro de una
organización debe conllevar al cumplimiento de los objetivos de esa
14
organización, todas las actividades que se realizan tienen como
consecuencia el cumplimiento de los Objetivos organizacionales.
Las TI satisfacen estos requerimientos Implantando un sistema de control
interno o un marco de trabajo. Tener control interno, son un conjunto de
procesos que se realizan en una organización no solo en TI, sino en toda la
organización para:
Asegurar la exactitud y confiabilidad de los datos: La actividad que ha
tenido una organización se resumen en los balances. Las TI proveen la
información de los balances. Las personas ejecutan actividades y esas
actividades son ingresadas en los Sistemas de Información, y las TI
gestionas esos Sistemas de Información. El Gobierno se tiene que
asegurar que la información sea exacta y confiable.
Proteger los recursos: contra el despilfarro, el fraude o el uso ineficiente
de los recursos.
Asegurar que se cumplan políticas y requerimientos legales.
El instrumento para proveer gobierno dentro de una organización es COBIT.
Porque permite asegurar que los niveles de control interno sean los que tienen
que ser y la información que surja como consecuencia de los procesos
informatizados sea correcta, exacta, confiable.
15
CAPÍTULO 2: COBIT
2. COBIT
2.1. Generalidades de COBIT
Es Control Objectives for Information and Related Technology (Objetivos de
Control para la Información y Tecnologías relacionadas) [2]
Se define como el instrumento para proveer Gobierno dentro de una
organización de TI. COBIT es un marco de referencia para Gobierno de TI,
conecta riesgos de negocio, necesidades de control y asuntos técnicos.
Provee buenas prácticas a través de un dominio y un marco de procesos, y
presenta actividades en una estructura manejable y lógica. Las buenas
prácticas de COBIT representan el consenso de los expertos. Están enfocadas
fuertemente en el control y menos en la ejecución. Estas prácticas ayudarán a
optimizar las inversiones habilitadas por TI, asegurarán la entrega del servicio
y brindarán una medida contra la cual juzgar cuando las cosas no vayan bien.
2.2. Misión de COBIT
La Misión de COBIT es: “Investigar, desarrollar, hacer público y promover un
marco de control de gobierno de TI autorizado, actualizado, aceptado
internacionalmente para la adopción por parte de las empresas y el uso diario
por parte de gerentes de negocio, profesionales de TI y profesionales de
aseguramiento”[2].
2.3. Regla de Oro de COBIT
La regla de Oro de COBIT es: “Para proveer la información que requiere la
organización para lograr sus objetivos, los recursos de TI deben ser
administrados por un conjunto de procesos, agrupados de forma adecuada y
ejecutados acorde a prácticas normalmente aceptadas”[2].
16
2.4. Aceptabilidad General de COBIT
Según el Marco de Trabajo de Cobit 4.1:
COBIT se basa en el análisis y armonización de estándares y mejores
prácticas de TI existentes y se adapta a principios de gobierno
generalmente aceptados.
Está posicionado a un nivel alto, impulsado por los requerimientos del
negocio, cubre el rango completo de actividades de TI, y se concentra
en lo que se debe lograr en lugar de cómo lograr un gobierno,
administración y control efectivos.
Integra prácticas de gobierno de TI y es de interés para la dirección
ejecutiva; para la gerencia del negocio, para la gerencia y gobierno de
TI; para los profesionales de aseguramiento y seguridad; así como para
los profesionales de auditoría y control de TI.
Está diseñado para ser complementario y para ser usado junto con
otros estándares y mejores prácticas.
La implantación de las mejores prácticas debe ser consistente con el
gobierno y el marco de control de la empresa, debe ser apropiada para
la organización, y debe estar integrada con otros métodos y prácticas
que se utilicen.
Para lograr la alineación de las mejores prácticas con los
requerimientos del negocio, se recomienda que COBIT se utilice al
más alto nivel, brindando así un marco de control general basado en
un modelo de procesos de TI que debe ser aplicable en general a toda
empresa.
2.5. Beneficios de Implementar COBIT
Cobit presenta los siguientes beneficios[2]:
Mejor alineación, con base en su enfoque de negocios.
Una visión, entendible para la gerencia, de lo que hace TI.
Propiedad y responsabilidades claras, con base en su orientación a
procesos.
17
Aceptación general de terceros y reguladores.
Entendimiento compartido entre todos los Interesados, con base en
un lenguaje común.
Cumplimiento de los requerimientos COSO para el ambiente de
control de TI.
2.6. Principios de COBIT
COBIT[2], tiene 3 principios básicos y son:
Figura 02. Principios de COBIT [2]
18
2.6.1. Requerimientos de Información de Negocio
Figura 03. Requerimientos de Información de Negocio [2]
- Efectividad
Se refiere a la información que es relevante para el negocio y
que debe ser entregada de manera correcta, oportuna,
consistente y usable.
- Eficiencia
Se refiere a la provisión de información a través del óptimo (más
productivo y económico) uso de los recursos.
- Confidencialidad
Relativa a la protección de la información sensitiva de su
revelación no autorizada.
- Integridad
Se refiere a la exactitud y completitud de la información, así
como su validez, en concordancia con los valores y expectativas
del negocio.
- Disponibilidad
Se refiere a que la información debe estar disponible cuando es
requerida por los procesos del negocio ahora y en el futuro.
19
Involucra la salvaguarda de los recursos y sus capacidades
asociadas.
- Cumplimiento
Se refiere a cumplir con aquellas leyes, regulaciones y acuerdos
contractuales, a los que están sujetos los procesos del negocio.
- Confiabilidad
Se refiere a la provisión de la información apropiada a la alta
gerencia, para operar la entidad y para ejercer sus
responsabilidades financieras y de cumplir con los reportes de
su gestión.
2.6.2. Recursos de TI
La organización de TI se desempeña con respecto a estas metas como un
conjunto de procesos definidos con claridad que utiliza las habilidades de
las personas, y la infraestructura de tecnología para ejecutar aplicaciones
automatizadas de negocio, mientras que al mismo tiempo toma ventaja de
la información del negocio. Estos recursos, junto con los procesos,
constituyen una arquitectura empresarial para TI.
Los recursos de TI identificados en COBIT se pueden definir como sigue:
2.6.2.1. Datos e Información
Los elementos de datos en su más amplio sentido, (por ejemplo,
externos e internos), estructurados y no estructurados, gráficos, sonido,
etc. La información son los datos en todas sus formas, de entrada,
procesados y generados por los sistemas de información, en cualquier
forma en que sean utilizados por el negocio.
20
2.6.2.2. Sistemas de Información o Aplicaciones
Se entiende como sistemas de aplicación la suma de procedimientos
manuales y programados. Las aplicaciones incluyen tanto sistemas
de usuario automatizados como procedimientos manuales que
procesan información.
2.6.2.3. Infraestructura
Recursos para alojar y dar soporte a los sistemas de información. La
infraestructura es la tecnología y las instalaciones (hardware, sistemas
operativos, sistemas de administración de base de datos, redes,
multimedia, etc., así como el sitio donde se encuentran y el ambiente
que los soporta) que permiten el procesamiento de las aplicaciones.
2.6.2.4. Recursos Humanos
Las personas son el personal requerido para planear, organizar,
adquirir, implementar, entregar, soportar, monitorear y evaluar los
sistemas y los servicios de información. Estas pueden ser internas, por
outsourcing o contratadas, de acuerdo a como se requieran.
Habilidades del personal, conocimiento, conciencia y productividad para
planear, organizar, adquirir, entregar, soportar y monitorear servicios y
sistemas de información.
21
2.6.3. Procesos de TI
COBIT define las actividades de TI en un modelo genérico de procesos
organizado en cuatro dominios. Estos dominios son Planear y Organizar,
Adquirir e Implementar, Entregar y Dar Soporte y Monitorear y Evaluar. Los
dominios se equiparan a las áreas tradicionales de TI de planear, construir,
ejecutar y monitorear.
El marco de trabajo de COBIT proporciona un modelo de procesos de
referencia y un lenguaje común para que todos en la empresa visualicen y
administren las actividades de TI. La incorporación de un modelo operativo
y un lenguaje común para todas las partes de un negocio involucradas en
TI es uno de los pasos iniciales más importantes hacia un buen gobierno.
También brinda un marco de trabajo para la medición y monitoreo del
desempeño de TI, comunicándose con los proveedores de servicios e
integrando las mejores prácticas de administración. Un modelo de procesos
fomenta la propiedad de los procesos, permitiendo que se definan las
responsabilidades.
Se pueden definir tres niveles.
Figura 04. Estructura de COBIT
- Dominios: Agrupación natural de procesos, normalmente
corresponden a una responsabilidad organizacional.
22
- Procesos: Conjuntos de actividades unidas con delimitación o
cortes de control.
- Actividades o tareas: Acciones requeridas para lograr un resultado
medible. Las Actividades tienen un ciclo de vida mientras que las
tareas son discretas.
2.6.3.1. Dominios
Figura 05. Dominios de COBIT
23
2.6.3.1.1. Planear y Organizar
Se vincula con la identificación de la forma en que la tecnología de
información puede contribuir de la manera más adecuada con el
logro de los objetivos del negocio.
Objetivos
- Formular estrategias y tácticas.
- Identificar como IT contribuye al negocio.
- Planear, Comunicar, y gestionar la realización de la visión
estratégica.
Alcance
- ¿Está IT alineado estratégicamente?
- ¿Se hace uso óptimo de los recursos?
- ¿Entienden todos los objetivos de IT?
- ¿Se comprenden los riesgos de IT?
- ¿Es la calidad de IT apropiada a las necesidades de los
negocios?
PROCESOS DE PLANEAR Y ORGANIZAR
CONCEPTO OBJETIVOS DE CONTROL
PO1 DEFINIR UN PLAN ESTRATÉGICO DE TI
La planeación estratégica de TI es necesaria para gestionar y dirigir todos los recursos de TI en línea con la estrategia y prioridades del negocio. La función de TI y los interesados del negocio son responsables de asegurar que el valor óptimo se consigue desde los proyectos y el portafolio de servicios. El plan estratégico mejora la comprensión de los interesados clave de las oportunidades y limitaciones de TI, evalúa el desempeño actual, identifica la capacidad y los requerimientos de recursos humanos, y clarifica el nivel de investigación requerido.
PO1.1 Administración del Valor de TI PO1.2 Alineación de TI con el Negocio PO1.3 Evaluación del Desempeño y la Capacidad Actual PO1.4 Plan Estratégico de TI PO1.5 Planes Tácticos de TI PO1.6 Administración del Portafolio de TI
PO2 DEFINIR LA ARQUITECTURA DE LA INFORMACIÓN
La función de sistemas de información debe crear y actualizar de forma regular un modelo de información del negocio y definir los sistemas apropiados para optimizar el uso de esta información. Esto incluye el desarrollo de un diccionario corporativo de datos que contiene las reglas de sintaxis de los datos de la organización, el esquema de clasificación de datos y los niveles de seguridad.
PO2.1 Modelo de Arquitectura de Información Empresarial PO2.2 Diccionario de Datos Empresarial y Reglas de Sintaxis de Datos PO2.3 Esquema de Clasificación de Datos PO2.4 Administración de Integridad
PO3 DETERMINAR LA DIRECCIÓN TECNOLÓGICA
La función de servicios de información debe determinar la dirección tecnológica para dar soporte al negocio. Esto requiere de la creación de un plan de infraestructura tecnológica y de un comité de arquitectura que establezca y administre expectativas realistas y claras de lo que la tecnología puede ofrecer en términos de productos, servicios y mecanismos de aplicación. El plan se debe actualizar de forma regular y abarca aspectos tales como arquitectura de sistemas, dirección tecnológica, planes de adquisición, estándares, estrategias de migración y contingencias.
PO3.1 Planeación de la Dirección Tecnológica PO3.2 Plan de Infraestructura Tecnológica PO3.3 Monitoreo de Tendencias y Regulaciones Futuras PO3.4 Estándares Tecnológicos PO3.5 Consejo de Arquitectura de TI
25
PO4
DEFINIR LOS PROCESOS, ORGANIZACIÓN Y RELACIONES DE TI
Una organización de TI se debe definir tomando en cuenta los requerimientos de personal, funciones, rendición de cuentas, autoridad, roles, responsabilidades y supervisión. La organización está embebida en un marco de trabajo de procesos de TI que asegure la transparencia y el control, así como el involucramiento de los altos ejecutivos y de la gerencia del negocio. Un comité estratégico debe garantizar la vigilancia del consejo directivo sobre TI, y uno ó más comités de dirección, en los cuales participen tanto el negocio como TI, deben determinar las prioridades de los recursos de TI alineados con las necesidades del negocio.
PO4.1 Marco de Trabajo de Procesos de TI PO4.2 Comité Estratégico de TI PO4.3 Comité Directivo de TI PO4.4 Ubicación Organizacional de la Función de TI PO4.5 Estructura Organizacional PO4.6 Establecimiento de Roles y Responsabilidades PO4.7 Responsabilidad de Aseguramiento de Calidad de TI PO4.8 Responsabilidad sobre el Riesgo, la Seguridad y el Cumplimiento PO4.9 Propiedad de Datos y de Sistemas PO4.10 Supervisión PO4.11 Segregación de Funciones PO4.12 Personal de TI PO4.13 Personal Clave de TI PO4.14 Políticas y Procedimientos para Personal Contratado PO4.15 Relaciones
PO5 ADMINISTRAR LA INVERSIÓN EN TI
Establecer y mantener un marco de trabajo para administrar los programas de inversión en TI que abarquen costos, beneficios, prioridades dentro del presupuesto, un proceso presupuestal formal y administración contra ese presupuesto. Los interesados (stakeholders) son consultados para identificar y controlar los costos y beneficios totales dentro del contexto de los planes estratégicos y tácticos de TI, y tomar medidas correctivas según sean necesarias.
PO5.1 Marco de Trabajo para la Administración Financiera PO5.2 Prioridades Dentro del Presupuesto de TI PO5.3 Proceso Presupuestal PO5.4 Administración de Costos de TI PO5.5 Administración de Beneficios
26
PO6
COMUNICAR LAS ASPIRACIONES Y LA DIRECCIÓN DE LA GERENCIA
La dirección debe elaborar un marco de trabajo de control empresarial para TI, y definir y comunicar las políticas. Un programa de comunicación continua se debe implementar para articular la misión, los objetivos de servicio, las políticas y procedimientos, etc., aprobados y apoyados por la dirección. La comunicación apoya el logro de los objetivos de TI y asegura la concienciación y el entendimiento de los riesgos de negocio y de TI. El proceso debe garantizar el cumplimiento de las leyes y reglamentos relevantes.
PO6.1 Ambiente de Políticas y de Control PO6.2 Riesgo Corporativo y Marco de Referencia de Control Interno de TI PO6.3 Administración de Políticas para TI PO6.4 Implantación de Políticas de TI PO6.5 Comunicación de los Objetivos y la Dirección de TI
PO7 ADMINISTRAR RECURSOS HUMANOS DE TI
Adquirir, mantener y motivar una fuerza de trabajo para la creación y entrega de servicios de TI para el negocio. Esto se logra siguiendo prácticas definidas y aprobadas que apoyan el reclutamiento, entrenamiento, la evaluación del desempeño, la promoción y la terminación. Este proceso es crítico, ya que las personas son activos importantes, y el ambiente de gobierno y de control interno depende fuertemente de la motivación y competencia del personal
PO7.1 Reclutamiento y Retención del Personal PO7.2 Competencias del Personal PO7.3 Asignación de Roles PO7.4 Entrenamiento del Personal de TI PO7.5 Dependencia Sobre los Individuos PO7.6 Procedimientos de Investigación del Personal PO7.7 Evaluación del Desempeño del Empleado PO7.8 Cambios y Terminación de Trabajo
PO8 ADMINISTRAR LA CALIDAD
Se debe elaborar y mantener un sistema de administración de calidad, el cual incluya procesos y estándares probados de desarrollo y de adquisición. Esto se facilita por medio de la planeación, implantación y mantenimiento del sistema de administración de calidad, proporcionando requerimientos, procedimientos y políticas claras de calidad. Los requerimientos de calidad se deben manifestar y documentar con indicadores cuantificables y alcanzables. La mejora continua se logra por medio del constante monitoreo, corrección de desviaciones y la comunicación de los resultados a los interesados.
PO8.1 Sistema de Administración de Calidad PO8.2 Estándares y Prácticas de Calidad PO8.3 Estándares de Desarrollo y de Adquisición PO8.4 Enfoque en el Cliente de TI PO8.5 Mejora Continua PO8.6 Medición, Monitoreo y Revisión de la Calidad
27
Tabla 01. Procesos y Objetivos de Control del Dominio Planificar y Organizar
PO9 EVALUAR Y ADMINISTRAR LOS RIESGOS DE TI
Crear y dar mantenimiento a un marco de trabajo de administración de riesgos. El marco de trabajo documenta un nivel común y acordado de riesgos de TI, estrategias de mitigación y riesgos residuales. Cualquier impacto potencial sobre las metas de la organización, causado por algún evento no planeado se debe identificar, analizar y evaluar. Se deben adoptar estrategias de mitigación de riesgos para minimizar los riesgos residuales a un nivel aceptable
PO9.1 Marco de Trabajo de Administración de Riesgos PO9.2 Establecimiento del Contexto del Riesgo PO9.3 Identificación de Eventos PO9.4 Evaluación de Riesgos de TI PO9.5 Respuesta a los Riesgos PO9.6 Mantenimiento y Monitoreo de un Plan de Acción de Riesgos
PO10 ADMINISTRAR PROYECTOS
Establecer un marco de trabajo de administración de programas y proyectos para la administración de todos los proyectos de TI establecidos. El marco de trabajo debe garantizar la correcta asignación de prioridades y la coordinación de todos los proyectos. El marco de trabajo debe incluir un plan maestro, asignación de recursos, definición de entregables, aprobación de los usuarios, un enfoque de entrega por fases, aseguramiento de la calidad, un plan formal de pruebas, revisión de pruebas y post-implantación después de la instalación para garantizar la administración de los riesgos del proyecto y la entrega de valor para el negocio
PO10.1 Marco de Trabajo para la Administración de Programas PO10.2 Marco de Trabajo para la Administración de Proyectos PO10.3 Enfoque de Administración de Proyectos PO10.4 Compromiso de los Interesados PO10.5 Declaración de Alcance del Proyecto PO10.6 Inicio de las Fases del Proyecto PO10.7 Plan Integrado del Proyecto PO10.8 Recursos del Proyecto PO10.9 Administración de Riesgos del Proyecto PO10.10 Plan de Calidad del Proyecto PO10.11 Control de Cambios del Proyecto PO10.12 Planeación del Proyecto y Métodos de Aseguramiento PO10.13 Medición del Desempeño, Reporte y Monitoreo del Proyecto PO10.14 Cierre del Proyecto
2.6.3.1.2. Adquirir e Implementar
Cambios y mantenimiento de los sistemas existentes para garantizar
la natural continuidad del ciclo de vida para estos sistemas.
Objetivos
Identificar, desarrollar, adquirir, implementar, e integrar
soluciones de IT.
Cambios y mantenimiento de sistemas existentes.
Alcance
- ¿Son los nuevos productos capaces de entregar
soluciones adecuadas al negocio?
- ¿Se realizarán los proyectos a tiempo?
- ¿Trabajarán los sistemas apropiadamente cuando
implementados?
- ¿Los cambios afectarán las operaciones diarias?
PROCESOS DE ADQUIRIR E
IMPLEMENTAR
CONCEPTO OBJETIVOS DE CONTROL
AI1 IDENTIFICAR SOLUCIONES AUTOMATIZADAS
La necesidad de una nueva aplicación o función requiere de análisis antes de la compra o desarrollo para garantizar que los requisitos del negocio se satisfacen con un enfoque efectivo y eficiente. Este proceso cubre la definición de las necesidades, considera las fuentes alternativas, realiza una revisión de la factibilidad tecnológica y económica, ejecuta un análisis de riesgo y de costo-beneficio y concluye con una decisión final de “desarrollar” o “comprar”.
AI1.1 Definición y Mantenimiento de los Requerimientos Técnicos y Funcionales del Negocio AI1.2 Reporte de Análisis de Riesgos AI1.3 Estudio de Factibilidad y Formulación de Cursos de Acción Alternativos AI1.4 Requerimientos, Decisión de Factibilidad y Aprobación
AI2 ADQUIRIR Y MANTENER SOFTWARE APLICATIVO
Las aplicaciones deben estar disponibles de acuerdo con los requerimientos del negocio. Este proceso cubre el diseño de las aplicaciones, la inclusión apropiada de controles aplicativos y requerimientos de seguridad, y el desarrollo y la configuración en sí de acuerdo a los estándares. Esto permite a las organizaciones apoyar la operatividad del negocio de forma apropiada con las aplicaciones automatizadas correctas
AI2.1 Diseño de Alto Nivel AI2.2 Diseño Detallado AI2.3 Control y Posibilidad de Auditar las Aplicaciones AI2.4 Seguridad y Disponibilidad de las Aplicaciones AI2.5 Configuración e Implantación de Software Aplicativo Adquirido AI2.6 Actualizaciones Importantes en Sistemas Existentes AI2.7 Desarrollo de Software Aplicativo AI2.8 Aseguramiento de la Calidad del Software AI2.9 Administración de los Requerimientos de Aplicaciones AI2.10 Mantenimiento de Software Aplicativo
30
AI3 ADQUIRIR Y MANTENER INFRAESTRUCTURA TECNOLÓGICA
Las organizaciones deben contar con procesos para adquirir, Implementar y actualizar la infraestructura tecnológica. Esto requiere de un enfoque planeado para adquirir, mantener y proteger la infraestructura de acuerdo con las estrategias tecnológicas convenidas y la disposición del ambiente de desarrollo y pruebas. Esto garantiza que exista un soporte tecnológico continuo para las aplicaciones del negocio.
AI3.1 Plan de Adquisición de Infraestructura Tecnológica AI3.2 Protección y Disponibilidad del Recurso de Infraestructura AI3.3 Mantenimiento de la Infraestructura AI3.4 Ambiente de Prueba de Factibilidad
AI4 FACILITAR LA OPERACIÓN Y EL USO
El conocimiento sobre los nuevos sistemas debe estar disponible. Este proceso requiere la generación de documentación y manuales para usuarios y para TI, y proporciona entrenamiento para garantizar el uso y la operación correctos de las aplicaciones y la infraestructura.
AI4.1 Plan para Soluciones de Operación AI4.2 Transferencia de Conocimiento a la Gerencia del Negocio AI4.3 Transferencia de Conocimiento a Usuarios Finales AI4.4 Transferencia de Conocimiento al Personal de Operaciones y Soporte
AI5 ADQUIRIR RECURSOS DE TI
Se deben suministrar recursos TI, incluyendo personas, hardware, software y servicios. Esto requiere de la definición y ejecución de los procedimientos de adquisición, la selección de proveedores, el ajuste de arreglos contractuales y la adquisición en sí. El hacerlo así garantiza que la organización tenga todos los recursos de TI que se requieren de una manera oportuna y rentable.
AI5.1 Control de Adquisición AI5.2 Administración de Contratos con Proveedores AI5.3 Selección de Proveedores AI5.4 Adquisición de Recursos de TI
31
AI6 ADMINISTRAR CAMBIOS
Todos los cambios, incluyendo el mantenimiento de emergencia y parches, relacionados con la infraestructura y las aplicaciones dentro del ambiente de producción, deben administrarse formalmente y controladamente. Los cambios (incluyendo procedimientos, procesos, sistema y parámetros del servicio) se deben registrar, evaluar y autorizar previo a la implantación y revisar contra los resultados planeados después de la implantación.
AI6.1 Estándares y Procedimientos para Cambios AI6.2 Evaluación de Impacto, Priorización y Autorización AI6.3 Cambios de Emergencia AI6.4 Seguimiento y Reporte del Estatus de Cambio AI6.5 Cierre y Documentación del Cambio
AI7 INSTALAR Y ACREDITAR SOLUCIONES Y CAMBIOS
Los nuevos sistemas necesitan estar funcionales una vez que su desarrollo se completa. Esto requiere pruebas adecuadas en un ambiente dedicado con datos de prueba relevantes, definir la transición e instrucciones de migración, planear la liberación y la transición en sí al ambiente de producción, y revisar la post-implantación. Esto garantiza que los sistemas operativos estén en línea con las expectativas convenidas y con los resultados
AI7.1 Entrenamiento AI7.2 Plan de Prueba AI7.3 Plan de Implantación AI7.4 Ambiente de Prueba AI7.5 Conversión de Sistemas y Datos AI7.6 Pruebas de Cambios AI7.7 Prueba de Aceptación Final AI7.8 Promoción a Producción AI7.9 Revisión Posterior a la Implantación
Tabla 02. Procesos y Objetivos de Control del Dominio Adquirir e Implementar
2.6.3.1.3. Entrega y Soporte
Prestación efectiva de los servicios requeridos, comprenden desde
las operaciones tradicionales sobre aspectos de seguridad y
continuidad hasta capacitación.
Objetivos
- La real entrega de los servicios requeridos.
- La gestión de la seguridad, continuidad, datos y facilidades
operacionales.
Alcance
- ¿Son los servicios de IT entregados de acuerdo a las
prioridades del negocio?
- ¿Se optimizan los costos de IT?
- ¿Se utiliza IT de manera productiva y segura?
- ¿Se mantiene la confidencialidad, integridad, y disponibilidad?
PROCESOS CONCEPTO OBJETIVOS DE CONTROL
DS1 DEFINIR Y ADMINISTRAR LOS NIVELES DE SERVICIO
Contar con una definición documentada y un acuerdo de servicios de TI y de niveles de servicio, hace posible una comunicación efectiva entre la gerencia de TI y los clientes de negocio respecto de los servicios requeridos. Este proceso también incluye el monitoreo y la notificación oportuna a los Interesados (Stakeholders) sobre el cumplimiento de los niveles de servicio. Este proceso permite la alineación entre los servicios de TI y los requerimientos de negocio relacionados
DS1.1 Marco de Trabajo de la Administración de los Niveles de Servicio DS1.2 Definición de Servicios DS1.3 Acuerdos de Niveles de Servicio DS1.4 Acuerdos de Niveles de Operación DS1.5 Monitoreo y Reporte del Cumplimento de los Niveles de Servicio DS1.6 Revisión de los Acuerdos de Niveles de Servicio y de los Contratos
DS2 ADMINISTRAR LOS SERVICIOS DE TERCEROS
La necesidad de asegurar que los servicios provistos por terceros cumplan con los requerimientos del negocio, requiere de un proceso efectivo de administración de terceros. Este proceso se logra por medio de una clara definición de roles, responsabilidades y expectativas en los acuerdos con los terceros, así como con la revisión y monitoreo de la efectividad y cumplimiento de dichos acuerdos. Una efectiva administración de los servicios de terceros minimiza los riesgos del negocio asociados con proveedores que no se desempeñan de forma adecuada
DS2.1 Identificación de Todas las Relaciones con Proveedores DS2.2 Gestión de Relaciones con Proveedores DS2.3 Administración de Riesgos del Proveedor DS2.4 Monitoreo del Desempeño del Proveedor
DS3 ADMINISTRAR EL DESEMPEÑO Y LA CAPACIDAD
La necesidad de administrar el desempeño y la capacidad de los recursos de TI requiere de un proceso para revisar periódicamente el desempeño actual y la capacidad de los recursos de TI. Este proceso incluye el pronóstico de las necesidades futuras, basadas en los requerimientos de carga de trabajo, almacenamiento y contingencias. Este proceso brinda la seguridad de que los recursos de información que soportan los requerimientos del negocio están disponibles de manera continua.
DS3.1 Planeación del Desempeño y la Capacidad DS3.2 Capacidad y Desempeño Actual DS3.3 Capacidad y Desempeño Futuros DS3.4 Disponibilidad de Recursos de TI DS3.5 Monitoreo y Reporte
34
DS4 GARANTIZAR LA CONTINUIDAD DEL SERVICIO
La necesidad de brindar continuidad en los servicios de TI requiere desarrollar, mantener y probar planes de continuidad de TI, almacenar respaldos fuera de las instalaciones y entrenar de forma periódica sobre los planes de continuidad. Un proceso efectivo de continuidad de servicios, minimiza la probabilidad y el impacto de interrupciones mayores en los servicios de TI, sobre funciones y procesos claves del negocio
DS4.1 Marco de Trabajo de Continuidad de TI DS4.2 Planes de Continuidad de TI DS4.3 Recursos Críticos de TI DS4.4 Mantenimiento del Plan de Continuidad de TI DS4.5 Pruebas del Plan de Continuidad de TI DS4.6 Entrenamiento del Plan de Continuidad de TI DS4.7 Distribución del Plan de Continuidad de TI DS4.8 Recuperación y Reanudación de los Servicios de TI DS4.9 Almacenamiento de Respaldos Fuera de las Instalaciones DS4.10 Revisión Post Reanudación
DS5 GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS
La necesidad de mantener la integridad de la información y de proteger los activos de TI, requiere de un proceso de administración de la seguridad. Este proceso incluye el establecimiento y mantenimiento de roles y responsabilidades de seguridad, políticas, estándares y procedimientos de TI. La administración de la seguridad también incluye realizar monitoreos de seguridad y pruebas periódicas así como realizar acciones correctivas sobre las debilidades o incidentes de seguridad identificados
DS5.1 Administración de la Seguridad de TI DS5.2 Plan de Seguridad de TI DS5.3 Administración de Identidad DS5.4 Administración de Cuentas del Usuario DS5.5 Pruebas, Vigilancia y Monitoreo de la Seguridad DS5.6 Definición de Incidente de Seguridad DS5.7 Protección de la Tecnología de Seguridad DS5.8 Administración de Llaves Criptográficas DS5.9 Prevención, Detección y Corrección de Software Malicioso DS5.10 Seguridad de la Red DS5.11 Intercambio de Datos Sensitivos
35
DS6 IDENTIFICAR Y ASIGNAR COSTOS
La necesidad de un sistema justo y equitativo para asignar costos de TI al negocio, requiere de una medición precisa y un acuerdo con los usuarios del negocio sobre una asignación justa. Este proceso incluye la construcción y operación de un sistema para capturar, distribuir y reportar costos de TI a los usuarios de los servicios. Un sistema equitativo de costos permite al negocio tomar decisiones más informadas respectos al uso de los servicios de TI.
DS6.1 Definición de Servicios DS6.2 Contabilización de TI DS6.3 Modelación de Costos y Cargos DS6.4 Mantenimiento del Modelo de Costos
DS7 EDUCAR Y ENTRENAR A LOS USUARIOS
Para una educación efectiva de todos los usuarios de sistemas de TI, incluyendo aquellos dentro de TI, se requieren identificar las necesidades de entrenamiento de cada grupo de usuarios. Además de identificar las necesidades, este proceso incluye la definición y ejecución de una estrategia para llevar a cabo un entrenamiento efectivo y para medir los resultados
DS7.1 Identificación de Necesidades de Entrenamiento y Educación DS7.2 Impartición de Entrenamiento y Educación DS7.3 Evaluación del Entrenamiento Recibido
DS8 ADMINISTRAR LA MESA DE SERVICIO Y LOS INCIDENTES
Responder de manera oportuna y efectiva a las consultas y problemas de los usuarios de TI, requiere de una mesa de servicio bien diseñada y bien ejecutada, y de un proceso de administración de incidentes. Este proceso incluye la creación de una función de mesa de servicio con registro, escalamiento de incidentes, análisis de tendencia, análisis causa-raiz y resolución. Los beneficios del negocio incluyen el incremento en la productividad gracias a la resolución rápida de consultas.
DS8.1 Mesa de Servicios DS8.2 Registro de Consultas de Clientes DS8.3 Escalamiento de Incidentes DS8.4 Cierre de Incidentes DS8.5 Análisis de Tendencias
36
DS9 ADMINISTRAR LA CONFIGURACIÓN
Garantizar la integridad de las configuraciones de hardware y software requiere establecer y mantener un repositorio de configuraciones completo y preciso. Este proceso incluye la recolección de información de la configuración inicial, el establecimiento de normas, la verificación y auditoría de la información de la configuración y la actualización del repositorio de configuración conforme se necesite. Una efectiva administración de la configuración facilita una mayor disponibilidad, minimiza los problemas de producción y resuelve los problemas más rápido.
DS9.1 Repositorio y Línea Base de Configuración DS9.2 Identificación y Mantenimiento de Elementos de Configuración DS9.3 Revisión de Integridad de la Configuración
DS10 ADMINISTRAR LOS PROBLEMAS
Una efectiva administración de problemas requiere la identificación y clasificación de problemas, el análisis de las causas desde su raíz, y la resolución de problemas. El proceso de administración de problemas también incluye la identificación de recomendaciones para la mejora, el mantenimiento de registros de problemas y la revisión del estatus de las acciones correctivas. Un efectivo proceso de administración de problemas mejora los niveles de servicio, reduce costos y mejora la conveniencia y satisfacción del usuario
DS10.1 Identificación y Clasificación de Problemas DS10.2 Rastreo y Resolución de Problemas DS10.3 Cierre de Problemas DS10.4 Integración de las Administraciones de Cambios, Configuración y Problemas
DS11 ADMINISTRAR LOS DATOS
Una efectiva administración de datos requiere de la identificación de requerimientos de datos. El proceso de administración de información también incluye el establecimiento de procedimientos efectivos para administrar la librería de medios, el respaldo y la recuperación de datos y la eliminación apropiada de medios. Una efectiva administración de datos ayuda a garantizar la calidad, oportunidad y disponibilidad de la información del negocio.
DS11.1 Requerimientos del Negocio para Administración de Datos DS11.2 Acuerdos de Almacenamiento y Conservación DS11.3 Sistema de Administración de Librerías de Medios DS11.4 Eliminación DS11.5 Respaldo y Restauración DS11.6 Requerimientos de Seguridad para la Administración de Datos
37
Tabla 03. Procesos y Objetivos de Control del Dominio Entrega y Soporte
DS12 ADMINISTRAR EL AMBIENTE FÍSICO
La protección del equipo de cómputo y del personal, requiere de instalaciones bien diseñadas y bien administradas. El proceso de administrar el ambiente físico incluye la definición de los requerimientos físicos del centro de datos (site), la selección de instalaciones apropiadas y el diseño de procesos efectivos para monitorear factores ambientales y administrar el acceso físico
DS12.1 Selección y Diseño del Centro de Datos DS12.2 Medidas de Seguridad Física DS12.3 Acceso Físico DS12.4 Protección Contra Factores Ambientales DS12.5 Administración de Instalaciones Físicas
DS13 ADMINISTRAR LAS OPERACIONES
Un procesamiento de información completo y apropiado requiere de una efectiva administración del procesamiento de datos y del mantenimiento del hardware. Este proceso incluye la definición de políticas y procedimientos de operación para una administración efectiva del procesamiento programado, protección de datos de salida sensitivos, monitoreo de infraestructura y mantenimiento preventivo de hardware
DS13.1 Procedimientos e Instrucciones de Operación DS13.2 Programación de Tareas DS13.3 Monitoreo de la Infraestructura de TI DS13.4 Documentos Sensitivos y Dispositivos de Salida DS13.5 Mantenimiento Preventivo del Hardware
2.6.3.1.4. Monitorear y Evaluar
Evaluar regularmente todos los procesos de TI para determinar su
calidad y el cumplimiento de los requerimientos de control.
Objetivos
- Gestión del desempeño
- Monitoreo y control interno
- Cumplimiento de regulaciones
- Gobierno
Alcance
- ¿Es el desempeño de IT medido con el fin de detectar
problemas antes de que sea tarde?
- ¿Asegura la gestión que los controles internos son efectivos y
eficiente?
- ¿Puede el desempeño de IT relacionarse con los objetivos del
negocio?
- ¿Son los riesgos, controles, el cumplimiento y el desempeño,
medidos y reportados?
PROCESOS CONCEPTO OBJETIVOS DE CONTROL
ME1 MONITOREAR Y EVALUAR EL DESEMPEÑO DE TI
Una efectiva administración del desempeño de TI requiere un proceso de monitoreo. El proceso incluye la definición de indicadores de desempeño relevantes, reportes sistemáticos y oportunos de desempeño y tomar medidas expeditas cuando existan desviaciones. El monitoreo se requiere para garantizar que las cosas correctas se hagan y que estén de acuerdo con el conjunto de direcciones y políticas.
ME1.1 Enfoque del Monitoreo ME1.2 Definición y Recolección de Datos de Monitoreo ME1.3 Método de Monitoreo ME1.4 Evaluación del Desempeño ME1.5 Reportes al Consejo Directivo y a Ejecutivos ME1.6 Acciones Correctivas
ME2 MONITOREAR Y EVALUAR EL CONTROL INTERNO.
Establecer un programa de control interno efectivo para TI requiere un proceso bien definido de monitoreo. Este proceso incluye el monitoreo y el reporte de las excepciones de control, resultados de las auto-evaluaciones y revisiones por parte de terceros. Un beneficio clave del monitoreo del control interno es proporcionar seguridad respecto a las operaciones eficientes y efectivas y el cumplimiento de las leyes y regulaciones aplicables.
ME2.1 Monitoreo del Marco de Trabajo de Control Interno ME2.2 Revisiones de Auditoría ME2.3 Excepciones de Control ME2.4 Auto Evaluación del Control ME2.5 Aseguramiento del Control Interno ME2.6 Control Interno para Terceros ME2.7 Acciones Correctivas
ME3 GARANTIZAR EL CUMPLIMIENTO CON REQUISITOS EXTERNOS
Una supervisión efectiva del cumplimiento requiere del establecimiento de un proceso de revisión para garantizar el cumplimiento de las leyes, regulaciones y requerimientos contractuales. Este proceso incluye la identificación de requerimientos de cumplimiento, optimizando y evaluando la respuesta, obteniendo aseguramiento que los requerimientos se han cumplido y, finalmente integrando los reportes de cumplimiento de TI con el resto del negocio
ME3.1 Identificar los Requerimientos de las Leyes, Regulaciones y Cumplimientos Contractuales ME3.2 Optimizar la Respuesta a Requerimientos Externos ME3.3 Evaluación del Cumplimiento con Requerimientos Externos ME3.4 Aseguramiento Positivo del Cumplimiento ME3.5 Reportes Integrados
40
Tabla 04. Procesos y Objetivos de Control del Dominio Monitorear y Evaluar
ME4 PROPORCIONAR GOBIERNO DE TI
El establecimiento de un marco de trabajo de gobierno efectivo, incluye la definición de estructuras, procesos, liderazgo, roles y responsabilidades organizacionales para garantizar así que las inversiones empresariales en TI estén alineadas y de acuerdo con las estrategias y objetivos empresariales.
ME4.1 Establecimiento de un Marco de Gobierno de TI ME4.2 Alineamiento Estratégico ME4.3 Entrega de Valor ME4.4 Administración de Recursos ME4.5 Administración de Riesgos ME4.6 Medición del Desempeño ME4.7 Aseguramiento Independiente
41
Durante las últimas décadas, se han creado varios marcos que apoyan la
implementación de gobierno de TI. COBIT es un marco basado en las
mejores prácticas, centrándose en los procesos de la organización de TI y
cómo su desempeño puede ser evaluado y controlado [2].
Objetivos de Control para Información y Tecnología Relacionada (COBIT)
se ha convertido en una de las directrices más importantes para la
tecnología de la información de gobierno [2], que proporciona a las
organizaciones una herramienta útil para comenzar a evaluar sus sistemas
de ITG1 propios. COBIT establece un conjunto de herramientas y un marco
de apoyo de ITG que permite a los administradores de TI reducir la brecha
entre los requisitos de control, cuestiones técnicas y los riesgos del negocio.
Se han realizado diversos estudios de la aplicación de este marco de
gobierno en diferentes países. Como el estudio realizado sobre la
formalidad, la auditoría, la responsabilidad y el control de la aplicación de
los procesos de ITG de COBIT en las organizaciones de Arabia. Si bien los
resultados del estudio revelaron que la mayoría de los encuestados
informaron que la implementación de los procesos y dominios de ITG de
COBIT es responsabilidad del departamento de TI en las organizaciones de
Arabia, la mayoría de los encuestados informó que los dichos procesos no
son auditados formalmente en sus organizaciones.
Otros estudios se han enfocado en definir modelos para medir el estado de
madurez de la gobernabilidad en una organización, como el desarrollado
por Simonsson, Johnson y Wijkström [3]. Estudio que tiene como resultado
un método propuesto que permite analizar las organizaciones, permitiendo
así una forma eficaz de realizar evaluaciones de madurez de la
gobernabilidad sobre la base de COBIT.
Hasta la fecha COBIT es el marco de aceptación general de mejores
prácticas de gestión de TI y los objetivos de control escrito para ejecutivos
de negocios, los profesionales de TI y los auditores de T.I
1 ITG – Gobierno de Tecnologías de Información
42
CAPÍTULO 3: MARCO METODOLÓGICO DE COBIT
3. MARCO METODOLÓGICO DE COBIT
3.1. El Cubo de COBIT
Dice que los recursos de TI son manejados por procesos de TI para lograr
metas de TI que respondan a los requerimientos del negocio [4]. Este es el
principio básico del marco de trabajo COBIT, se puede resumir en el
conocido Cubo de COBIT.
Figura 06. Cubo de COBIT [2]
43
3.2. Marco de Trabajo Completo
Figura 07. Marco de Trabajo Completo COBIT [2]
3.3. COBIT y las Áreas de Enfoque del Gobierno de TI
El Marco de Trabajo que ofrece COBIT, el cual está organizado en metas,
métricas, buenas prácticas y el Modelo de Madurez, se encuentra altamente
relacionado con las cinco áreas de enfoque del Gobierno de TI (relación
primaria o relación secundaria) [5].
Figura 08. Relación del Marco de COBIT con el Gobierno de TI [2]
44
3.4. Componentes Esenciales de COBIT
COBIT está compuesto de algunos componentes esenciales, que organizados
en los 34 procesos de TI, y brindan una visión completa de cómo controlar,
administrar y medir cada proceso.
Figura 09. Componentes Esenciales de COBIT [2]
Cada proceso está cubierto en cuatro secciones:
Sección 1
Contiene una descripción del proceso que resume los objetivos del
proceso, con el objetivo de control de alto nivel representado en formada
de cascada (Resumen de las metas de TI más importantes, para que se
pueda alcanzar las metas de TI se deben alcanzar un conjunto de metas
de Proceso, los cuales agrupan a su vez a las metas de actividades y
estás a su vez presentan un conjunto de métricas que permitirán medir
el desempeño).
45
Figura 10.Objetivo de control de alto nivel representado en formada de cascada [2]
Además se muestra la relación del proceso con los criterios de
información que cubre, indicando con una P la relación primaria y con
una S la secundaria.
Figura 11. Relación Proceso con los Criterios de Información [2]
También la relación con los recursos de TI que van a ser utilizados
Figura 12. Relación del Proceso con los Recursos de TI [2]
46
Y la relación con las áreas de enfoque de gobierno de TI.
Figura 13. Relación del Proceso con las Áreas de Enfoque de Gobierno de TI [2]
Sección 2
Contiene los objetivos de control detallados para este proceso. Los
objetivos de control en la descripción del proceso describen lo que el
dueño requiere hacer.
Sección 3
Contiene las entradas (son lo que el dueño del proceso requiere de
otros) y salidas del proceso (son lo que el dueño debe entregar), la
matriz RACI (define qué se debe delegar y a quién.), las metas y las
métricas (cómo se debe medir el proceso)
Figura 14. Representación de las Entradas de cada Proceso [2]
47
Figura 15. Representación de las Salidas de cada Proceso [2]
Figura 16. Roles de la Matriz RACI [2]
Figura 17. Representación de la Matriz RACI [2]
48
Figura 18. Representación de las Metas y Métricas [2]
Sección 4
Contiene el modelo de madurez para el proceso (muestra qué se debe
hacer para mejorar).
Figura 19. Representación del Modelo de Madurez del Proceso [2]
49
CAPITULO 4: GESTION DE LOS SERVICIOS DE TI Y MARCOS DE TRABAJO ASOCIADOS
4. GESTION DE LOS SERVICIOS DE TI Y MARCOS DE TRABAJO
ASOCIADOS
4.1. Definición de Gestión de Servicios de Tecnologías de Información
- ITSM
Hoy en día podemos ver que las organizaciones cuentan con procesos de
negocios muy complejos y cambiantes, los tiempos de respuesta que
requiere la prestación de un servicio son muy acelerados y el mercado
global impone requerimientos exigentes, es por ello que las organizaciones
dependen muy fuertemente de las tecnologías, la cual se ha vuelto una
herramienta muy poderosa, pero al mismo tiempo ha aumentado su
complejidad de manera considerable. Hoy en día no alcanza con gestionar
adecuadamente la tecnología, es necesario adoptar un enfoque integral que
permita controlar todos los aspectos de la problemática. Ante ello surge la
necesidad de un nuevo enfoque centrado en la gestión desde un punto de
vista integrador, consistente y concentrado en responder las exigencias de
los tiempos que nos toca vivir [6].
Visión Tradicional del Servicio
Actualmente las organizaciones tiene la siguiente visión:
Los usuarios hacen uso de los sistemas de información.
Los sistemas de información implementan la funcionalidad
requerida por el negocio.
La tecnología informática es vista como el elemento principal a
proveer a los usuarios a través de los sistemas de información.
La TI se encuentra organizada en islas enfocadas en proveer
tecnología y niveles de servicio que no necesariamente representan
valor para el negocio.
Por lo general, los procesos están orientados hacia objetivos
individuales.
50
Nueva Visión TI como proveedor de servicios
Lo que se pretende a través de una adecuada gestión de los servicios de
TI, es lo siguiente:
Los procesos de negocios requieren de apoyo informático.
Los servicios de TI apoyan a los procesos de negocio.
La infraestructura informática y de telecomunicaciones configura a
los servicios de TI.
Los equipos de soporte operan y mantienen la infraestructura de los
servicios de TI.
Los procesos para gestionar los servicios de TI, aseguran la
operación de los equipos de soporte para prever al negocio
servicios de calidad.
Definición de ITSM
ITSM es conocido como una disciplina que nos permite administrar los
servicios de tecnología de información [7].
Algunos autores la definen como una disciplina basada en procesos,
enfocándose en alinear los servicios de TI proporcionados con las
necesidades de la empresa, poniendo mayor énfasis en la calidad del
servicio que puede percibir el usuario final.
Es aplicable a sistemas centralizados y distribuidos.
ITSM se concentra en la perspectiva del negocio para permitir una
adecuada gestión de infraestructura de las aplicaciones de TI para brindar
soporte y entrega a los servicios.
Dentro de los procesos que plantea ITSM podemos encontrar los siguientes
Soporte:
Mesa de Servicio
Gestión de Incidentes
Gestión de Problemas
Gestión de Configuraciones
Gestión de Cambios
Gestión de Versiones
51
Entrega:
Gestión de Niveles de Servicios
Gestión Financiera de TI
Gestión de Capacidad
Gestión de Continuidad de Servicios de TI
Gestión de Disponibilidad
Beneficios de ITSM
Dentro de los beneficios que nos brinda ITSM dentro del gobierno de TI,
podemos encontrar los siguientes:
Maximizar la calidad del servicio apoyando al negocio de una
manera fiable.
Dar una visión clara de la Capacidad del departamento de TI.
Información precisa de qué cambios
Mayor adaptabilidad de TI al Negocio
4.2. Procesos ITSM
4.2.1. Soporte de Servicio
Gestión de Incidentes: este proceso nos permite restaurar
cualquier interrupción mínima que ocurra en el negocio.
Gestión de Problemas: este proceso nos permite minimizar el
efecto adverso de los problemas de TI.
Gestión de Cambios: este proceso permite mejorar o introducir un
cambio en el servicio con un impacto negativo mínimo.
Gestión de la Configuración: consiste en controlar y verificar todos
los elementos que brindan soporte a los servicios de TI.
Gestión de Versiones: este proceso permite asegurar que las
versiones de hardware y software que van a ser puestas en marcha
dentro del proceso cumplan con los estándares de calidad.
Service Desk (función): viene a ser el único punto central de
contacto para todos los usuarios de TI dentro de la organización.
También sirve de ayuda para todos los procesos de soporte de
servicio.
52
4.2.2. Entrega de Servicio
Gestión de Niveles de Usuario: este proceso se encarga de
establecer los acuerdos de servicio con los clientes, implementar
y monitorear que se cumplan.
Gestión de Disponibilidad: se encarga de planificar y monitorear
que el servicio se encuentre disponible siempre que el cliente lo
necesite.
Gestión Financiera: este proceso nos permite llevar un control
de los costos vinculados en el servicio que se va a prestar.
Gestión de la Capacidad: se encarga de garantizar la capacidad
adecuada que permita atender los requisitos del negocio y
equilibrar la oferta con la demanda.
Gestión de la Continuidad del Servicio de TI: se encarga de
establecer planes de contingencia que permita restablecer el
negocio ante una posible aparición de desastres.
Gestión de la Seguridad: se encarga de administrar y monitorear
la seguridad de toda la infraestructura de TI.
4.3. Buenas Prácticas
Cuando necesitamos realizar algún cambio en nuestra organización, o
estamos buscando algún lugar para mudarnos, o al tener que elegir un
colegio o al comprarnos un auto, siempre recurrimos a los expertos que
vienen a ser las personas que tienen el conocimiento, debido a que ya lo
han realizado anteriormente, tienen buenos antecedentes, ya han probado
varias opciones.
ITSM es un conjunto de buenas prácticas que ya han sido implementadas
en varias organizaciones y los resultados ha sido favorables, para ello ITSM
propone unas serie de Frameworks, que permiten gestionar los servicios de
TI, entre ellos encontramos: ITIL, ISO 20000, MOF, Application Service
Library (ASL), entre otros [8].
53
4.4. Frameworks o Marcos de Trabajo
ITIL: es un conjunto de buenas prácticas para la Gestión de los Servicios
de las Tecnologías de Información, nos brinda procedimientos detallados
de gestión ideados para ayudar a las organizaciones a lograr la calidad y
eficiencia en las operaciones de TI.
ISO 20000: es estándar reconocido para la Gestión de Servicios de TI,
es totalmente compatible con ITIL , la diferencia consiste en que ITIL
puede ser implementado de muchas maneras, por el contrario ISO
20000 te brinda una serie de requisitos que se deben cumplir paso a
paso.
MOF: es una guía destinada a ayudar a Gestionar las Tecnologías de
Información (TI) establecer y aplicar confiables y rentables servicios.
Application Service Library (ASL): es un dominio público estándar que
se utiliza para los procesos en la Gestión de la Aplicación (la disciplina
de la producción y mantenimiento de sistemas de información y
aplicaciones).
4.5. Servicio
ITIL define al servicio como un medio para entregar valor al cliente brindado
los servicios que requieran sin necesidad de que estos asuman los costos y
riesgos asociados al servicio.
En otras palabras podemos decir que el objetivo del servicio es satisfacer la
necesidad del cliente sin asumir de forma directa las capacidades y los
recursos necesarios para ello.
Por ejemplo, si nosotros deseamos implementar algún servicio en nuestra
organización tendremos 2 opciones a escoger, una de ellas es contratar el
servicio de otra empresa o contratar al personal y los recursos necesarios
teniendo en cuenta que se tienen que asumir los riesgos y los costos
directos para la gestión del servicio.
54
El servicio es un conjunto de recursos que son provistos a los clientes para
soportarlos en la operación de una o más áreas del negocio [9].
4.6. Gestión de Servicios de TI
ITIL define a la Gestión de Servicios de TI, como un conjunto de
capacidades organizadas y especializadas para la provisión de valor a los
clientes en forma de servicios.
Cuando se habla de capacidad ITIL se refiere a la los recursos y al personal
que debe contar con las habilidades adecuadas para aprovechar al máximo
los recursos brindando un servicio de calidad.
4.7. El Ciclo de Vida de los Servicios de TI
El objetivo del enfoque que plantea ITIL ofrece una visión clara y detallada
de la vida de un servicio, desde su diseño hasta su eventual eliminación.
El Ciclo de Vida de los Servicios que plantea ITIL V3, consta de cinco fases,
las cuales se describen a continuación:
Estrategia del Servicio: esta primera fase propone tratar la gestión
de servicios no solo como una capacidad sino como un activo
estratégico.
Diseño del Servicio: cubre los principios y métodos necesarios
para transformar los objetivos estratégicos en portafolios de
servicios y activos.
Transición del Servicio: cubre el proceso de transición para la
implementación de nuevos servicios o su mejora.
Operación del Servicio: esta fase cubre las mejores prácticas para
la gestión del día a día en la operación del servicio.
Mejora Continua del Servicio: esta fase proporciona una guía para
la creación y mantenimiento del valor ofrecido a los clientes a través
de un diseño, transición y operación del servicio optimizado.
55
Figura 20. Ciclo de Vida de los Servicios de TI
56
4.8. Biblioteca de Infraestructura de Tecnologías de Información – ITIL
4.8.1. Antecedentes
En los años 80’, la época donde muchas empresas se dedicaban al
desarrollo y puesta en marcha de aplicaciones software para su
negocio, aun presentaban dificultades para administrar todas estas
aplicaciones, y una de las empresas que presentaba esta necesidad
fue el Gobierno Británico al no poder gestionar su infraestructura de TI.
Este hecho y el incremento en la dependencia de las TI, incurrieron a
que empresas del sector adoptaran estándares propios para gestionar
la información, obviamente eran poco eficientes, ocasionando que
algunas veces se duplicaran los esfuerzos o el aumento en costos y
baja calidad de los servicios que ofrecían [7].
Todas estas incidencia, conllevaron a que la Central Computer and
Telecommunications Agency (CCTA) desarrollara unas primeras
recomendaciones que facilitaran la administración y optimización de las
TI, recomendaciones que actualmente se conocen como ITIL
(Biblioteca de Infraestructura de Tecnologías de Información).
Inicialmente, CCTA se enfoco a recopilar información tendiente a
verificar como las organizaciones dirigían la administración de sus
servicios, logrando analizar y filtrar los diferentes problemas que se
generaban; luego comprobaron la utilidad y los beneficios de sus
recomendaciones. Esta iniciativa se convirtió en un marco de trabajo
conformado por numerosos volúmenes (40 libros), que probo su
utilidad no solamente en organizaciones gubernamentales sino en
todos los sectores (banca y seguros, servicios, industria, organismos
públicos, etc.), convirtiéndose en la base para todo tipo de empresas,
grandes o pequeñas, que tuvieran la disposición de implementar
Mejores Practicas.
En la década de los 90s, muchas empresas adoptaron este marco de
trabajo, convirtiéndose en una buena práctica para la administración de
los servicios de TI, sin embargo, a mediados de los 90’s el termino
57
Gestión de Servicios aun era muy pobre, pues no existía una
documentación bien descrita y estándar de esta expresión. Con el paso
del tiempo comenzó a popularizada por toda la comunidad interesada
en la administración de las TI, dando como resultado la creación de un
foro llamado (ITIMF) Foro de Gestión de Información de TI. En este
foro, gran cantidad de usuarios a nivel global se reunieron para dar
opiniones, ideas y aprender más a fondo sobre la gestión de servicios
de TI, específicamente sobre la Biblioteca de Infraestructura de TI
(ITIL). Este foro con el paso del tiempo evoluciono y su nombre fue
sustituido por (ITSMF) Foro de Gestión de Servicio de TI, hoy en día
posee millones de miembros en el mundo interesados en ITIL, que
contribuyen a su actualización y adaptación a las características
cambiantes de los negocios.
Actualmente ITIL se puede considerar como el estándar de facto en
estos momentos a nivel mundial y que ha sido adoptado como base por
grandes compañía de gestión de servicios como IBM, HP y Microsoft,
tanto para la creación o ampliación de sus propios modelos para
consultoría, educación y herramientas de software para el soporte, y es
utilizado a parte de éstas en otras grandes empresas como Barclays
Bank, HSBC, Guinness y Procter & Gamble.
Figura 21. Evolución de la Administración de TI
58
4.8.2. OBJETIVO DE ITIL
El uso de las Tecnologías de información (TI) se ha convertido en una
utilidad necesaria en los negocios a nivel mundial, sin embargo,
simplemente teniendo la mejor tecnología no se asegura la fiabilidad y
total utilidad de esta, es decir, el hecho de comprar e invertir en nueva
tecnología siendo de última generación, no implica que sea lo más útil
para el negocio si esta no se sabe administrar y aprovechar.
ITIL ofrece un marco de trabajo para las actividades del área de TI,
proporcionando una descripción de los roles, tareas, procedimientos y
responsabilidades que pueden ser adoptados en organizaciones de TI
cuya finalidad será mejorar la Gestión de sus Servicios; gracias a la
cantidad de temas que cubre, se considera un elemento de referencia
útil para las organizaciones, ya que permite fijar nuevos objetivos de
mejora para la organización de TI, basándose en la calidad del servicio
y en el desarrollo de los procesos de una manera eficaz y eficiente.
El objetivo de ITIL es proveer todos los servicios necesarios a los
clientes que tengan interés en ejecutarlos de manera que el negocio los
use establemente, de forma confiable y adecuada. Para esto ITIL
ofrece la mejor guía de prácticas aplicable a todos los tipos de servicios
que proveen los negocios; cada publicación del ciclo de vida del
servicio de ITIL se ocupa de las capacidades fundamentales, teniendo
impacto directo en las funciones que desempeñan la compañía o el
proveedor del servicio. La estructura práctica se realiza de acuerdo al
ciclo de vida del servicio, de forma interactiva y multidimensional,
donde se asegura que las organizaciones que las establezcan, las
utilizan para apalancar las necesidades requeridas, aprendiendo y
mejorando la calidad del servicio en el negocio.
Con el núcleo completo del ciclo de vida del servicio se espera que se
tenga una estructura fuerte y estable con capacidad de mantener y
59
gestionar de forma efectiva las necesidades administrativas con
métodos y herramientas durables en el tiempo, tratando de proteger las
inversiones y proveer la base necesaria para la medida, el aprendizaje
y la mejora de los negocios, puesto que puede ser adaptada para su
uso en diversos ambientes de negocio y estrategias corporativas. Y al
ser puesto en marcha, ayuda a aumentar la durabilidad y portabilidad
de los activos de conocimiento de las empresas, así como también las
inversiones en función de las necesidades administrativas [8].
4.8.3. EVOLUCION DE ITIL
4.8.3.1. ITIL V. 2.0
Figura 22. Estructura de ITIL v. 2.0
4.8.3.1.1. Soporte de Servicio
Describe cómo los clientes pueden acceder a los servicios de TI
apropiados para brindar soporte a sus negocios. En gran medida,
el soporte de servicio describe los servicios de base operativa
diarios utilizados para atender las necesidades de los clientes.
Los procesos de Soporte de Servicio incluyen:
Gestión de Incidentes: Para restaurar servicios con
interrupción mínima en los negocios.
60
Gestión de Problemas: Para minimizar el efecto adverso de
los problemas de TI
Gestión de Cambios: Para determinar los cambios
requeridos e implementarlos con un impacto negativo mínimo
Gestión de Versiones: Para asegurar que sólo las versiones
probadas y correctas del hardware y el software sean
provistas
Gestión de la Configuración: Para identificar, controlar y
verificar las configuraciones que brindan soporte a los
servicios de TI.
Service Desk (Mesa de trabajo): Para brindar un único punto
central de contacto para todos los usuarios de TI dentro de la
organización. Como mínimo, la función del service desk
maneja todos los incidentes, servicios y pedidos de cambios,
y brinda una interfaz para todos los procesos de soporte de
servicio.
Figura 23. Estructura de Soporte de Servicio
4.8.3.1.2. Entrega del Servicio
Describe los cinco procesos que ayudan a las organizaciones de
TI a entregar el servicio de negocio requerido. Maleables por
naturaleza, los procesos están dedicados a la planificación y
61
entrega de servicios de TI de calidad. Los procesos de Entrega
del Servicio incluyen:
Gestión de la Capacidad: Para garantizar la disponibilidad
de la capacidad adecuada que permita atender los requisitos
del negocio y equilibrar la oferta con la demanda.
Gestión de la Disponibilidad: Para garantizar el nivel
apropiado de recursos que brinden soporte a la disponibilidad
de los servicios de TI.
Gestión de la Continuidad del Servicio de TI: Para atender
la preparación y planificación de los procedimientos de
recuperación de desastres para los servicios de TI
Gestión del Nivel del Servicio: Para realizar acuerdos sobre
servicios de TI con los clientes, e imple-mentar y monitorear
esos acuerdos
Gestión Financiera de los Servicios de TI: Para brindar un
control efectivo sobre los recursos y activos de TI.
Figura 24. Estructura de Entrega del Servicio
62
4.8.3.1.3. Gestión de la Infraestructura de TI
De este libro cabe destacar cuatro procesos principales:
Diseño y planificación: tiene como objetivo la creación y/o
mejora de la solución de TI. Tiene en cuenta el desarrollo y
mantenimiento de las estrategias y procesos de TI para el
despliegue e implementación de las soluciones adecuadas de
infraestructura de TI en toda la organización.
Despliegue: Su finalidad es la implementación extensión del
negocio y/o solución de TI según se diseño y planifico, con
mínima interrupción de los procesos de negocio.
Operaciones: su objetivo es el mantenimiento diario de la
infraestructura de TI. Tiene en cuenta todas las actividades y
medidas para permitir y/o mantener el uso pretendido de la
infraestructura de TI.
Soporte Técnico: Tiene como finalidad la estructura y
apuntalamiento de otros procesos para garantizar los
servicios entregados por la Gestión de Infraestructura de TI.
Tiene en cuenta el desarrollo del conocimiento para la
evaluación y soporte de todas las soluciones actuales y
futuras de infraestructura de TI.
4.8.3.1.4. Planificación para la Implementación de los
Servicios de Gestión
Este libro examina los problemas y tareas implicadas al planificar,
implementar y mejorar los procesos de Gestión de Servicios
dentro de una organización. Se centra en los aspectos clave a
considerar cuando se planifica la implementación de la gestión de
servicio en TI. El principal objetivo es asegurar que los servicios
de TI están alineados con las necesidades del negocio.
La provisión de servicio en TI necesita compararse con las
demandas actuales y cambiantes rápidamente del negocio. El
objetivo es mejorar continuamente la calidad del servicio, alineado
63
con los requisitos del negocio y efectivo en coste. Para ello, es
necesario considerar tres aspectos: las personas, los procesos de
gestión de servicio eficaz y eficiente y la infraestructura de TI en
términos de herramientas y tecnología. Además, estos tres
aspectos solo facilitaran la implementación de los objetivos si se
consideran junto con un mecanismo estructurado de alineamiento
hacia los objetivos concretos del negocio.
4.8.3.1.5. Gestión de Aplicaciones
Este libro trata el complejo aspecto de gestionar las aplicaciones
desde la necesidad inicial del negocio, a través del ciclo de vida
de la Gestión de la Aplicación, hasta la retirada.
4.8.3.1.6. Perspectiva de Negocio
La perspectiva de negocio tiene como meta familiarizar a la
dirección del negocio con los componentes que sirven de base a
la infraestructura de la Tecnología de la Información necesarios
para soportar sus procesos de negocio, de forma que se obtenga
una comprensión de los estándares y mejores prácticas de
Gestión del Servicio.
4.8.3.1.7. Gestión de Seguridad
Este proceso toma como punto de partida a los procesos
existentes de ITIL y les añade actividades de gestión de
seguridad. Este proceso, aunque es un proceso separado,
aparece integrado en el resto de procesos. El objetivo es
gestionar un nivel definido de seguridad para la información y
servicios de TI, así como gestionar la reacción a incidentes de
seguridad.
De los siete libros mencionados, los dos primeros se consideraban los
fundamentales: Service Support y Service Delivery. En general,
Service Support explicaba las mejores prácticas para las actividades
del día a día, mientras que Service Delivery lo hacía para actividades
futuras. Los otros cinco libros tocaban pocos temas de ITIL y se
consideraban complejos incluso por los propios expertos de ITIL.
4.8.3.2. ITIL V. 3.0
64
Los directivos de las empresas quieren que el departamento de TI
no se limite a ayudar a su empresa a cumplir con los objetivos del
negocio. Esperan que introduzca elementos de innovación en el
negocio. Por tanto, según la OGC: “Los esfuerzos de la TI deberían
centrarse en comprender hacia dónde se dirige la tecnología y saber
aprovecharla, no sólo para mejorar la eficacia de los procesos
operativos, sino para abrir nuevas oportunidades de negocio con
servicios y productos innovadores”. Esta nueva forma de plantear su
misión, obliga a la TI a dar un enorme salto en el camino hacia una
gestión de servicios madura. Pasa de centrar sus actividades en la
simple puesta en marcha de una buena estructura, mecanismos de
control rigurosos y procesos para una gestión de servicios efectiva, a
convertirse en parte del negocio.
ITIL v3 representa un avance sustancial, ya que se centra en
integrar la TI en el negocio. Diluye la distinción entre TI y negocio, e
incluso sustituye el lenguaje de la TI por el lenguaje de los negocios.
Figura 25. Estructura de ITIL v. 3.0
65
4.8.3.3. Servicios como Activos
ITIL v3 introduce el concepto de servicios como activos. Considera
que un servicio es un activo para su consumidor. Los activos de
servicios se componen de dos entidades: utilidad y garantía.
La utilidad es el servicio en sí, suministrado por una combinación
de personas, procesos y tecnología. Como ejemplos podríamos
citar un servicio de introducción de pedidos online de un
establecimiento comercial y otro de suscripción online al plan de
seguro de salud de una compañía.
La garantía es la seguridad de que la utilidad se ejecutará dentro
de los niveles esperados. Por ejemplo, la citada herramienta de
introducción de pedidos online podría garantizar factores tales
como informar sobre la existencia de stock y el plazo de entrega.
En ITIL v3, utilidad y garantía interaccionan para crear el valor del
activo. Como consecuencia, los activos tienen un impacto directo
sobre el valor del negocio (porque ellos mismos generan algo de
valor). Ese “algo” puede ser beneficios, innovación, satisfacción del
cliente o cualquier otro aspecto que determine el éxito del negocio.
4.8.3.4. Eliminación de silos
Otro aspecto importante de ITIL v3 es su creciente esfuerzo por
evitar la separación de los procesos de TI en silos o compartimentos
independientes. Aunque ITIL v2 habla de integración de procesos,
define los procesos de cada función de TI (gestión de incidencias,
gestión de problemas, gestión de cambios, gestión de la
configuración, gestión de versiones y servicio de atención al usuario)
en capítulos distintos. Esta separación de procesos por función no
favorece su integración. A menudo los procesos en sí están bien
implantados, pero su integración a lo largo del servicio asociado es
débil o inexistente.
Por el contrario, ITIL v3 reclasifica los procesos extrayéndolos de su
área funcional para enmarcarlos en las fases de su ciclo de vida, lo
66
que fomenta su integración en funciones por servicio. Es más, ITIL
v3 reconoce que la integración efectiva de los procesos exige que
las personas pertenecientes a diferentes disciplinas de TI adopten
un punto de vista más global. Los miembros del departamento de TI
no sólo deben ser expertos en sus respectivas áreas, sino entender
la interacción de sus áreas con las demás. Por ejemplo, el
responsable de la gestión de cambios, no sólo debe conocer en
profundidad los mecanismos de las operaciones del cambio, sino
comprender las implicaciones que éstos tienen en la estrategia y el
diseño.
4.8.3.5. Beneficios para el Negocio
Una de las principales ventajas de ITIL v3 es que permite a las
organizaciones aprovechar por completo su inversión en TI. Esto
brinda la posibilidad de extraer todo el potencial de la TI y la
experiencia de los profesionales para hacer el negocio más
innovador y valioso.
La TI se beneficia de esta poderosa combinación porque sus
profesionales desempeñan un papel más enriquecedor y
satisfactorio. A esto se suma que su visibilidad y la percepción de su
valor para la compañía crecen, ya que los directivos empiezan a ver
la TI como un factor de creación de valor para el negocio.
Los responsables del negocio también se benefician de una relación
mucho más estrecha con la TI y una mejor comprensión de la
capacidad de este departamento para aprovechar la tecnología en
proyectos de innovación. A través de la colaboración con la TI, los
responsables del negocio pueden implantar nuevos procesos que
incrementen su competitividad y, gracias a la innovación tecnológica,
pueden abrir nuevas áreas de negocio previamente inalcanzables.
67
4.8.3.6. FUNCIONES Y PROCESOS A LO LARGO DEL CICLO
DE VIDA
4.8.3.6.1. Funciones
Las funciones son medios que facilitan a las organizaciones la
estructura que necesitan para implementar el principio de
especialización. Definen típicamente roles, la autoridad asociada,
y la responsabilidad para obtener unos resultados y un
rendimiento especifico.
4.8.3.6.2. Procesos
Los procesos son ejemplos de sistemas de bucle cerrado, debido
a que proporcionan cambios y la transformación necesaria para
lograr un objetivo, y utilizan la retroalimentación para reforzarse y
corregirse a sí mismas. Los procesos tienen las siguientes
características:
Figura 26. Estructura de Procesos
Medible: Esta orientado al rendimiento. Los responsables
desean medir el coste, la calidad y otras variables, mientras
que los profesionales están involucrados con la duración y la
productividad.
Resultados Específicos: la razón que explica la existencia
de un proceso es la entrega de un resultado específico. Este
68
resultado debe ser identificable y cuantificable
individualmente. Aunque podemos contabilizar los cambios,
es imposible contabilizar cuantos Centros de Servicio al
Usuario se completaron.
Clientes: Cada proceso entrega sus resultados primarios a un
cliente o interesado. El proceso debe satisfacer sus
expectativas, independientemente de que sean internos o
externos a la organización.
Responde a un evento específico: Aunque el proceso
podría ser continuo o iterativo, este debe ser fácil de rastrear
para detectar su activación específica.
4.8.3.7. TRANSICIÓN DE ITIL V2 A ITIL V3
Una vez aclarados los conceptos fundamentales de ITIL v3 y el
modo en que han evolucionado desde la versión 2, se determina que
la transición de ITIL v2 a v3 es evolutiva más que revolucionaria. ITIL
v3 implica un cambio de actitud mental. Garantiza que se tomará en
consideración el ciclo de vida de un servicio antes de su
implantación, eliminando así la actual mentalidad basada en silos y
favoreciendo una mejor integración de la TI con los procesos,
operaciones y factores que impulsan el avance del negocio.
El interfaz entre ITIL v2 y ITIL v3 es transparente, lo que significa
que las organizaciones de TI que ya han adoptado ITIL v2 no
necesitan reinventar la rueda para implantar ITIL v3. Esto implica
que cualquier logro obtenido con la implantación de ITIL v2 se
mantiene en ITIL v3.
69
CAPÍTULO 5: MARCO METODOLÓGICO ITIL – BIBLIOTECA
DE INFRAESTRUCTURA DE TECNOLOGIAS DE
INFORMACIÓN EN DETALLE
5. MARCO METODOLÓGICO ITIL – BIBLIOTECA DE INFRAESTRUCTURA
DE TECNOLOGIAS DE INFORMACIÓN
5.1. Estrategia de Servicio
En esta primera fase se definen que servicios van a ser prestados y porqué
van a ser prestados teniendo en cuenta tanto las perspectivas del cliente
como del mercado.
Una correcta Estrategia del Servicio debe:
Servir de guía a la hora de establecer y priorizar objetivos y
oportunidades.
Conocer el mercado y los servicios de la competencia.
Armonizar la oferta con la demanda de servicios.
Proponer servicios diferenciados que aporten valor añadido al
cliente.
Gestionar los recursos y capacidades necesarios para prestar los
servicios ofrecidos teniendo en cuenta los costes y riesgos
asociados.
Alinear los servicios ofrecidos con la estrategia de negocio.
Elaborar planes que permitan un crecimiento sostenible.
Crear casos de negocio para justificar inversiones estratégicas.
Para plantear una correcta estrategia de servicio debemos respondernos a
las siguientes preguntas:
¿Qué servicios debemos ofrecer?
¿Cuál es su valor?
¿Cuáles son nuestros clientes potenciales?
¿Cuáles son los resultados esperados?
¿Qué servicios son prioritarios?
70
¿Qué inversiones son necesarias?
¿Cuál es el retorno a la inversión o ROI?
¿Qué servicios existen ya en el mercado que puedan representar
una competencia directa?
¿Cómo podemos diferenciarnos de la competencia?
5.1.1. Gestión Financiera
El principal objetivo de la gestión financiera es evaluar y controlar
todos los costos que se encuentren asociados a un Servicio de TI
específico de forma que se ofrezca un servicio de calidad a los
clientes.
Además este proceso nos permite evaluar el retorno de la
inversión (ROI), para que de esta forma se puedan establecer
planes consistentes de gasto tecnológico.
Figura 27. Gestión Financiera
Actividades
Las actividades que se realizan en este proceso son:
71
Presupuesto: se encarga de planificar el gasto e inversión de
TI, asegurar que los servicios TI estén adecuadamente
financiados, establecer objetivos claros que permitan evaluar
el rendimiento de la organización TI.
Contabilidad: se encarga de evaluar los costos reales con los
presupuestados, evaluar la eficiencia financiera de cada uno
de los servicios de TI prestados.
Fijación de Precios: Se encarga de fijar la política de precios
para los servicios TI, establecer la tarifa de los servicios,
justificar los precios al resto de la organización y a los
responsables de los otros procesos TI.
Métricas
Las métricas que se usan para evaluar el rendimiento de este
proceso son:
Los gastos TI están correctamente planificados y
presupuestados.
Se cumplen los objetivos de costes e ingresos.
Se lleva a cabo una contabilidad precisa asociada a cada
servicio.
Se conoce el ROI de las inversiones TI.
La organización TI funciona de manera "rentable"
5.1.2. Gestión del Portafolio de Servicios
Este proceso consiste en definir una estrategia para que permita
generar el máximo valor de un servicio, controlando los riesgos y
costos asociados al mismo [9].
Este proceso se encuentra relacionado directamente con los
procesos de la gestión financiera la cual le brinda los costos
asociados a un servicio y el proceso de gestión del catálogo de
servicios ya que el catalogo se basa en el portafolio de servicios
pero su contenido se encuentra enfocado al cliente.
72
De manera indirecta, la Gestión del Portafolio de Servicios se
relaciona con todas las fases del ciclo de vida, ya que sirve para
orientar cualquier actividad relacionada con el servicio.
Figura 28. Gestión de Portafolio del Servicio
Actividades
El proceso de gestión del portafolio consta de 4 actividades, las
cuales se describen a continuación:
Definición: consiste en realizar un inventario de todos los
servicios a prestar, según os objetivos estratégicos de la
organización; casos de negocio favorables, teniendo en
cuenta la competencia y las necesidades de los clientes.
Análisis: consiste en definir una propuesta de valor, teniendo
en cuenta los espacios de mercado y las necesidades de los
clientes; establecer prioridades en la prestación de servicios.
Aprobación: consiste en la aprobación o rechazo de los
servicios y se actualiza su estado, se asignan los recursos
necesarios a cada servicio.
Planificación: consiste en establecer plazos de creación y
renovación de los servicios, actualizar el portafolio de
73
servicios con toda la información, asegurarse de que toda la
organización se encuentre comunicada de los cambios.
Métricas
Porcentaje de nuevos servicios planeados (que han sido
desarrollados desde la Gestión del Portfolio de Servicios)
Porcentaje de nuevos servicios no planeados (que han sido
desarrollados sin la intervención de la Gestión del Portfolio de
Servicios)
Número de iniciativas estratégicas lanzadas desde la Gestión
del Portfolio de Servicios.
Número de nuevos clientes.
Número de clientes que se han cambiado a la competencia.
5.1.3. Gestión de la Demanda
La Gestión de la Demanda se encarga de predecir y regular los
ciclos de consumo, su objetivo fundamental es buscar un
equilibrio entre los servicios ofertados y los servicios ofrecidos
para asegurar que los servicios se presten de acuerdo a los
tiempos y niveles de calidad acordados con el cliente.
Figura 29. Gestión de demanda
74
Actividades
Dentro de este proceso, encontramos 2 actividades:
Análisis: consiste en definir las necesidades de cada
segmento del mercado, las alternativas de que disponen los
clientes, dentro y fuera de sus organizaciones.
Desarrollo: consiste en generar una serie de paquetes de
servicio adaptados a las necesidades de los clientes,
proponer mejoras en el servicio.
Métricas
Desviación de la actividad prevista en los Patrones de
actividad del negocio respecto a la que se registró realmente.
Número de interrupciones del servicio ocasionadas por picos
de la demanda no previstos.
Número de cambios planificados desde Gestión de la
Demanda que se han efectuado en el servicio con el fin de
ajustarse a la demanda.
Número cambios no planificados que se han efectuado en el
servicio con el fin de ajustarse a la demanda.
5.2. Diseño del Servicio
Esta segunda fase del ciclo de vida consiste en diseñar nuevos servicios o
modificar los que ya existen para que estos servicios luego pasen al
catálogo de servicios y posteriormente sean puestos en producción.
Una correcta implementación del Diseño del Servicio debe ayudar a
responder cuestiones tales como:
¿Cuáles son los requisitos y necesidades de nuestros clientes?
¿Cuáles son los recursos y capacidades necesarias para prestar los
servicios propuestos?
¿Los servicios son seguros, ofrecen la disponibilidad necesaria y se
garantiza la continuidad del servicio?
¿Son necesarias nuevas inversiones para prestar los servicios con
los niveles de calidad propuestos?
75
¿Están todos los agentes involucrados correctamente informados
sobre los objetivos y alcance de los nuevos servicios o de las
modificaciones a realizar en los ya existentes?
¿Se necesita la colaboración de proveedores externos?
5.2.1. Gestión del Catálogo de Servicios
En el catálogo de servicios se registran todos los servicios
actuales con los que cuenta la organización, este catálogo está
orientado hacia el exterior, es decir para el cliente.
La elaboración de un catálogo de servicio puede resultar ser muy
complejo, este suma documento es de suma importancia, ya que
sirve para:
Sirve de guía a los clientes a la hora de seleccionar un servicio
que se adapte a sus necesidades.
Delimita las funciones y compromisos de la organización TI.
Puede ser utilizado como herramienta de venta.
Evita malentendidos entre los diferentes actores implicados en
la prestación de servicios.
Figura 30. Gestión del Catálogo del Servicio
76
Actividades
Definición: consiste en definir una serie de familias de
servicios para agrupar estos según afinidad, se seleccionan
los servicios que deben constar en cada familia, se registra la
información relativa a cada servicio.
Mantenimiento y Actualización: se establecen una serie de
pautas de consulta: destinatarios políticas de permisos; se
forma al personal de la organización, se planifican las tareas
de mantenimiento y se tipifican los casos para actuaciones
extraordinarias.
Métricas
Nº de actualizaciones enviadas al Portfolio de Servicios.
Nº de modificaciones efectuadas en el Catálogo de Servicios
en un periodo determinado.
Nº de accesos o solicitudes de consulta del Catálogo dentro
de la organización TI.
5.2.2. Gestión de Niveles de Servicio
Este proceso se encarga de establecer los acuerdos de calidad
con el cliente alineando la tecnología con los procesos de negocio
a un costo razonable [9].
Para cumplir sus objetivos es imprescindible que la Gestión de
Niveles de Servicio:
Conozca las necesidades de sus clientes.
Defina correctamente los servicios ofrecidos.
Monitorice la calidad del servicio respecto a los objetivos
establecidos en los SLAs.
77
Figura 31. Gestión de Nivel de Servicio
Actividades
Planificación: consiste en analizar las necesidades del
cliente, elaborar hojas de especificación del servicio,
establecer parámetros de rendimiento que permitan verificar
la calidad del servicio.
Implementación: es la responsable de establecer una
estrecha colaboración con el cliente los acuerdos de nivel de
servicio, Monitorizar la calidad del servicio.
Revisión: está a cargo de elaborar informes de rendimiento
sobre la calidad del servicio, modificar si fuera necesario las
SLAs existentes, elaborar los planes de mejora del servicio.
Métricas
Porcentaje de servicios amparados bajo SLAs.
Porcentaje de incumplimiento de los SLAs clasificados por su
impacto en la calidad del servicio.
SIPs elaborados e impacto de los mismos en la calidad del
servicio.
Encuestas de satisfacción del cliente.
78
5.2.3. Gestión de la Capacidad
Este proceso se encarga que el servicio tenga la capacidad
suficiente para responder los requerimientos de los clientes, trata
que los recursos se aprovechen adecuadamente y no se realicen
inversiones innecesarias que pueden acarrear gastos adicionales
de mantenimiento.
Entre las responsabilidades de la Gestión de la Capacidad se
encuentran:
Asegurar que se cubren las necesidades de capacidad TI tanto
presentes como futuras.
Controlar el rendimiento de la infraestructura TI.
Desarrollar planes de capacidad asociados a los niveles de
servicio acordados.
Gestionar y racionalizar la demanda de servicios TI.
Figura 32. Gestión de la Capacidad
Actividades
Planificación: se encarga de elaborar un plan de capacidad
que recoja las necesidades actuales y futuras de capacidad;
modelando, simulando o reproduciendo diferentes posibles
escenarios para realizar previsiones realistas de capacidad.
79
Supervisión: es la responsable de medir el rendimiento de la
infraestructura informática, asegurar que la capacidad se
adecua a los requisitos establecidos en los SLAs, supervisar
las licencias.
Métricas
Es imprescindible elaborar informes que permitan evaluar el
rendimiento de la Gestión de la Capacidad.
La documentación elaborada debe incluir información sobre:
El uso de recursos.
Desviaciones de la capacidad real sobre la planificada.
Análisis de tendencias en el uso de la capacidad.
Métricas establecidas para el análisis de la capacidad y
monitorización del rendimiento.
Impacto en la calidad del servicio, disponibilidad y otros
procesos TI.
El éxito de la Gestión de la Capacidad depende de algunos
indicadores clave, entre los que se encuentran:
Correcta previsión de las necesidades de capacidad.
Reducción de los costes asociados a la capacidad.
Más altos niveles de disponibilidad y seguridad.
Mayor satisfacción de los usuarios y clientes.
Cumplimiento de los SLAs.
5.2.4. Gestión de la Disponibilidad
Este proceso se encarga de optimizar y evaluar los servicios de TI
para que estos se lleven a cabo de acuerdo a niveles de calidad y
no existe alguna interrupción. La satisfacción del cliente y la
rentabilidad de los servicios TI dependen en gran medida de su
éxito.
80
Figura 33. Gestión de la Disponibilidad
Actividades:
Planificación: se debe elaborar planes de disponibilidad a
corto y mediano plazo, colaborar en el diseño de servicios
para asegurar su disponibilidad presente y futura, participar en
los planes de recuperación del servicio para optimizar la
disponibilidad.
Mantenimiento: es responsable de colaborar en las
actividades de recuperación del servicio, gestionar las
interrupciones del servicio para su mantenimiento y
actualización, minimizar en la medida del posible en impacto
de las posibles interrupciones del servicio.
Monitorización: se deben establecer métricas claras que
permitan medir objetivamente la disponibilidad de los
diferentes servicios TI, elaborar informes para los clientes y
organización con información detallada sobre disponibilidad,
n° de fallos del sistema, tiempo medio entre fallas.
Métricas
La Gestión de la Disponibilidad debe elaborar periódicamente
informes sobre su gestión que incluyan información relevante
tanto para los clientes como para el resto de la organización TI.
Estos informes deben incluir:
81
Técnicas y métodos utilizados para la prevención y el análisis
de fallos.
Información estadística sobre:
Tiempos de detección y respuesta a los fallos.
Tiempos de reparación y recuperación del servicio.
Tiempo medio de servicio entre fallos.
Disponibilidad real de los diferentes servicios.
Cumplimiento de los SLAs en todo lo referente a la
disponibilidad y fiabilidad del servicio.
Cumplimiento de los OLAs y UCs en todo lo referente a la
capacidad de servicio prestada por los proveedores internos y
externos.
5.2.5. Gestión de Continuidad de Servicios TI
Este proceso se encarga de elaborar planes de contingencia para
asegurar la continuidad del servicio, su principal objetivo es
impedir que una imprevista y grave interrupción de los servicios
de TI, como consecuencia de desastres naturales u otras fuerzas
de causa mayor, traigan consigo consecuencias catastróficas para
la organización.
La estrategia de la Gestión de la Continuidad del Servicio (ITSCM)
debe combinar equilibradamente procedimientos:
Proactivos: que buscan impedir o minimizar las
consecuencias de una grave interrupción del servicio.
Reactivos: cuyo propósito es reanudar el servicio tan pronto
como sea posible (y recomendable) tras el desastre.
82
Figura 34. Gestión de Continuidad del Servicio de TI
Actividades
Políticas: establecer una política en la que se establezca el
alcance de la misma, se asignen los recursos necesarios, se
establezcan las bases para la organización del proceso.
Planificación: se debe estudiar el impacto en el negocio de
una supuesta interrupción de los diferentes servicios TI,
analizar los riesgos y vulnerabilidades a los que está expuesta
la infraestructura TI, establecer una clara estrategia para la
continuidad del servicio.
Implementación: es responsable de organizar la
implantación del proceso, elaborar los planes de prevención y
recuperación del servicio, establecer los protocolos de
actuación en situación de crisis.
Supervisión: se debe supervisar el proceso evaluando
regularmente los planes de prevención y recuperación,
asegurar el conocimiento y formación del personal respecto a
los procedimientos asociados, garantizar que los planes se
hallen convenientemente actualizados.
83
Métricas
La Gestión de la Continuidad del Servicio debe elaborar
periódicamente informes sobre su gestión que incluyan
información relevante para el resto de la organización TI.
Estos informes deben incluir:
Análisis sobre nuevos riesgos y evaluación de su impacto.
Evaluación de los simulacros de desastre realizados.
Actividades de prevención y recuperación realizadas.
Costes asociados a los planes de prevención y recuperación.
Preparación y capacitación del personal TI respecto a los
planes y procedimientos de prevención y recuperación.
5.2.6. Gestión de la Seguridad de la Información
Este proceso se encarga de velar que la información sea correcta
y completa, que siempre esté a disposición del negocio y que se
encuentre actualizada solo para aquellas personas que tienen
autorización de hacerlo.
Figura 35. Gestión de la Seguridad de la Información
84
Actividades
Política de Seguridad: se debe asegurar que sus objetivos
se alineen con la del negocio, se coordinen correctamente
todos los procesos TI, se establezcan asignen recursos y
responsabilidades.
Planificación: se debe elaborar un plan de seguridad que
recoja las necesidades de los clientes y protocolos de acceso
a la información, colaborar con la gestión de niveles de
servicio en la elaboración de los SLAs y contratos de apoyo.
Implementación: es responsable de aplicar las medidas de
seguridad establecidas en la política y plan de seguridad,
formar al personal respecto a los procedimientos de seguridad
y acceso a la información, colaborar en la resolución de
incidentes relacionados con la seguridad.
Mantenimiento: se debe hacer cumplir con los estándares
de seguridad acordados con los clientes, elevando RFCs a la
gestión de Cambios para mejorar los niveles de servicio.
Evaluación: garantizar que se cumplan los planes y
procedimientos establecidos, informar a los clientes y
organización TI de posibles vulnerabilidades o errores
procedimentales.
Métricas
Disminución del número de incidentes relacionados con la
seguridad.
Un acceso eficiente a la información por el personal
autorizado.
Gestión proactiva, que permita identificar vulnerabilidades
potenciales antes de que estas se manifiesten y provoquen
una seria degradación de la calidad del servicio.
85
5.2.7. Gestión de Proveedores
Se encarga de negociar la relación con los suministradores de
servicios de los cuales depende la organización TI. Se encarga de
negociar buscando la mayor calidad a un precio adecuado.
Figura 36. Gestión de Proveedores
Actividades
Requisitos: se deben considerar informes económicos de la
gestión financiera, estrategias y acuerdos de nivel de servicio,
condiciones de servicio a prestar.
Evaluación y selección: un buen proveedor debe adecuarse
a los requisitos previamente definidos, contar con referencias
de otras empresas del sector, ser capaz de prestar el servicio
en los términos de calidad y disponibilidad requeridos.
Clasificación y Documentación: contratos de provisión del
servicio, nivel de actuación de cada proveedor.
Rendimiento: se debe evaluar si los proveedores están
cumpliendo los niveles de servicio acordados, integrar
adecuadamente los procesos de la organización.
86
Renovación y Terminación: se encarga de renovar los
contratos y hacer las modificaciones oportunas, terminar los
contratos si ya no se necesitan los servicios del proveedor.
Métricas
Indicadores de que el negocio no se ha visto afectado por el nivel
de calidad en los servicios que prestan los proveedores:
Incremento en el número de proveedores que alcanzan los
objetivos establecidos en el contrato.
Reducción del número de incumplimientos de objetivos
contractuales.
Indicadores de que los servicios de apoyo están alineados con las
necesidades y objetivos de la organización:
Incremento en el número de servicios y revisiones de
contrato.
Incremento en el número de proveedores y objetivos
contractuales alineados con los objetivos contenidos en
los SLA y SLR.
Indicadores de que la disponibilidad de los servicios no se ve
comprometida por el rendimiento de los proveedores:
Reducción en el número de interrupciones de servicio
provocadas por los proveedores.
Reducción en el número de amenazas de interrupción de
servicio provocadas por proveedores.
Indicadores de que la organización es consciente de que pueden
aparecer problemas en la gestión de proveedores y conoce quién
debe ocuparse de ellos:
Incremento en el número de proveedores para los que se ha
asignado un responsable.
87
Incremento en el número de contratos en los que figura un
responsable.
5.3. Transición del Servicio
Esta fase encarga de integrar todos los productos y servicios definidos en la
fase del diseño al entorno de producción y que estos servicios sean
accesible a los clientes y usuarios autorizados.
Sus principales objetivos se resumen en:
Supervisar y dar soporte a todo el proceso de cambio del nuevo (o
modificado) servicio.
Garantizar que los nuevos servicios cumplen los requisitos y
estándares de calidad estipulados en las fases de Estrategia y la de
Diseño.
Minimizar los riesgos intrínsecos asociados al cambio reduciendo el
posible impacto sobre los servicios ya existentes.
Mejorar la satisfacción del cliente respecto a los servicios prestados.
Comunicar el cambio a todos los agentes implicados.
5.3.1. Planificación y Soporte a la Transición
Este proceso se encarga de planificar y coordinar todos los
recursos que va a ser utilizados para poner en marcha el servicio
en el tiempo, calidad y costos definidos previamente.
Figura 37. Planificación y soporte a la Transición
88
Actividades
Estrategia: de definen políticas generales y metodología,
Actores implicados, requisitos internos y externos.
Preparación: documentación del SDP, RFCs a implementar,
requisitos del cliente, elementos de configuración, criterios de
evaluación y reporte.
Planificación: se encarga de estructurar el cambio en etapas,
tareas y actividades; asignar los recursos para cada tarea,
definir los criterios de aceptación para cada etapa, establecer
plazos de entrega.
Métricas
Número de proyectos gestionados. Es decir, el número de
versiones desplegadas (rollout) que han sido objeto de
planificación y soporte.
Porcentaje de entregas (respecto al total de entregables) que
se ajustaron a lo acordado con el cliente en cuanto a coste,
calidad y alcance.
Ajuste al presupuesto del proyecto, comparando el consumo
de recursos humanos y financieros previstos con los que se
usaron realmente.
Retrasos en proyectos, comparando las fechas de entrega
reales con las que en un principio se habían definido en la
planificación.
5.3.2. Gestión de Cambios
Este proceso de encarga de evaluar y planificar el proceso de
cambio para de esta forma asegurar que en el caso que se lleve a
cabo se realice de forma eficiente siguiendo los procedimientos
establecidos y asegurando en todo momento la calidad y
continuidad del servicio TI.
89
Figura 38. Gestión de Cambios
Actividades
RFC: cualquier cambio parte de una petición
Registro: El RFC debe ser registrado para poder monitorear
todo el proceso de cambio.
Aceptado: debe ser aceptado por el gestor de cambios.
Clasificación: se debe clasificar el cambio de acuerdo a su
prioridad y categoría.
Aprobación y Planificación: se debe elaborar los
calendarios realistas del cambio, cumplimiento de los
objetivos previstos, minimización de incidencias secundarias.
Roll-Out: entorno de desarrollo, entorno de pruebas,
implementación.
Cierre: tras la implementación e debe evaluar el cambio.
Métrica
FCs solicitados.
Porcentaje de RFCs aceptados y aprobados.
Número de cambios realizados clasificados por impacto y
prioridad y filtrados temporalmente.
Tiempo medio del cambio dependiendo del impacto y la
prioridad.
90
Número de cambios de emergencia realizados.
Porcentaje de cambios exitosos en primera instancia,
segunda instancia, etc.
Numero de back-outs con una detallada explicación de los
mismos.
Evaluaciones post-implementación.
Porcentajes de cambios cerrados sin incidencias ulteriores.
Incidencias asociadas a cambios realizados.
5.3.3. Gestión de Configuración y Activos del Servicio
Las cuatro principales funciones de la Gestión de la Configuración
y Activos TI pueden resumirse en:
Llevar el control de todos los elementos de configuración de la
infraestructura TI con el adecuado nivel de detalle y gestionar
dicha información a través de la Base de Datos de
Configuración (CMDB).
Proporcionar información precisa sobre la configuración TI a
la Planificación y Soporte a la Transición en su papel de
coordinación del cambio para que ésta pueda establecer las
fases y plazos en que se articulará la Transición.
Interactuar con las Gestiones de Incidencias, Problemas,
Cambios y Entregas y Despliegues de manera que éstas
puedan resolver más eficientemente las incidencias, encontrar
rápidamente la causa de los problemas, realizar los cambios
necesarios para su resolución y mantener actualizada en todo
momento la CMDB.
Monitorizar periódicamente la configuración de los sistemas
en el entorno de producción y contrastarla con la almacenada
en la CMDB para subsanar discrepancias.
91
Figura 39.Gestión de Configuración y Activos del Servicio
Actividades
Planificación: se requiere la adecuada asignación de
recursos, definición del alcance.
Clasificación: se debe definir los códigos y nomenclatura
utilizados, los esquemas de relaciones entre componentes,
atributos utilizados.
Monitorización: para conocer el estado de los componentes
en el ciclo de vida.
Control: se debe asegurar que todos los componentes estén
registrados en la CMDB, monitorizar el estado de todos los
componentes, informar sobre el estado de las licencias.
Auditorías: teniendo como objetivo el correcto registro de los
activos, la comunicación con la gestión de cambios.
Métricas
Entre la documentación generada cabría destacar:
Alcance y nivel de detalle de la CMDB.
Desviaciones entre la información almacenada en la CMDB y
la obtenida de las auditorias de configuración.
92
Información sobre CIs que han estado involucrados en
incidentes.
Costes asociados al proceso.
Sistemas de clasificación y nomenclatura utilizados.
Informes sobre configuraciones no autorizadas y/o sin
licencias.
Calidad del proceso de registro y clasificación.
Información estadística y composición de la estructura TI.
5.3.4. Gestión de Entregas y Despliegues
Es te proceso de gestión de entregas y despliegues se encarga
de administrar, implementar y llevar un control de calidad de todo
el software y hardware instalado en el entorno de producción. Se
relaciona directamente con la gestión de cambios y la
configuración de activos de TI.
Figura 40. Gestión de Entregas y Despliegues
Actividades
Entorno de Desarrollo: planificación y política de
lanzamientos de nuevas versiones, diseño de la versión
93
Diseño de la Versión o compra de la misma a terceros,
desarrollo y configuración de versiones.
Entorno de Pruebas: creación de un entorno realista de
pruebas, planificación del lanzamiento, comunicación y
formación de los usuarios.
Entorno de Producción: instalar la nueva versión e n el
entorno de producción, supervisar la calidad del entorno de
producción.
Métricas
Es imprescindible elaborar informes que permitan evaluar el
rendimiento de la Gestión de Entregas y Despliegues.
Para que estos informes ofrezcan una información precisa y de
sencilla evaluación es necesario elaborar métricas de referencia
que cubran aspectos tales como:
Número de lanzamientos de nuevas versiones.
Número de back-outs y razones de los mismos.
Incidencias asociadas a nuevas versiones.
Cumplimientos de los plazos previstos para cada despliegue.
Asignación de recursos en cada caso.
Corrección y alcance de la CMDB y la DS.
Existencia de versiones ilegales de software.
Adecuado registro de las nuevas versiones en la CMDB.
Incidencias provocadas por uso incorrecto (formación
inadecuada) de la nueva versión por parte de los usuarios.
Disponibilidad del servicio durante y tras el proceso de
lanzamiento de la nueva versión.
5.3.5. Gestión de Validación y Pruebas
Este proceso se encarga de garantizar que todas las versiones de
hardware y software cumplan con los requisitos mínimos de
94
calidad los cuales fueron acordados con el cliente, para que de
esta forma al momento que se encuentren operativos no vayan a
provocar ningún error inesperado.
El proceso de Validación y Pruebas se relación con otros
procesos como: gestión del catálogo de servicios, gestión de
niveles de servicio, planificación y soporte a la transición, gestión
de cambios, gestión de entregas y despliegues.
Figura 41. Gestión de Validación y Pruebas
Actividades
Validación: se define el modelo de pruebas, los protocolos de
testeo y la planificación, se validan los paquetes de servicios,
las ofertas y los contratos.
Construcción: se garantiza que todos los componentes de la
versión cumplen los criterios de calidad, el escenario de
pruebas debe idéntico al de producción (software, hardware,
datos).
Pruebas: se evalúa el correcto funcionamiento de la versión,
los procedimientos automáticos o manuales de instalación,
95
Aceptación y Reporte: en un informe se debe reportar las
actividades realizadas, lista de errores detectados,
información y conocimiento adquirido.
Limpieza y Cierre: se compara la planificación inicial con el
desarrollo real de las pruebas para comprobar si se ha
cumplido los previsto en cuanto a plazos, criterios y recursos
empleados.
Métricas
Porcentaje de componentes que no superan los test de
aceptación.
Número de errores conocidos que se registran durante la
etapa de pruebas.
Tiempo de demora en la subsanación de errores.
Número de incidentes atribuibles a las nuevas versiones.
Porcentaje de test de aceptación del servicio que no obtienen
la aprobación del cliente.
5.3.6. Gestión de Evaluación
Este proceso se encarga de recoger y analizar toda la información
relacionada sobre algún cambio o nuevo servicio y proceder a
elaborar los informes necesarios para tomar decisiones.
Este proceso está relacionado directamente con los procesos de:
diseño del servicio, gestión de cambios, validación y pruebas del
servicio.
96
Figura 42. Gestión de Evaluación
Actividades
Planificación: se analizan los recursos disponibles, efectos
de cambio en las personas implicadas, grado en el que el
servicio se ajusta al propósito y uso.
Rendimiento: si los riesgos son excesivos o no se cumplen
los criterios de aceptación, si el rendimiento previsto es
satisfactorio, se procede a evaluar el rendimiento real.
Informe evaluación: debe contener perfil de riesgos, reporte
de desviaciones, recomendaciones y control de calidad.
Métricas
Número de evaluaciones solicitadas para nuevos servicios o
cambios en un periodo determinado.
Número de evaluaciones entregadas en un periodo
determinado.
Número de evaluaciones que permanecen en la cola de
tareas.
Tiempo medio de elaboración de una evaluación desde que
ésta es solicitada hasta que se entrega.
Desviación de las evaluaciones de rendimiento previsto
respecto de las evaluaciones reales.
97
5.3.7. Gestión del Conocimiento
La gestión del conocimiento se encarga de almacenar toda la
información relacionada al servicio en un repositorio denominado
Sistema de Gestión de Conocimiento del Servicio (SKMS), para
ello se establecen unos criterios de registro.
Figura 43. Gestión del Conocimiento
Actividades
Estrategia: se establecen las políticas generales,
procedimientos de registro, revisión y validación de datos,
roles de gestión, condiciones de administración.
Transferencia: apoya a personas, equipos y departamentos.
Gestión: definir requisitos para el registro de datos e
información, definir la arquitectura de la información,
evaluación y propuestas de mejora.
Métricas
Número de solicitudes de entradas nuevas recibidas en un
periodo específico.
Número de solicitudes de modificaciones/actualizaciones
enviadas en un periodo específico.
98
Número de entradas nuevas publicadas en la base de datos
del SKMS en un periodo específico.
Número de entradas modificadas en la base de conocimiento
en un periodo específico.
Número de incidentes que recurrieron a entradas existentes
en la base de conocimiento en un periodo específico.
Tiempo ahorrado gracias al uso de la base de conocimiento.
Se calcula comparando el tiempo medio de resolución de
incidentes que se cerraron empleando la base de
conocimiento con los que no la usaron.
Número de peticiones de autoayuda que declararon que la
base de conocimiento ayudó en la resolución de un asunto en
un periodo determinado.
5.4. Operación del Servicio
La fase de operación del servicio se pude decir que es la más importante y
la más crítica de todo el ciclo de vida del servicio, debido a que los
resultados de este proceso dependen de la percepción que los clientes y
usuarios tengan de la calidad de los servicios prestados.
El objetivo de todo el ciclo de vida es que todos los servicios sean
correctamente prestados aportando valor y utilidad para el cliente de
acuerdo a los niveles de calidad acordados. Es evidente que nada serviría
haber realizado una correcta estrategia, diseño y transición si la entrega
falla.
Los principales objetivos de la fase de Operación del Servicio
incluyen:
Coordinar e implementar todos los procesos, actividades y funciones
necesarias para la prestación de los servicios acordados con los
niveles de calidad aprobados.
Dar soporte a todos los usuarios del servicio.
Gestionar la infraestructura tecnológica necesaria para la prestación
del servicio.
99
5.4.1. Gestión de Eventos
Este proceso se encarga de monitorizar todos los eventos que
sucedan para poder anticipar posibles problemas, resolverlos e
incluso prevenirlos.
Para la monitorización de eventos encontramos dos tipos:
Herramientas de Monitorización Activa: consiste en evaluar
uno a uno los elementos de configuración para su estado y
actividad, en el caso se encuentre alguna falla se procede
generar un alerta.
Herramientas de monitorización pasiva: Detectan y
correlacionan alertas operacionales generadas por los propios
CIs.
Figura 44. Gestión de Eventos
Actividades
El proceso se inicia cuando aparece un evento.
El evento se procede a notificar
Lee la notificación y se interpreta los datos relacionados con
el suceso
Se pasa a clasificar el evento
Se interpreta el evento teniendo en cuenta categorización y
nivel de prioridad.
100
Se procede a verificar el tipo de disparador
Se procede a dar solución al evento
Se revisan si las acciones son las correctas
Se procede al cierre.
Métricas
Número de eventos, por categorías.
Número de eventos, por importancia.
Número y porcentaje de eventos que requirieron de
intervención humana y cómo fue esa intervención.
Número y porcentaje de eventos que desembocaron en el
registro de una nueva incidencia o solicitud de cambio.
Número y porcentaje de eventos ocasionados por problemas
ya existentes o errores conocidos.
Número y porcentaje de eventos repetidos o duplicados. Esto
es relevante para optimizar la función de Correlación.
Número y porcentaje de eventos relacionados con problemas
de rendimiento.
Número y porcentaje de eventos que indican futuros
problemas de disponibilidad.
Número y porcentaje de cada tipo de evento, por plataforma o
aplicación.
Número y ratio de eventos por comparación al número de
incidentes.
5.4.2. Gestión de Incidencias
Este proceso se encarga de resolver de manera más rápida y
eficaz posible, cualquier incidente que causa alguna interrupción
en el servicio.
101
Figura 45. Gestión de Incidencias
Actividades
La incidencia es comunicada por el usuario
Esta incidencia pasa al Service Desk
Se procede a la consulta al KDB
Si existe antes en problema y se tiene la solución se procede
y se cierre el incidente
si no existe la solución se pasa a establecer la prioridad del
incidente para que se resuelto.
Métricas
Número de incidentes clasificados temporalmente y por
prioridades.
Tiempos de resolución clasificados en función del impacto y la
urgencia de los incidentes.
Nivel de cumplimiento del SLA.
Costes asociados.
Uso de los recursos disponibles en el Centro de Servicios.
Porcentaje de incidentes, clasificados por prioridades,
resueltos en primera instancia por el Centro de Servicios.
Grado de satisfacción del cliente.
102
5.4.3. Gestión de peticiones
Este proceso se encarga de atender todas las peticiones para
proceder a brindarles información de los servicios que estos
requieren.
Es importante aclarar qué entendemos por petición de servicio, un
concepto que engloba las solicitudes que los usuarios pueden
plantear al departamento de TI:
Solicitudes de información o consejo.
Peticiones de cambios estándar (por ejemplo cuando el
usuario olvida su contraseña y solicita una nueva)
Peticiones de acceso a servicios IT.
Figura 46. Gestión de peticiones
Actividades
Los usuarios envían sus peticiones y estas se proceden a
seleccionar según la importancia.
Luego se pasa a verificar los costos asociados a esa petición
para decidir si procede o no.
La petición es cursada por la persona o personas adecuadas
para su tramitación
Se procede al cierre.
103
Métricas
Número total de peticiones de servicio.
Ruptura de peticiones de servicio en cada etapa.
Tamaño de la copia de seguridad de las peticiones más
destacadas.
Tiempo medio que dura la gestión de cada tipo de petición de
servicio.
Número y porcentaje de peticiones de servicio completadas
en los tiempos acordados.
Coste medio de cada tipo de petición de servicio.
Nivel de satisfacción del cliente con la gestión de las
peticiones de servicio
5.4.4. Gestión de Problemas
Las funciones principales de la Gestión de Problemas son:
Investigar las causas subyacentes a toda alteración, real o
potencial, del servicio TI.
Determinar posibles soluciones a las mismas.
Proponer las peticiones de cambio (RFC) necesarias para
restablecer la calidad del servicio.
Realizar Revisiones Post-Implementación (PIR) para asegurar
que los cambios han surtido los efectos buscados sin crear
problemas de carácter secundario.
104
Figura 47. Gestión de Problemas
Actividades
Control de Problemas: se encarga de registrar y clasificar
los problemas para determinar sus causas y convertirlos en
errores conocidos.
Control de Errores: registra los errores conocidos y propone
soluciones a los mismos mediante RFCs que son enviadas a
la Gestión de Cambios. Asimismo efectúa la Revisión Post
Implementación de los mismos en estrecha colaboración con
la Gestión de Cambios.
Métricas
Disminución del número de incidentes y una más rápida
resolución de los mismos.
Mayor eficacia en la resolución de problemas.
Gestión proactiva, que permita identificar problemas
potenciales antes de que éstos se manifiesten o provoquen
una seria degradación de la calidad del servicio.
105
5.4.5. Gestión de Acceso
Es el proceso encargado de evaluar los permisos solicitados por
los usuarios, para tomar las decisiones adecuadas según sea el
caso.
Figura 48. Gestión de Acceso
Actividades
Todo se inicia con la petición de acceso del usuario
Se procede a verificar la persona que solicita el acceso
Se procede a verificar su identidad
Se procede a registrar y monitorizar el acceso dado para ver
si se está cumpliendo con las normas.
Si el caso lo requiera se procede a eliminar algunos accesos.
Métricas
Número de peticiones de acceso.
Instancias de acceso garantizado, por servicio, usuario,
departamento, etc.
Instancias de acceso garantizado por derechos de acceso de
departamento o individuo.
Número de incidentes que requirieron la revocación de los
permisos de acceso.
106
Número de incidentes causados por una configuración
incorrecta de los accesos.
Funciones
Centro de Servicios: responsable de todo el proceso de
interacción con los usuarios de los servicios TI.
Gestión de Operaciones de TI: responsable de la operación
diaria del servicio.
Gestión Técnica: es una unidad funcional que incluye a
todos los equipos, grupos y departamentos involucrados en la
gestión y soporte de la infraestructura TI.
Gestión de Aplicaciones: esta unidad funcional es la
responsable de la gestión del ciclo de vida de las aplicaciones
de TI.
5.5. Mejora Continua del Servicio
5.5.1. Proceso de Mejora
El principal objetivo del proceso de mejora es implementar el ciclo
de Deming para la mejora de los servicios TI
Figura 49. Proceso de Mejora
107
Actividades
Debemos definir aquello que vamos a medir, es decir lo que
queremos mejorar.
Para poder limitar los procesos de medida se debe tener en
cuenta: procesos de mediad ya existentes, informes
generados.
Se procede a los recoger los datos para decidir.
Pasamos a definir las necesidades de procesamiento.
Se pasa a comprobar si se están cumpliendo los SLAs.
Se pasa a la creación del informe ya sea para el director,
gestor de TI, Personal técnico, etc.
Por último se pasa a elaborar un calendario para implementar
las medidas correctivas.
5.5.2. Informe de Servicios TI
El proceso de Gestión de Informes tiene como principal objetivo
proporcionar a todos los agentes implicados en la gestión de los
servicios TI una visión objetiva, basada en datos y métricas, de la
calidad y rendimiento de los servicios prestados.
Figura 50. Informe de Servicios TI
108
Actividades
Debemos definir que informes se van a generar y con qué
datos.
Luego se pasa analizar los datos, su impacto en el pasado o
posible impacto futuro.
Luego de procesar la información, se genera el documento
adaptando el lenguaje a los destinatarios de la
documentación.
Métricas
Calendarios de entrega de toda la documentación aportada:
Descripción individual de los informes generados
Destinatarios
Informes sobre las características y calidad de los datos
recogidos:
Origen
Calidad de los mismos
Periodicidad: continua, diaria, semanal, mensual...
Recogida manual o automática
Metodologías utilizadas para el procesado y análisis de los
datos.
Recursos utilizados.
Feedback recibido: dirección, gestores y propietarios de
servicios y procesos, personal técnico
Propuestas de mejora.
109
REFERENCIAS BIBLIOGRAFICAS
[1] Camou, A. Los desafíos de la Gobernabilidad. Estudio Preliminar y
Compilación. México, 2001.
[2] ITGI, Institute IT Governance. «Cobit 4.1.» Estados Unidos de América,
2007.
[3] Johnson, M. Simonsson y P. Assessment of IT Governance - A
Prioritization of Cobit. KTH, Royal Institute of Technology. 2006.
[4] Ferrer O; Fernando (s.f). COBIT: Herramienta de IT Governance., CISA.
Colombia.
[5] Ojeda, José. Un marco integrado para el GOBIERNO DE TI. 2008.
[6] Ruiz G, Francisco. Planificación y Gestión de Sistemas de Información.
2009.
[7] Rodríguez, Carlos. “Que es ITIL”. España, 2007.
[8] García, Javier. “¿ITIL v2, v3 o ISO/IEC 20000?”. España 2008
[9] Vilches, Ernesto. “Guía de Gestión de Servicios basada en Fundamentos
de ITIL v3”. Madrid: LUARNA, 2010.