Gerencia de Sistemas Pedro Miguel Jacinto MejĂa
ÍNDICE DE FIGURAS Figura 01. Las cinco Áreas de Enfoque del Gobierno de TI………………………..13 Figura 02. Principios de COBIT…………………………………………………...….17 Figura 03. Requerimientos de Información de Negocio…………………………….18 Figura 04. Figura 04. Estructura de COBIT…………………………………………..21 Figura 05. Dominios de COBIT……………………………………………………..…22 Figura 06. Cubo de COBIT…………………………………………………………..…42 Figura 07. Marco de Trabajo Completo COBIT……………………………………...43 Figura 08. Relación del Marco de COBIT con el Gobierno de TI……………….…43 Figura 09. Componentes Esenciales de COBIT…………………………………..…44 Figura 10.Objetivo de control de alto nivel representado en formada de cascada…………………………………………………………………………………..45 Figura 11. Relación Proceso con los Criterios de Información………………….…45 Figura 12. Relación del Proceso con los Recursos de TI…………………………45 Figura 13. Relación del Proceso con las Áreas de Enfoque de Gobierno de TI…46 Figura 14. Representación de las Entradas de cada Proceso……………………..46 Figura 15. Representación de las Salidas de cada Proceso……………………….47 Figura 16. Roles de la Matriz RACI……………………………………………………47 Figura 17. Representación de la Matriz RACI………………………………………..47 Figura 18. Representación de las Metas y Métricas………………………………...48 Figura 19. Representación del Modelo de Madurez del Proceso………………….48 Figura 20. Ciclo de Vida de los Servicios de TI……………………………………...55 Figura 21. Evolución de la Administración de TI…………………………………….57 Figura 22. Estructura de ITIL v. 2.0……………………………………………………59 Figura 23. Estructura de Soporte de Servicio………………………………………..60 Figura 24. Estructura de Entrega del Servicio……………………………………….61 Figura 25. Estructura de ITIL v. 3.0……………………………………………………64 Figura 26. Estructura de Procesos…………………………………………………….67 Figura 27. Gestión Financiera………………………………………………………….70 Figura 28. Gestión de Portafolio del Servicio………………………………………...72 Figura 29. Gestión de demanda……………………………………………………….73 Figura 30. Gestión del Catálogo del Servicio………………………………………...75 Figura 31. Gestión de Nivel de Servicio………………………………………………77 2
Figura 32. Gestión de la Capacidad…………………………………………………..78 Figura 33. Gestión de la Disponibilidad……………………………………………....80 Figura 34. Gestión de Continuidad del Servicio de TI………………………………82 Figura 35. Gestión de la Seguridad de la Información………………………………83 Figura 36. Gestión de Proveedores…………………………………………………...85 Figura 37. Planificación y soporte a la Transición…………………………………...87 Figura 38. Gestión de Cambios………………………………………………………..89 Figura 39.Gestión de Configuración y Activos del Servicio………………………...91 Figura 40. Gestión de Entregas y Despliegues………………………………………92 Figura 41. Gestión de Validación y Pruebas…………………………………………94 Figura 42. Gestión de Evaluación……………………………………………………..96 Figura 43. Gestión del Conocimiento…………………………………………………97 Figura 44. Gestión de Eventos……………………………………………………...…99 Figura 45. Gestión de Incidencias…………………………………………………..101 Figura 46. Gestión de peticiones…………………………………………………….102 Figura 47. Gestión de Problemas………………………………………………...….104 Figura 48. Gestión de Acceso……………………………………………………….105 Figura 49. Proceso de Mejora………………………………………………………..106 Figura 50. Informe de Servicios TI…………………………………………………..107
3
ÍNDICE DE TABLAS
Tabla 01.Procesos y Objetivos de Control del Dominio Planificar y Organizar.....24 Tabla 02.Procesos y Objetivos de Control del Dominio Adquirir e Implementar...29 Tabla 03.Procesos y Objetivos de Control del Dominio Entrega y Soporte………33 Tabla 04.Procesos y Objetivos de Control del Dominio Monitorear y Evaluar…...39
4
PRESENTACIÓN El Departamento de Tecnologías de Información y Sistemas de Información de las organizaciones en el mundo ha evolucionado desde un enfoque orientado puramente a la administración con una preocupación centrada en mantener operativa la infraestructura tecnológica, y los demás recursos informáticos hasta orientarse específicamente en la mejora de los Servicios que ofrece el área de Tecnologías de Información y Sistemas de Información a las diferentes áreas, departamentos o unidades de las empresas que son vistos ahora como clientes y no solo cómo usuarios de las tecnologías.
Desde inicios del presente siglo se propuesto un enfoque nuevo denominado Gobierno de Tecnologías de Información y Sistemas de Información que procura garantizar que se cumplan roles que son considerados los pilares centrales en este nuevo enfoque, el Alineamiento de las TI/SI con las estrategias del negocio, la Administración del Valor que generan las Tecnologías de Información, la Administración de los Riesgos asociados con las Tecnologías de Información, la Gestión de los Recursos de Tecnologías de Información y el Monitoreo o Control de los proyectos de Tecnologías de Información.
Todos estos enfoques modernos son analizados y discutidos en la presente publicación, y espero resulte ser un aporte a todos aquellos que han asumido algún tipo de responsabilidad al frente de la Dirección del Área de Tecnologías de Información.
5
ÍNDICE INDICE DE FIGURAS…………………………………………………………………02 INDICE DE TABLAS....…………………………………………………………………04 PRESENTACIÓN………………………………………………………………………..05 INTRODUCCIÓN………………………………………………………………………..07 CAPÍTULO I: GOBIERNO DE TECNOLOGIAS DE INFORMACIÓN 1.1.
Gobernanza………………………………………..…………………………….10
1.2.
Gobierno………………………………………………………………………….10
1.3.
Gobierno Corporativo…………………………………………………………...11
1.4.
Gobierno de TI…………………………………………………………………...11
1.5.
COBIT y Gobierno de TI………………………………………………………..13
CAPÍTULO II: Control Objectives for Information and Related Technology Objetivos de Control para la Información y Tecnologías relacionadas COBIT 2.1.
Generalidades de COBIT……………….………………………………………15
2.2.
Misión de COBIT…………………………..…………………………………….15
2.3.
Regla de Oro de COBIT………………………………………………………...15
2.4.
Aceptabilidad General de COBIT……………………………………………...16
2.5.
Beneficios de Implementar COBIT…………………………………………….16
2.6.
Principios de COBIT……………………………………………………………17
CAPÍTULO III: MARCO METODOLÓGICO DE COBIT 3.1.
El cubo de COBIT……………………………………………………………….42
3.2.
Marco de Trabajo Completo……………………………………………………43
3.3.
COBIT y las áreas de enfoque de Gobierno de TI…………………………..43
3.4.
Componentes esenciales de COBIT…………………………………………..44
CAPÍTULO IV: Gestión de los Servicios de TI y Marcos de Trabajo Asociados 4.1.
Definición de Gestión de los Servicios de TI – ITSM……………………….50
4.2.
Procesos de ITSM……………………………………………………………....52
4.3.
Buenas Prácticas………………………………………………………………..53 6
4.4.
Frameworks o Marcos de Trabajo……………………………………………..54
4.5.
Servicio…………………………………………………………………………...54
4.6.
Gestión de Servicios de TI……………………………………………………..55
4.7.
El Ciclo de Vida de los Servicios de TI………………………………………..55
4.8.
Biblioteca de Infraestructura de Tecnologías de Información………………61
CAPÍTULO V: Marco Metodológico ITIL – Biblioteca de Infraestructura de Tecnologías de Información 5.1.
Estrategia del Servicio…………………………………………………………..70
5.2.
Diseño del Servicio……………………………………………………………...75
5.3.
Transición del Servicio………………………………………………………….88
5.4.
Operación del Servicio………………………………………………………….99
5.5.
Mejora Continua del Servicio…………………………………………………107
REFERENCIAS…………,…………………………………………………………….109
7
INTRODUCCIÓN El Estado del Arte del tema ha sido obtenido en base a la revisión de 53 artículos científicos con respecto a la Administración de las Tecnologías de Información y 69 artículos relacionados con el Outsourcing y Offshoring de Tecnologías de Información y Sistemas de Información. Las bases de datos de origen son fundamentalmente de fuentes encontradas en la Association for Computing Machinery - ACM y la Computer Society de IEEE Los artículos analizados permiten arribar a las siguientes conclusiones:
La Administración de TI/SI ha evolucionado desde la Gestión de los Recursos Informáticos orientados a buscar la eficiencia de los procesos a los que soportan hasta llegar a tener una importancia estratégica dado el requerimiento de los mismo como soporte a los objetivos estratégicos, esto se conoce como “Alineamiento de las TI/SI a las Estrategias de Negocios”
Otros aspectos destacados en los artículos científicos corresponden a la evaluación de los roles cumplidos tradicionalmente por el departamento de Tecnologías de Información y la propuesta de los nuevos roles que debe cumplir la Gerencia de SI/TI así como la redefinición de las funciones y responsabilidades de los profesionales a cargo, estos son el Chief Information Officer (CIO) o Gerente de Informática y el Chief Technology Officer (CTO) o Gerente de Tecnologias o Infraestructura Tecnológica.
Por otro lado en la redefinición de roles se presenta la evolución de la Administración de TI/SI desde un punto de vista operativo o táctico hasta el desarrollo a un nivel estratégico con la aparición del IT Governance o en su traducción al español como Gobierno o Gobernabilidad de Tecnologías de Información y Sistemas de Información que persigue como objetivos centrales el Alineamiento de las TI/SI a las Estrategias del Negocio, la Generación del Valor de las TI/SI, la Administración de los Recursos de TI/SI, la Administración de los Riesgos asociados con las TI/SI y el Monitoreo y Control de los Proyectos de TI/SI.
8
Previo a Gobierno de TI/SI se presenta en los artículos un enfoque moderno de mucha vigencia en las empresas del mundo, denominado ITSM o de sus terminología en inglés Information Technology Service Management que traducido al castellano puede decirse que se trata de la Administración de las Tecnologías de Información con un enfoque orientado a los Servicios y que corresponde al esfuerzo del Departamento de TI/SI por convertirse en un centro de servicios de Tecnologías de Información donde se procura garantizar la calidad de dichos servicios a través de la implementación de este enfoque.
En relación al IT Governance se presentan diferentes Frameworks o marcos de trabajo que presentan qué es lo que se debe hacer para la viabilidad u operativización del Gobierno de TI.
Entre las marcos de trabajo más
popularizados y que en opinión de ISACA es el que mejor implementa Gobierno de TI/SI esta COBIT en cualquiera de sus versiones.
ITIL, VAL IT, RISK IT y BSC de TI/SI, entre otros frameworks de reciente aparición pretenden explicar cómo debe implementarse algunos de los pilares fundamentales de Gobierno de TI/SI.
Los modelos anteriormente presentados se sustentan sobre la base de Gobernabilidad de TI e ITSM y se diferencian con respecto a la orientación que cada uno de ellos tiene sobre el modelo de capas al que referencian. Así mismo presentan como metodologías reiteradas a COBIT e ITIL.
9
CAPÍTULO I GOBIERNO DE TECNOLOGIAS DE INFORMACIÓN
1. GOBIERNO DE TECNOLOGIAS DE INFORMACIÓN
1.1. Gobernanza La RAE define gobernanza como el arte o manera de gobernar que se propone como objetivo el logro de un desarrollo económico, social e institucional duradero, promoviendo un sano equilibrio entre el Estado, la sociedad civil y el mercado de la economía.
El concepto de gobernanza no es algo nuevo según la Comisión Económica y Social para Asia y el Pacífico (UNESCAP). Es tan antiguo como la civilización humana. Gobernanza como concepto aislado significa: el proceso de toma de decisiones y el proceso por el que las decisiones son implementadas, o no. El término gobernanza puede ser utilizado en diferentes contextos, como por ejemplo gobernanza corporativa, gobernanza internacional, gobernanza nacional y gobernanza local. Dado que la gobernanza es el proceso de toma de decisiones y el proceso por el que estas son implementadas, o no, el análisis de la gobernanza se centra en los actores, formales e informales, que están involucrados en el proceso de toma de decisiones y en su implementación, así como en las estructuras, formales e informales, que se han preparado para poder implementar las decisiones.
1.2. Gobierno La PNUDA describe gobernabilidad como “Un ejercicio de autoridad económica, política y administrativa para manejar los asuntos de un país en todos los niveles. Comprende los mecanismos, procesos e instituciones a través de los cuales los ciudadanos, las ciudadanas y las agrupaciones expresan sus intereses, ejercen sus derechos legales,
cumplen sus
obligaciones y reconcilian sus desacuerdos.
10
La Gobernación y gobernanza se entienden como la acción y efecto de gobernar o gobernarse, permitiendo entender la leve diferencia entre esos términos y la gobernabilidad, siendo este ultimo la respuesta a las interrogantes: de calidad ¿buena o mala?,
de estado ¿en equilibrio o en
desequilibrio?, ¿estable o inestable?, ¿es eficaz, eficiente, efectiva? Es decir este tipo de interrogantes, referidos a la calidad, estado, o propiedad de la acción y el efecto de gobernar, son a las que haría referencia específica la noción de gobernabilidad. [1]
1.3. Gobierno Corporativo De acuerdo a la OCDE , implica un conjunto de relaciones entre la dirección de las empresas, su consejo, sus accionistas y los terceros interesados. El Gobierno Corporativo también provee la estructura a través de la cual los objetivos de la sociedad son determinados, así como es monitoreado su desempeño y cumplimiento.
1.4. Gobierno de Tecnologías de Información (Gobierno de TI o IT Governance) ITGI [2] define a "IT Governance” en COBIT 4.1 en donde se manifiesta que el gobierno de TI es responsabilidad de los ejecutivos, del consejo de directores y consta de liderazgo, estructuras y procesos organizacionales que garantizan que TI en la empresa sostiene y extiende las estrategias y objetivos organizacionales.
En conclusión se puede decir que el Gobierno de Tecnologías de Información establece una dirección que asegure el cumplimiento de la visión estratégica, y el control para asegurar que se obtiene el máximo rendimiento de la inversión en TI permitiendo cuantificar el valor que devuelven las TI a la organización. Entregando responsabilidades a personas dentro de una estructura establecida en la misma que permita decidir para incentivar el comportamiento deseable de las TI y una adecuada gestión del riesgo.
11
La norma ISO/IEC 38500:2008 IT Governance Standard, se publicó en junio de 2008, basándose en la norma australiana AS8015:2005. Es la primera de una serie sobre el Gobierno de TI. Su objetivo es proporcionar un marco de principios para que la dirección de las organizaciones los utilicen al evaluar, dirigir y monitorizar el uso de las tecnologías de la información (TI).
Pilares del Gobierno de TI
Alineación Estratégica: Se enfoca en garantizar la alineación entre los planes de negocio y de TI; en definir, mantener y validar la propuesta de valor de TI; y en alinear las operaciones de TI con las operaciones de la empresa.
Entrega de Valor: se refiere a ejecutar la propuesta de valor a todo lo largo del ciclo de entrega, asegurando que TI genere los beneficios prometidos en la estrategia concentrándose en optimizar los costos y en brindar el valor intrínseco de la TI.
Administración de Recursos: Se trata de la inversión óptima, así como la administración adecuada de los recursos críticos de TI: aplicaciones, información, infraestructura y personas. Los temas claves se refieren a la optimización de conocimiento y de infraestructura.
Administración de Riesgos: Requiere conciencia de los riesgos por parte de los altos ejecutivos de la empresa, un claro entendimiento del apetito de riesgo que tiene la empresa, comprender los requerimientos de cumplimiento, transparencia de los riesgos significativos para la empresa, y la inclusión de las responsabilidades de administración de riesgos dentro de la organización.
Medición de Desempeño:
Rastrea y monitorea la estrategia de
implementación, la terminación del proyecto, el uso de los recursos, el desempeño de los procesos y la entrega del servicio, con el uso, por
12
ejemplo, de BSC que traducen la estrategia en acción para lograr las metas medibles más allá del registro convencional.
Figura 01. Las cinco Áreas de Enfoque del Gobierno de TI
1.5. COBIT y Gobierno de TI Para COBIT, Gobierno de TI es:
Dirigir y controlar: Establecer directivas, políticas, planes, y luego controlar que eso sea ejecutado de la forma en q fue planificado.
Asignar responsabilidad: Se definen dos conceptos Accountable y Responsable. Accountable es el CEO (Chief Executive Officer o Director Ejecutivo), el responsable superior, mayor, el responsable de absolutamente todo, debido a que él no puede realizar todas las actividades, entonces delega autoridad para ejecutar las actividades o las responsabilidades que se le ha dado. La autoridad se delega, la responsabilidad siempre se mantiene arriba.
Ejecución de las Actividades: esa ejecución dentro de una organización debe conllevar al cumplimiento de los objetivos de esa 13
organización, todas las actividades que se realizan tienen como consecuencia el cumplimiento de los Objetivos organizacionales.
Las TI satisfacen estos requerimientos Implantando un sistema de control interno o un marco de trabajo. Tener control interno, son un conjunto de procesos que se realizan en una organización no solo en TI, sino en toda la organización para:
Asegurar la exactitud y confiabilidad de los datos: La actividad que ha tenido una organización se resumen en los balances. Las TI proveen la información de los balances. Las personas ejecutan actividades y esas actividades son ingresadas en los Sistemas de Información, y las TI gestionas esos Sistemas de Información. El Gobierno se tiene que asegurar que la información sea exacta y confiable.
Proteger los recursos: contra el despilfarro, el fraude o el uso ineficiente de los recursos.
Asegurar que se cumplan políticas y requerimientos legales.
El instrumento para proveer gobierno dentro de una organización es COBIT. Porque permite asegurar que los niveles de control interno sean los que tienen que ser y la información que surja como consecuencia de los procesos informatizados sea correcta, exacta, confiable.
14
CAPÍTULO 2: COBIT 2. COBIT 2.1. Generalidades de COBIT Es Control Objectives for Information and Related Technology (Objetivos de Control para la Información y Tecnologías relacionadas) [2] Se define como el instrumento para proveer Gobierno dentro de una organización de TI. COBIT es un marco de referencia para Gobierno de TI, conecta riesgos de negocio, necesidades de control y asuntos técnicos. Provee buenas prácticas a través de un dominio y un marco de procesos, y presenta actividades en una estructura manejable y lógica. Las buenas prácticas de COBIT representan el consenso de los expertos. Están enfocadas fuertemente en el control y menos en la ejecución. Estas prácticas ayudarán a optimizar las inversiones habilitadas por TI, asegurarán la entrega del servicio y brindarán una medida contra la cual juzgar cuando las cosas no vayan bien.
2.2. Misión de COBIT La Misión de COBIT es: “Investigar, desarrollar, hacer público y promover un marco de control de gobierno de TI autorizado, actualizado, aceptado internacionalmente para la adopción por parte de las empresas y el uso diario por parte de gerentes de negocio, profesionales de TI y profesionales de aseguramiento”[2].
2.3. Regla de Oro de COBIT La regla de Oro de COBIT es: “Para proveer la información que requiere la organización para lograr sus
objetivos, los recursos de TI deben ser
administrados por un conjunto de procesos, agrupados de forma adecuada y ejecutados acorde a prácticas normalmente aceptadas”[2].
15
2.4. Aceptabilidad General de COBIT Según el Marco de Trabajo de Cobit 4.1:
COBIT se basa en el análisis y armonización de estándares y mejores prácticas de TI existentes y se adapta a principios de gobierno generalmente aceptados.
Está posicionado a un nivel alto, impulsado por los requerimientos del negocio, cubre el rango completo de actividades de TI, y se concentra en lo que se debe lograr en lugar de cómo lograr un gobierno, administración y control efectivos.
Integra prácticas de gobierno de TI y es de interés para la dirección ejecutiva; para la gerencia del negocio, para la gerencia y gobierno de TI; para los profesionales de aseguramiento y seguridad; así como para los profesionales de auditoría y control de TI.
Está diseñado para ser complementario y para ser usado junto con otros estándares y mejores prácticas.
La implantación de las mejores prácticas debe ser consistente con el gobierno y el marco de control de la empresa, debe ser apropiada para la organización, y debe estar integrada con otros métodos y prácticas que se utilicen.
Para
lograr
la
alineación
de
las
mejores
prácticas
con
los
requerimientos del negocio, se recomienda que COBIT se utilice al más alto nivel, brindando así un marco de control general basado en un modelo de procesos de TI que debe ser aplicable en general a toda empresa.
2.5. Beneficios de Implementar COBIT Cobit presenta los siguientes beneficios[2]: Mejor alineación, con base en su enfoque de negocios. Una visión, entendible para la gerencia, de lo que hace TI. Propiedad y responsabilidades claras, con base en su orientación a procesos. 16
Aceptación general de terceros y reguladores. Entendimiento compartido entre todos los Interesados, con base en un lenguaje común. Cumplimiento de los requerimientos COSO para el ambiente de control de TI.
2.6. Principios de COBIT COBIT[2], tiene 3 principios básicos y son:
Figura 02. Principios de COBIT [2]
17
2.6.1. Requerimientos de Información de Negocio
Figura 03. Requerimientos de Información de Negocio [2]
-
Efectividad Se refiere a la información que es relevante para el negocio y que debe ser entregada de manera correcta, oportuna, consistente y usable.
-
Eficiencia Se refiere a la provisión de información a través del óptimo (más productivo y económico) uso de los recursos.
-
Confidencialidad Relativa a la protección de la información sensitiva de su revelación no autorizada.
-
Integridad Se refiere a la exactitud y completitud de la información, así como su validez, en concordancia con los valores y expectativas del negocio.
-
Disponibilidad Se refiere a que la información debe estar disponible cuando es requerida por los procesos del negocio ahora y en el futuro.
18
Involucra la salvaguarda de los recursos y sus capacidades asociadas. -
Cumplimiento Se refiere a cumplir con aquellas leyes, regulaciones y acuerdos contractuales, a los que están sujetos los procesos del negocio.
-
Confiabilidad Se refiere a la provisión de la información apropiada a la alta gerencia,
para
operar
la
entidad
y
para
ejercer
sus
responsabilidades financieras y de cumplir con los reportes de su gestión.
2.6.2. Recursos de TI La organización de TI se desempeña con respecto a estas metas como un conjunto de procesos definidos con claridad que utiliza las habilidades de las personas, y la infraestructura de tecnología para ejecutar aplicaciones automatizadas de negocio, mientras que al mismo tiempo toma ventaja de la información del negocio. Estos recursos, junto con los procesos, constituyen una arquitectura empresarial para TI. Los recursos de TI identificados en COBIT se pueden definir como sigue:
2.6.2.1.
Datos e Información
Los elementos de datos en su más amplio sentido, (por ejemplo, externos e internos), estructurados y no estructurados, gráficos, sonido, etc. La información son los datos en todas sus formas, de entrada, procesados y generados por los sistemas de información, en cualquier forma en que sean utilizados por el negocio.
19
2.6.2.2.
Sistemas de Información o Aplicaciones
Se entiende como sistemas de aplicación la suma de procedimientos manuales y programados. Las aplicaciones incluyen tanto sistemas de usuario automatizados como procedimientos manuales que procesan información.
2.6.2.3.
Infraestructura
Recursos para alojar y dar soporte a los sistemas de información. La infraestructura es la tecnología y las instalaciones (hardware, sistemas operativos, sistemas de administración de base de datos, redes, multimedia, etc., así como el sitio donde se encuentran y el ambiente que los soporta) que permiten el procesamiento de las aplicaciones.
2.6.2.4.
Recursos Humanos
Las personas son el personal requerido para planear, organizar, adquirir, implementar, entregar, soportar, monitorear y evaluar los sistemas y los servicios de información. Estas pueden ser internas, por outsourcing o contratadas, de acuerdo a como se requieran. Habilidades del personal, conocimiento, conciencia y productividad para planear, organizar, adquirir, entregar, soportar y monitorear servicios y sistemas de información.
20
2.6.3. Procesos de TI COBIT define las actividades de TI en un modelo genérico de procesos organizado en cuatro dominios. Estos dominios son Planear y Organizar, Adquirir e Implementar, Entregar y Dar Soporte y Monitorear y Evaluar. Los dominios se equiparan a las áreas tradicionales de TI de planear, construir, ejecutar y monitorear. El marco de trabajo de COBIT proporciona un modelo de procesos de referencia y un lenguaje común para que todos en la empresa visualicen y administren las actividades de TI. La incorporación de un modelo operativo y un lenguaje común para todas las partes de un negocio involucradas en TI es uno de los pasos iniciales más importantes hacia un buen gobierno. También brinda un marco de trabajo para la medición y monitoreo del desempeño de TI, comunicándose con los proveedores de servicios e integrando las mejores prácticas de administración. Un modelo de procesos fomenta la propiedad de los procesos, permitiendo que se definan las responsabilidades. Se pueden definir tres niveles.
Figura 04. Estructura de COBIT
-
Dominios:
Agrupación
natural
de
procesos,
normalmente
corresponden a una responsabilidad organizacional.
21
-
Procesos: Conjuntos de actividades unidas con delimitaci贸n o cortes de control.
-
Actividades o tareas: Acciones requeridas para lograr un resultado medible. Las Actividades tienen un ciclo de vida mientras que las tareas son discretas.
2.6.3.1.
Dominios
Figura 05. Dominios de COBIT
22
2.6.3.1.1.
Planear y Organizar
Se vincula con la identificación de la forma en que la tecnología de información puede contribuir de la manera más adecuada con el logro de los objetivos del negocio.
Objetivos -
Formular estrategias y tácticas.
-
Identificar como IT contribuye al negocio.
-
Planear, Comunicar, y gestionar la realización de la visión estratégica.
Alcance -
¿Está IT alineado estratégicamente?
-
¿Se hace uso óptimo de los recursos?
-
¿Entienden todos los objetivos de IT?
-
¿Se comprenden los riesgos de IT?
-
¿Es la calidad de IT apropiada a las necesidades de los negocios?
23
PROCESOS DE PLANEAR Y ORGANIZAR
PO1
PO2
PO3
DEFINIR UN PLAN ESTRATÉGICO DE TI
DEFINIR LA ARQUITECTURA DE LA INFORMACIÓN
DETERMINAR LA DIRECCIÓN TECNOLÓGICA
CONCEPTO La planeación estratégica de TI es necesaria para gestionar y dirigir todos los recursos de TI en línea con la estrategia y prioridades del negocio. La función de TI y los interesados del negocio son responsables de asegurar que el valor óptimo se consigue desde los proyectos y el portafolio de servicios. El plan estratégico mejora la comprensión de los interesados clave de las oportunidades y limitaciones de TI, evalúa el desempeño actual, identifica la capacidad y los requerimientos de recursos humanos, y clarifica el nivel de investigación requerido. La función de sistemas de información debe crear y actualizar de forma regular un modelo de información del negocio y definir los sistemas apropiados para optimizar el uso de esta información. Esto incluye el desarrollo de un diccionario corporativo de datos que contiene las reglas de sintaxis de los datos de la organización, el esquema de clasificación de datos y los niveles de seguridad. La función de servicios de información debe determinar la dirección tecnológica para dar soporte al negocio. Esto requiere de la creación de un plan de infraestructura tecnológica y de un comité de arquitectura que establezca y administre expectativas realistas y claras de lo que la tecnología puede ofrecer en términos de productos, servicios y mecanismos de aplicación.
OBJETIVOS DE CONTROL
PO1.1 Administración del Valor de TI PO1.2 Alineación de TI con el Negocio PO1.3 Evaluación del Desempeño y la Capacidad Actual PO1.4 Plan Estratégico de TI PO1.5 Planes Tácticos de TI PO1.6 Administración del Portafolio de TI
PO2.1 Modelo de Arquitectura de Información Empresarial PO2.2 Diccionario de Datos Empresarial y Reglas de Sintaxis de Datos PO2.3 Esquema de Clasificación de Datos PO2.4 Administración de Integridad
PO3.1 Planeación de la Dirección Tecnológica PO3.2 Plan de Infraestructura Tecnológica PO3.3 Monitoreo de Tendencias y Regulaciones Futuras PO3.4 Estándares Tecnológicos El plan se debe actualizar de forma regular y abarca PO3.5 Consejo de Arquitectura de TI aspectos tales como arquitectura de sistemas, dirección tecnológica, planes de adquisición, estándares, estrategias de migración y contingencias.
Una organización de TI se debe definir tomando en cuenta los requerimientos de personal, funciones, rendición de cuentas, autoridad, roles, responsabilidades y supervisión.
PO4
DEFINIR LOS PROCESOS, ORGANIZACIÓN Y RELACIONES DE TI
La organización está embebida en un marco de trabajo de procesos de TI que asegure la transparencia y el control, así como el involucramiento de los altos ejecutivos y de la gerencia del negocio. Un comité estratégico debe garantizar la vigilancia del consejo directivo sobre TI, y uno ó más comités de dirección, en los cuales participen tanto el negocio como TI, deben determinar las prioridades de los recursos de TI alineados con las necesidades del negocio.
PO5
ADMINISTRAR LA INVERSIÓN EN TI
PO4.1 Marco de Trabajo de Procesos de TI PO4.2 Comité Estratégico de TI PO4.3 Comité Directivo de TI PO4.4 Ubicación Organizacional de la Función de TI PO4.5 Estructura Organizacional PO4.6 Establecimiento de Roles y Responsabilidades PO4.7 Responsabilidad de Aseguramiento de Calidad de TI PO4.8 Responsabilidad sobre el Riesgo, la Seguridad y el Cumplimiento PO4.9 Propiedad de Datos y de Sistemas PO4.10 Supervisión PO4.11 Segregación de Funciones PO4.12 Personal de TI PO4.13 Personal Clave de TI PO4.14 Políticas y Procedimientos para Personal Contratado PO4.15 Relaciones
Establecer y mantener un marco de trabajo para administrar los programas de inversión en TI que abarquen costos, beneficios, prioridades dentro del PO5.1 Marco de Trabajo para la Administración presupuesto, un proceso presupuestal formal y Financiera administración contra ese presupuesto. PO5.2 Prioridades Dentro del Presupuesto de TI PO5.3 Proceso Presupuestal Los interesados (stakeholders) son consultados para PO5.4 Administración de Costos de TI identificar y controlar los costos y beneficios totales PO5.5 Administración de Beneficios dentro del contexto de los planes estratégicos y tácticos de TI, y tomar medidas correctivas según sean necesarias.
25
PO6
PO7
PO8
COMUNICAR LAS ASPIRACIONES Y LA DIRECCIÓN DE LA GERENCIA
ADMINISTRAR RECURSOS HUMANOS DE TI
ADMINISTRAR LA CALIDAD
La dirección debe elaborar un marco de trabajo de control empresarial para TI, y definir y comunicar las políticas. Un programa de comunicación continua se debe implementar para articular la misión, los objetivos de servicio, las políticas y procedimientos, etc., aprobados y apoyados por la dirección. La comunicación apoya el logro de los objetivos de TI y asegura la concienciación y el entendimiento de los riesgos de negocio y de TI. El proceso debe garantizar el cumplimiento de las leyes y reglamentos relevantes. Adquirir, mantener y motivar una fuerza de trabajo para la creación y entrega de servicios de TI para el negocio. Esto se logra siguiendo prácticas definidas y aprobadas que apoyan el reclutamiento, entrenamiento, la evaluación del desempeño, la promoción y la terminación. Este proceso es crítico, ya que las personas son activos importantes, y el ambiente de gobierno y de control interno depende fuertemente de la motivación y competencia del personal Se debe elaborar y mantener un sistema de administración de calidad, el cual incluya procesos y estándares probados de desarrollo y de adquisición. Esto se facilita por medio de la planeación, implantación y mantenimiento del sistema de administración de calidad, proporcionando requerimientos, procedimientos y políticas claras de calidad. Los requerimientos de calidad se deben manifestar y documentar con indicadores cuantificables y alcanzables. La mejora continua se logra por medio del constante monitoreo, corrección de desviaciones y la comunicación de los resultados a los interesados.
PO6.1 Ambiente de Políticas y de Control PO6.2 Riesgo Corporativo y Marco de Referencia de Control Interno de TI PO6.3 Administración de Políticas para TI PO6.4 Implantación de Políticas de TI PO6.5 Comunicación de los Objetivos y la Dirección de TI
PO7.1 Reclutamiento y Retención del Personal PO7.2 Competencias del Personal PO7.3 Asignación de Roles PO7.4 Entrenamiento del Personal de TI PO7.5 Dependencia Sobre los Individuos PO7.6 Procedimientos de Investigación del Personal PO7.7 Evaluación del Desempeño del Empleado PO7.8 Cambios y Terminación de Trabajo
PO8.1 Sistema de Administración de Calidad PO8.2 Estándares y Prácticas de Calidad PO8.3 Estándares de Desarrollo y de Adquisición PO8.4 Enfoque en el Cliente de TI PO8.5 Mejora Continua PO8.6 Medición, Monitoreo y Revisión de la Calidad
26
PO9
EVALUAR Y ADMINISTRAR LOS RIESGOS DE TI
PO10
ADMINISTRAR PROYECTOS
Crear y dar mantenimiento a un marco de trabajo de administración de riesgos. El marco de trabajo PO9.1 Marco de Trabajo de Administración de documenta un nivel común y acordado de riesgos de Riesgos TI, estrategias de mitigación y riesgos residuales. PO9.2 Establecimiento del Contexto del Riesgo PO9.3 Identificación de Eventos Cualquier impacto potencial sobre las metas de la PO9.4 Evaluación de Riesgos de TI organización, causado por algún evento no planeado PO9.5 Respuesta a los Riesgos se debe identificar, analizar y evaluar. Se deben PO9.6 Mantenimiento y Monitoreo de un Plan adoptar estrategias de mitigación de riesgos para de Acción de Riesgos minimizar los riesgos residuales a un nivel aceptable PO10.1 Marco de Trabajo para la Administración de Programas PO10.2 Marco de Trabajo para la Establecer un marco de trabajo de administración de Administración de Proyectos programas y proyectos para la administración de PO10.3 Enfoque de Administración de todos los proyectos de TI establecidos. El marco de Proyectos trabajo debe garantizar la correcta asignación de PO10.4 Compromiso de los Interesados prioridades y la coordinación de todos los proyectos. PO10.5 Declaración de Alcance del Proyecto PO10.6 Inicio de las Fases del Proyecto El marco de trabajo debe incluir un plan maestro, PO10.7 Plan Integrado del Proyecto asignación de recursos, definición de entregables, PO10.8 Recursos del Proyecto aprobación de los usuarios, un enfoque de entrega PO10.9 Administración de Riesgos del Proyecto por fases, aseguramiento de la calidad, un plan formal PO10.10 Plan de Calidad del Proyecto de pruebas, revisión de pruebas y post-implantación PO10.11 Control de Cambios del Proyecto después de la instalación para garantizar la PO10.12 Planeación del Proyecto y Métodos de administración de los riesgos del proyecto y la entrega Aseguramiento de valor para el negocio PO10.13 Medición del Desempeño, Reporte y Monitoreo del Proyecto PO10.14 Cierre del Proyecto Tabla 01. Procesos y Objetivos de Control del Dominio Planificar y Organizar
27
2.6.3.1.2.
Adquirir e Implementar
Cambios y mantenimiento de los sistemas existentes para garantizar la natural continuidad del ciclo de vida para estos sistemas.
Objetivos
Identificar, desarrollar, adquirir, implementar, e integrar soluciones de IT.
Cambios y mantenimiento de sistemas existentes.
Alcance -
¿Son
los
nuevos
productos
capaces
de
entregar
apropiadamente
cuando
soluciones adecuadas al negocio? -
¿Se realizarán los proyectos a tiempo?
-
¿Trabajarán
los
sistemas
implementados? -
¿Los cambios afectarán las operaciones diarias?
PROCESOS DE ADQUIRIR E IMPLEMENTAR
AI1
AI2
IDENTIFICAR SOLUCIONES AUTOMATIZADAS
ADQUIRIR Y MANTENER SOFTWARE APLICATIVO
CONCEPTO
La necesidad de una nueva aplicación o función requiere de análisis antes de la compra o desarrollo para garantizar que los requisitos del negocio se satisfacen con un enfoque efectivo y eficiente. Este proceso cubre la definición de las necesidades, considera las fuentes alternativas, realiza una revisión de la factibilidad tecnológica y económica, ejecuta un análisis de riesgo y de costo-beneficio y concluye con una decisión final de “desarrollar” o “comprar”.
Las aplicaciones deben estar disponibles de acuerdo con los requerimientos del negocio. Este proceso cubre el diseño de las aplicaciones, la inclusión apropiada de controles aplicativos y requerimientos de seguridad, y el desarrollo y la configuración en sí de acuerdo a los estándares. Esto permite a las organizaciones apoyar la operatividad del negocio de forma apropiada con las aplicaciones automatizadas correctas
OBJETIVOS DE CONTROL
AI1.1 Definición y Mantenimiento de los Requerimientos Técnicos y Funcionales del Negocio AI1.2 Reporte de Análisis de Riesgos AI1.3 Estudio de Factibilidad y Formulación de Cursos de Acción Alternativos AI1.4 Requerimientos, Decisión de Factibilidad y Aprobación
AI2.1 Diseño de Alto Nivel AI2.2 Diseño Detallado AI2.3 Control y Posibilidad de Auditar las Aplicaciones AI2.4 Seguridad y Disponibilidad de las Aplicaciones AI2.5 Configuración e Implantación de Software Aplicativo Adquirido AI2.6 Actualizaciones Importantes en Sistemas Existentes AI2.7 Desarrollo de Software Aplicativo AI2.8 Aseguramiento de la Calidad del Software AI2.9 Administración de los Requerimientos de Aplicaciones AI2.10 Mantenimiento de Software Aplicativo
ADQUIRIR Y MANTENER AI3 INFRAESTRUCTURA TECNOLÓGICA
AI4
FACILITAR LA OPERACIÓN Y EL USO
Las organizaciones deben contar con procesos para adquirir, Implementar y actualizar la infraestructura tecnológica. Esto requiere de un enfoque planeado para adquirir, mantener y proteger la infraestructura de acuerdo con las estrategias tecnológicas convenidas y la disposición del ambiente de desarrollo y pruebas. Esto garantiza que exista un soporte tecnológico continuo para las aplicaciones del negocio.
El conocimiento sobre los nuevos sistemas debe estar disponible. Este proceso requiere la generación de documentación y manuales para usuarios y para TI, y proporciona entrenamiento para garantizar el uso y la operación correctos de las aplicaciones y la infraestructura.
Se deben suministrar recursos TI, incluyendo personas, hardware, software y servicios. Esto requiere de la definición y ejecución de los procedimientos de adquisición, la selección de AI5 ADQUIRIR RECURSOS DE TI proveedores, el ajuste de arreglos contractuales y la adquisición en sí. El hacerlo así garantiza que la organización tenga todos los recursos de TI que se requieren de una manera oportuna y rentable.
AI3.1 Plan de Adquisición de Infraestructura Tecnológica AI3.2 Protección y Disponibilidad del Recurso de Infraestructura AI3.3 Mantenimiento de la Infraestructura AI3.4 Ambiente de Prueba de Factibilidad
AI4.1 Plan para Soluciones de Operación AI4.2 Transferencia de Conocimiento a la Gerencia del Negocio AI4.3 Transferencia de Conocimiento a Usuarios Finales AI4.4 Transferencia de Conocimiento al Personal de Operaciones y Soporte
AI5.1 Control de Adquisición AI5.2 Administración de Contratos con Proveedores AI5.3 Selección de Proveedores AI5.4 Adquisición de Recursos de TI
30
AI6 ADMINISTRAR CAMBIOS
AI7
INSTALAR Y ACREDITAR SOLUCIONES Y CAMBIOS
Todos los cambios, incluyendo el mantenimiento de emergencia y parches, relacionados con la infraestructura y las aplicaciones dentro del ambiente de producción, deben administrarse formalmente y controladamente. Los cambios (incluyendo procedimientos, procesos, sistema y parámetros del servicio) se deben registrar, evaluar y autorizar previo a la implantación y revisar contra los resultados planeados después de la implantación.
AI6.1 Estándares y Procedimientos para Cambios AI6.2 Evaluación de Impacto, Priorización y Autorización AI6.3 Cambios de Emergencia AI6.4 Seguimiento y Reporte del Estatus de Cambio AI6.5 Cierre y Documentación del Cambio
Los nuevos sistemas necesitan estar funcionales una vez que su desarrollo se completa. Esto requiere pruebas adecuadas en un ambiente dedicado con datos de prueba relevantes, definir la transición e instrucciones de migración, planear la liberación y la transición en sí al ambiente de producción, y revisar la post-implantación. Esto garantiza que los sistemas operativos estén en línea con las expectativas convenidas y con los resultados
AI7.1 Entrenamiento AI7.2 Plan de Prueba AI7.3 Plan de Implantación AI7.4 Ambiente de Prueba AI7.5 Conversión de Sistemas y Datos AI7.6 Pruebas de Cambios AI7.7 Prueba de Aceptación Final AI7.8 Promoción a Producción AI7.9 Revisión Posterior a la Implantación
Tabla 02. Procesos y Objetivos de Control del Dominio Adquirir e Implementar
31
2.6.3.1.3.
Entrega y Soporte
Prestación efectiva de los servicios requeridos, comprenden desde las operaciones tradicionales sobre aspectos de seguridad y continuidad hasta capacitación.
Objetivos -
La real entrega de los servicios requeridos.
-
La gestión de la seguridad, continuidad, datos y facilidades operacionales.
Alcance -
¿Son los servicios de IT entregados de acuerdo a las prioridades del negocio?
-
¿Se optimizan los costos de IT?
-
¿Se utiliza IT de manera productiva y segura?
-
¿Se mantiene la confidencialidad, integridad, y disponibilidad?
PROCESOS
DS1
DS2
DS3
CONCEPTO
OBJETIVOS DE CONTROL
DEFINIR Y ADMINISTRAR LOS NIVELES DE SERVICIO
Contar con una definición documentada y un acuerdo de servicios de TI y de niveles de servicio, hace posible una comunicación efectiva entre la gerencia de TI y los clientes de negocio respecto de los servicios requeridos. Este proceso también incluye el monitoreo y la notificación oportuna a los Interesados (Stakeholders) sobre el cumplimiento de los niveles de servicio. Este proceso permite la alineación entre los servicios de TI y los requerimientos de negocio relacionados
DS1.1 Marco de Trabajo de la Administración de los Niveles de Servicio DS1.2 Definición de Servicios DS1.3 Acuerdos de Niveles de Servicio DS1.4 Acuerdos de Niveles de Operación DS1.5 Monitoreo y Reporte del Cumplimento de los Niveles de Servicio DS1.6 Revisión de los Acuerdos de Niveles de Servicio y de los Contratos
ADMINISTRAR LOS SERVICIOS DE TERCEROS
La necesidad de asegurar que los servicios provistos por terceros cumplan con los requerimientos del negocio, requiere de un proceso efectivo de administración de terceros. Este proceso se logra por medio de una clara definición de roles, responsabilidades y expectativas en los acuerdos con los terceros, así como con la revisión y monitoreo de la efectividad y cumplimiento de dichos acuerdos. Una efectiva administración de los servicios de terceros minimiza los riesgos del negocio asociados con proveedores que no se desempeñan de forma adecuada
DS2.1 Identificación de Todas las Relaciones con Proveedores DS2.2 Gestión de Relaciones con Proveedores DS2.3 Administración de Riesgos del Proveedor DS2.4 Monitoreo del Desempeño del Proveedor
ADMINISTRAR EL DESEMPEÑO Y LA CAPACIDAD
La necesidad de administrar el desempeño y la capacidad de los recursos de TI requiere de un proceso para revisar periódicamente el desempeño actual y la capacidad de los recursos de TI. Este proceso incluye el pronóstico de las necesidades futuras, basadas en los requerimientos de carga de trabajo, almacenamiento y contingencias. Este proceso brinda la seguridad de que los recursos de información que soportan los requerimientos del negocio están disponibles de manera continua.
DS3.1 Planeación del Desempeño y la Capacidad DS3.2 Capacidad y Desempeño Actual DS3.3 Capacidad y Desempeño Futuros DS3.4 Disponibilidad de Recursos de TI DS3.5 Monitoreo y Reporte
DS4
DS5
GARANTIZAR LA CONTINUIDAD DEL SERVICIO
DS4.1 Marco de Trabajo de Continuidad de TI DS4.2 Planes de Continuidad de TI La necesidad de brindar continuidad en los servicios de DS4.3 Recursos Críticos de TI TI requiere desarrollar, mantener y probar planes de DS4.4 Mantenimiento del Plan de Continuidad de TI continuidad de TI, almacenar respaldos fuera de las DS4.5 Pruebas del Plan de Continuidad de TI instalaciones y entrenar de forma periódica sobre los DS4.6 Entrenamiento del Plan de Continuidad de TI planes de continuidad. Un proceso efectivo de DS4.7 Distribución del Plan de Continuidad de TI continuidad de servicios, minimiza la probabilidad y el DS4.8 Recuperación y Reanudación de los Servicios impacto de interrupciones mayores en los servicios de de TI TI, sobre funciones y procesos claves del negocio DS4.9 Almacenamiento de Respaldos Fuera de las Instalaciones DS4.10 Revisión Post Reanudación
GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS
La necesidad de mantener la integridad de la información y de proteger los activos de TI, requiere de un proceso de administración de la seguridad. Este proceso incluye el establecimiento y mantenimiento de roles y responsabilidades de seguridad, políticas, estándares y procedimientos de TI. La administración de la seguridad también incluye realizar monitoreos de seguridad y pruebas periódicas así como realizar acciones correctivas sobre las debilidades o incidentes de seguridad identificados
DS5.1 Administración de la Seguridad de TI DS5.2 Plan de Seguridad de TI DS5.3 Administración de Identidad DS5.4 Administración de Cuentas del Usuario DS5.5 Pruebas, Vigilancia y Monitoreo de la Seguridad DS5.6 Definición de Incidente de Seguridad DS5.7 Protección de la Tecnología de Seguridad DS5.8 Administración de Llaves Criptográficas DS5.9 Prevención, Detección y Corrección de Software Malicioso DS5.10 Seguridad de la Red DS5.11 Intercambio de Datos Sensitivos
34
DS6
DS7
DS8
IDENTIFICAR Y ASIGNAR COSTOS
La necesidad de un sistema justo y equitativo para asignar costos de TI al negocio, requiere de una medición precisa y un acuerdo con los usuarios del negocio sobre una asignación justa. Este proceso incluye la construcción y operación de un sistema para capturar, distribuir y reportar costos de TI a los usuarios de los servicios. Un sistema equitativo de costos permite al negocio tomar decisiones más informadas respectos al uso de los servicios de TI.
DS6.1 Definición de Servicios DS6.2 Contabilización de TI DS6.3 Modelación de Costos y Cargos DS6.4 Mantenimiento del Modelo de Costos
EDUCAR Y ENTRENAR A LOS USUARIOS
Para una educación efectiva de todos los usuarios de sistemas de TI, incluyendo aquellos dentro de TI, se requieren identificar las necesidades de entrenamiento de cada grupo de usuarios. Además de identificar las necesidades, este proceso incluye la definición y ejecución de una estrategia para llevar a cabo un entrenamiento efectivo y para medir los resultados
DS7.1 Identificación de Necesidades de Entrenamiento y Educación DS7.2 Impartición de Entrenamiento y Educación DS7.3 Evaluación del Entrenamiento Recibido
ADMINISTRAR LA MESA DE SERVICIO Y LOS INCIDENTES
Responder de manera oportuna y efectiva a las consultas y problemas de los usuarios de TI, requiere de una mesa de servicio bien diseñada y bien ejecutada, y de un proceso de administración de incidentes. Este proceso incluye la creación de una función de mesa de servicio con registro, escalamiento de incidentes, análisis de tendencia, análisis causa-raiz y resolución. Los beneficios del negocio incluyen el incremento en la productividad gracias a la resolución rápida de consultas.
DS8.1 Mesa de Servicios DS8.2 Registro de Consultas de Clientes DS8.3 Escalamiento de Incidentes DS8.4 Cierre de Incidentes DS8.5 Análisis de Tendencias
35
DS9
DS10
DS11
ADMINISTRAR LA CONFIGURACIÓN
Garantizar la integridad de las configuraciones de hardware y software requiere establecer y mantener un repositorio de configuraciones completo y preciso. Este proceso incluye la recolección de información de la configuración inicial, el establecimiento de normas, la verificación y auditoría de la información de la configuración y la actualización del repositorio de configuración conforme se necesite. Una efectiva administración de la configuración facilita una mayor disponibilidad, minimiza los problemas de producción y resuelve los problemas más rápido.
ADMINISTRAR LOS PROBLEMAS
Una efectiva administración de problemas requiere la identificación y clasificación de problemas, el análisis de las causas desde su raíz, y la resolución de problemas. El proceso de administración de problemas también incluye la identificación de recomendaciones para la mejora, el mantenimiento de registros de problemas y la revisión del estatus de las acciones correctivas. Un efectivo proceso de administración de problemas mejora los niveles de servicio, reduce costos y mejora la conveniencia y satisfacción del usuario
ADMINISTRAR LOS DATOS
Una efectiva administración de datos requiere de la identificación de requerimientos de datos. El proceso de administración de información también incluye el establecimiento de procedimientos efectivos para administrar la librería de medios, el respaldo y la recuperación de datos y la eliminación apropiada de medios. Una efectiva administración de datos ayuda a garantizar la calidad, oportunidad y disponibilidad de la información del negocio.
DS9.1 Repositorio y Línea Base de Configuración DS9.2 Identificación y Mantenimiento de Elementos de Configuración DS9.3 Revisión de Integridad de la Configuración
DS10.1 Identificación y Clasificación de Problemas DS10.2 Rastreo y Resolución de Problemas DS10.3 Cierre de Problemas DS10.4 Integración de las Administraciones de Cambios, Configuración y Problemas
DS11.1 Requerimientos del Negocio para Administración de Datos DS11.2 Acuerdos de Almacenamiento y Conservación DS11.3 Sistema de Administración de Librerías de Medios DS11.4 Eliminación DS11.5 Respaldo y Restauración DS11.6 Requerimientos de Seguridad para la Administración de Datos
36
DS12
DS13
ADMINISTRAR EL AMBIENTE FÍSICO
La protección del equipo de cómputo y del personal, requiere de instalaciones bien diseñadas y bien administradas. El proceso de administrar el ambiente físico incluye la definición de los requerimientos físicos del centro de datos (site), la selección de instalaciones apropiadas y el diseño de procesos efectivos para monitorear factores ambientales y administrar el acceso físico
DS12.1 Selección y Diseño del Centro de Datos DS12.2 Medidas de Seguridad Física DS12.3 Acceso Físico DS12.4 Protección Contra Factores Ambientales DS12.5 Administración de Instalaciones Físicas
ADMINISTRAR LAS OPERACIONES
Un procesamiento de información completo y apropiado requiere de una efectiva administración del procesamiento de datos y del mantenimiento del hardware. Este proceso incluye la definición de políticas y procedimientos de operación para una administración efectiva del procesamiento programado, protección de datos de salida sensitivos, monitoreo de infraestructura y mantenimiento preventivo de hardware
DS13.1 Procedimientos e Instrucciones de Operación DS13.2 Programación de Tareas DS13.3 Monitoreo de la Infraestructura de TI DS13.4 Documentos Sensitivos y Dispositivos de Salida DS13.5 Mantenimiento Preventivo del Hardware
Tabla 03. Procesos y Objetivos de Control del Dominio Entrega y Soporte
37
2.6.3.1.4.
Monitorear y Evaluar
Evaluar regularmente todos los procesos de TI para determinar su calidad y el cumplimiento de los requerimientos de control. Objetivos -
Gestión del desempeño
-
Monitoreo y control interno
-
Cumplimiento de regulaciones
-
Gobierno
Alcance -
¿Es el desempeño de IT medido con el fin de detectar problemas antes de que sea tarde?
-
¿Asegura la gestión que los controles internos son efectivos y eficiente?
-
¿Puede el desempeño de IT relacionarse con los objetivos del negocio?
-
¿Son los riesgos, controles, el cumplimiento y el desempeño, medidos y reportados?
PROCESOS
ME1
ME2
ME3
CONCEPTO
OBJETIVOS DE CONTROL
MONITOREAR Y EVALUAR EL DESEMPEÑO DE TI
Una efectiva administración del desempeño de TI requiere un proceso de monitoreo. El proceso incluye la definición de indicadores de desempeño relevantes, reportes sistemáticos y oportunos de desempeño y tomar medidas expeditas cuando existan desviaciones. El monitoreo se requiere para garantizar que las cosas correctas se hagan y que estén de acuerdo con el conjunto de direcciones y políticas.
ME1.1 Enfoque del Monitoreo ME1.2 Definición y Recolección de Datos de Monitoreo ME1.3 Método de Monitoreo ME1.4 Evaluación del Desempeño ME1.5 Reportes al Consejo Directivo y a Ejecutivos ME1.6 Acciones Correctivas
MONITOREAR Y EVALUAR EL CONTROL INTERNO.
Establecer un programa de control interno efectivo para TI requiere un proceso bien definido de monitoreo. Este proceso incluye el monitoreo y el reporte de las excepciones de control, resultados de las autoevaluaciones y revisiones por parte de terceros. Un beneficio clave del monitoreo del control interno es proporcionar seguridad respecto a las operaciones eficientes y efectivas y el cumplimiento de las leyes y regulaciones aplicables.
ME2.1 Monitoreo del Marco de Trabajo de Control Interno ME2.2 Revisiones de Auditoría ME2.3 Excepciones de Control ME2.4 Auto Evaluación del Control ME2.5 Aseguramiento del Control Interno ME2.6 Control Interno para Terceros ME2.7 Acciones Correctivas
GARANTIZAR EL CUMPLIMIENTO CON REQUISITOS EXTERNOS
Una supervisión efectiva del cumplimiento requiere del establecimiento de un proceso de revisión para garantizar el cumplimiento de las leyes, regulaciones y requerimientos contractuales. Este proceso incluye la identificación de requerimientos de cumplimiento, optimizando y evaluando la respuesta, obteniendo aseguramiento que los requerimientos se han cumplido y, finalmente integrando los reportes de cumplimiento de TI con el resto del negocio
ME3.1 Identificar los Requerimientos de las Leyes, Regulaciones y Cumplimientos Contractuales ME3.2 Optimizar la Respuesta a Requerimientos Externos ME3.3 Evaluación del Cumplimiento con Requerimientos Externos ME3.4 Aseguramiento Positivo del Cumplimiento ME3.5 Reportes Integrados
ME4
PROPORCIONAR GOBIERNO DE TI
El establecimiento de un marco de trabajo de gobierno efectivo, incluye la definición de estructuras, procesos, liderazgo, roles y responsabilidades organizacionales para garantizar así que las inversiones empresariales en TI estén alineadas y de acuerdo con las estrategias y objetivos empresariales.
ME4.1 Establecimiento de un Marco de Gobierno de TI ME4.2 Alineamiento Estratégico ME4.3 Entrega de Valor ME4.4 Administración de Recursos ME4.5 Administración de Riesgos ME4.6 Medición del Desempeño ME4.7 Aseguramiento Independiente
Tabla 04. Procesos y Objetivos de Control del Dominio Monitorear y Evaluar
40
Durante las últimas décadas, se han creado varios marcos que apoyan la implementación de gobierno de TI. COBIT es un marco basado en las mejores prácticas, centrándose en los procesos de la organización de TI y cómo su desempeño puede ser evaluado y controlado [2]. Objetivos de Control para Información y Tecnología Relacionada (COBIT) se ha convertido en una de las directrices más importantes para la tecnología de la información de gobierno [2], que proporciona a las organizaciones una herramienta útil para comenzar a evaluar sus sistemas de ITG1 propios. COBIT establece un conjunto de herramientas y un marco de apoyo de ITG que permite a los administradores de TI reducir la brecha entre los requisitos de control, cuestiones técnicas y los riesgos del negocio. Se han realizado diversos estudios de la aplicación de este marco de gobierno en diferentes países. Como el estudio realizado sobre la formalidad, la auditoría, la responsabilidad y el control de la aplicación de los procesos de ITG de COBIT en las organizaciones de Arabia. Si bien los resultados del estudio revelaron que la mayoría de los encuestados informaron que la implementación de los procesos y dominios de ITG de COBIT es responsabilidad del departamento de TI en las organizaciones de Arabia, la mayoría de los encuestados informó que los dichos procesos no son auditados formalmente en sus organizaciones. Otros estudios se han enfocado en definir modelos para medir el estado de madurez de la gobernabilidad en una organización, como el desarrollado por Simonsson, Johnson y Wijkström [3]. Estudio que tiene como resultado un método propuesto que permite analizar las organizaciones, permitiendo así una forma eficaz de realizar evaluaciones de madurez de la gobernabilidad sobre la base de COBIT. Hasta la fecha COBIT es el marco de aceptación general de mejores prácticas de gestión de TI y los objetivos de control escrito para ejecutivos de negocios, los profesionales de TI y los auditores de T.I
1
ITG – Gobierno de Tecnologías de Información 41
CAPÍTULO 3: MARCO METODOLÓGICO DE COBIT 3. MARCO METODOLÓGICO DE COBIT 3.1. El Cubo de COBIT Dice que los recursos de TI son manejados por procesos de TI para lograr metas de TI que respondan a los requerimientos del negocio [4]. Este es el principio básico del marco de trabajo COBIT, se puede resumir en el conocido Cubo de COBIT.
Figura 06. Cubo de COBIT [2]
42
3.2. Marco de Trabajo Completo
Figura 07. Marco de Trabajo Completo COBIT [2]
3.3. COBIT y las Áreas de Enfoque del Gobierno de TI El Marco de Trabajo que ofrece COBIT, el cual está organizado en metas, métricas, buenas prácticas y el Modelo de Madurez, se encuentra altamente relacionado con las cinco áreas de enfoque del Gobierno de TI (relación primaria o relación secundaria) [5].
Figura 08. Relación del Marco de COBIT con el Gobierno de TI [2]
43
3.4. Componentes Esenciales de COBIT COBIT está compuesto de algunos componentes esenciales, que organizados en los 34 procesos de TI, y brindan una visión completa de cómo controlar, administrar y medir cada proceso.
Figura 09. Componentes Esenciales de COBIT [2]
Cada proceso está cubierto en cuatro secciones:
Sección 1 Contiene una descripción del proceso que resume los objetivos del proceso, con el objetivo de control de alto nivel representado en formada de cascada (Resumen de las metas de TI más importantes, para que se pueda alcanzar las metas de TI se deben alcanzar un conjunto de metas de Proceso, los cuales agrupan a su vez a las metas de actividades y estás a su vez presentan un conjunto de métricas que permitirán medir el desempeño).
44
Figura 10.Objetivo de control de alto nivel representado en formada de cascada [2]
Además se muestra la relación del proceso con los criterios de información que cubre, indicando con una P la relación primaria y con una S la secundaria.
Figura 11. Relación Proceso con los Criterios de Información [2]
También la relación con los recursos de TI que van a ser utilizados
Figura 12. Relación del Proceso con los Recursos de TI [2] 45
Y la relación con las áreas de enfoque de gobierno de TI.
Figura 13. Relación del Proceso con las Áreas de Enfoque de Gobierno de TI [2]
Sección 2 Contiene los objetivos de control detallados para este proceso. Los objetivos de control en la descripción del proceso describen lo que el dueño requiere hacer. Sección 3 Contiene las entradas (son lo que el dueño del proceso requiere de otros) y salidas del proceso (son lo que el dueño debe entregar), la matriz RACI (define qué se debe delegar y a quién.), las metas y las métricas (cómo se debe medir el proceso)
Figura 14. Representación de las Entradas de cada Proceso [2]
46
Figura 15. Representaci贸n de las Salidas de cada Proceso [2]
Figura 16. Roles de la Matriz RACI [2]
Figura 17. Representaci贸n de la Matriz RACI [2] 47
Figura 18. Representación de las Metas y Métricas [2]
Sección 4 Contiene el modelo de madurez para el proceso (muestra qué se debe hacer para mejorar).
Figura 19. Representación del Modelo de Madurez del Proceso [2] 48
CAPITULO 4: GESTION DE LOS SERVICIOS DE TI Y MARCOS DE TRABAJO ASOCIADOS 4. GESTION DE LOS SERVICIOS DE TI Y MARCOS DE TRABAJO ASOCIADOS 4.1. Definición de Gestión de Servicios de Tecnologías de Información - ITSM Hoy en día podemos ver que las organizaciones cuentan con procesos de negocios muy complejos y cambiantes, los tiempos de respuesta que requiere la prestación de un servicio son muy acelerados y el mercado global impone requerimientos exigentes, es por ello que las organizaciones dependen muy fuertemente de las tecnologías, la cual se ha vuelto una herramienta muy poderosa, pero al mismo tiempo ha aumentado su complejidad de manera considerable. Hoy en día no alcanza con gestionar adecuadamente la tecnología, es necesario adoptar un enfoque integral que permita controlar todos los aspectos de la problemática. Ante ello surge la necesidad de un nuevo enfoque centrado en la gestión desde un punto de vista integrador, consistente y concentrado en responder las exigencias de los tiempos que nos toca vivir [6].
Visión Tradicional del Servicio
Actualmente las organizaciones tiene la siguiente visión:
Los usuarios hacen uso de los sistemas de información.
Los
sistemas
de
información
implementan
la
funcionalidad
requerida por el negocio.
La tecnología informática es vista como el elemento principal a proveer a los usuarios a través de los sistemas de información.
La TI se encuentra organizada en islas enfocadas en proveer tecnología y niveles de servicio que no necesariamente representan valor para el negocio.
Por lo general, los procesos están orientados hacia objetivos individuales. 49
Nueva Visión TI como proveedor de servicios Lo que se pretende a través de una adecuada gestión de los servicios de TI, es lo siguiente:
Los procesos de negocios requieren de apoyo informático.
Los servicios de TI apoyan a los procesos de negocio.
La infraestructura informática y de telecomunicaciones configura a los servicios de TI.
Los equipos de soporte operan y mantienen la infraestructura de los servicios de TI.
Los procesos para gestionar los servicios de TI, aseguran la operación de los equipos de soporte para prever al negocio servicios de calidad.
Definición de ITSM ITSM es conocido como una disciplina que nos permite administrar los servicios de tecnología de información [7]. Algunos autores la definen como una disciplina basada en procesos, enfocándose en alinear los servicios de TI proporcionados con las necesidades de la empresa, poniendo mayor énfasis en la calidad del servicio que puede percibir el usuario final. Es aplicable a sistemas centralizados y distribuidos. ITSM se concentra en la perspectiva del negocio para permitir una adecuada gestión de infraestructura de las aplicaciones de TI para brindar soporte y entrega a los servicios. Dentro de los procesos que plantea ITSM podemos encontrar los siguientes Soporte: Mesa de Servicio Gestión de Incidentes Gestión de Problemas Gestión de Configuraciones Gestión de Cambios Gestión de Versiones 50
Entrega: Gestión de Niveles de Servicios Gestión Financiera de TI Gestión de Capacidad Gestión de Continuidad de Servicios de TI Gestión de Disponibilidad
Beneficios de ITSM Dentro de los beneficios que nos brinda ITSM dentro del gobierno de TI, podemos encontrar los siguientes: Maximizar la calidad del servicio apoyando al negocio de una manera fiable. Dar una visión clara de la Capacidad del departamento de TI. Información precisa de qué cambios Mayor adaptabilidad de TI al Negocio
4.2. Procesos ITSM 4.2.1. Soporte de Servicio
Gestión de Incidentes: este proceso nos permite restaurar cualquier interrupción mínima que ocurra en el negocio.
Gestión de Problemas: este proceso nos permite minimizar el efecto adverso de los problemas de TI.
Gestión de Cambios: este proceso permite mejorar o introducir un cambio en el servicio con un impacto negativo mínimo.
Gestión de la Configuración: consiste en controlar y verificar todos los elementos que brindan soporte a los servicios de TI.
Gestión de Versiones: este proceso permite asegurar que las versiones de hardware y software que van a ser puestas en marcha dentro del proceso cumplan con los estándares de calidad.
Service Desk (función): viene a ser el único punto central de contacto para todos los usuarios de TI dentro de la organización. También sirve de ayuda para todos los procesos de soporte de servicio. 51
4.2.2. Entrega de Servicio Gestión de Niveles de Usuario: este proceso se encarga de establecer los acuerdos de servicio con los clientes, implementar y monitorear que se cumplan. Gestión de Disponibilidad: se encarga de planificar y monitorear que el servicio se encuentre disponible siempre que el cliente lo necesite. Gestión Financiera: este proceso nos permite llevar un control de los costos vinculados en el servicio que se va a prestar. Gestión de la Capacidad: se encarga de garantizar la capacidad adecuada que permita atender los requisitos del negocio y equilibrar la oferta con la demanda. Gestión de la Continuidad del Servicio de TI: se encarga de establecer planes de contingencia que permita restablecer el negocio ante una posible aparición de desastres. Gestión de la Seguridad: se encarga de administrar y monitorear la seguridad de toda la infraestructura de TI.
4.3. Buenas Prácticas Cuando necesitamos realizar algún cambio en nuestra organización, o estamos buscando algún lugar para mudarnos, o al tener que elegir un colegio o al comprarnos un auto, siempre recurrimos a los expertos que vienen a ser las personas que tienen el conocimiento, debido a que ya lo han realizado anteriormente, tienen buenos antecedentes, ya han probado varias opciones. ITSM es un conjunto de buenas prácticas que ya han sido implementadas en varias organizaciones y los resultados ha sido favorables, para ello ITSM propone unas serie de Frameworks, que permiten gestionar los servicios de TI, entre ellos encontramos: ITIL, ISO 20000, MOF, Application Service Library (ASL), entre otros [8].
52
4.4. Frameworks o Marcos de Trabajo ITIL: es un conjunto de buenas prácticas para la Gestión de los Servicios de las Tecnologías de Información, nos brinda procedimientos detallados de gestión ideados para ayudar a las organizaciones a lograr la calidad y eficiencia en las operaciones de TI. ISO 20000: es estándar reconocido para la Gestión de Servicios de TI, es totalmente compatible con ITIL , la diferencia consiste en que ITIL puede ser implementado de muchas maneras, por el contrario ISO 20000 te brinda una serie de requisitos que se deben cumplir paso a paso. MOF: es una guía destinada a ayudar a Gestionar las Tecnologías de Información (TI) establecer y aplicar confiables y rentables servicios. Application Service Library (ASL): es un dominio público estándar que se utiliza para los procesos en la Gestión de la Aplicación (la disciplina de la producción y mantenimiento de sistemas de información y aplicaciones).
4.5. Servicio ITIL define al servicio como un medio para entregar valor al cliente brindado los servicios que requieran sin necesidad de que estos asuman los costos y riesgos asociados al servicio. En otras palabras podemos decir que el objetivo del servicio es satisfacer la necesidad del cliente sin asumir de forma directa las capacidades y los recursos necesarios para ello. Por ejemplo, si nosotros deseamos implementar algún servicio en nuestra organización tendremos 2 opciones a escoger, una de ellas es contratar el servicio de otra empresa o contratar al personal y los recursos necesarios teniendo en cuenta que se tienen que asumir los riesgos y los costos directos para la gestión del servicio.
53
El servicio es un conjunto de recursos que son provistos a los clientes para soportarlos en la operación de una o más áreas del negocio [9].
4.6. Gestión de Servicios de TI ITIL define a la Gestión de Servicios de TI, como un conjunto de capacidades organizadas y especializadas para la provisión de valor a los clientes en forma de servicios. Cuando se habla de capacidad ITIL se refiere a la los recursos y al personal que debe contar con las habilidades adecuadas para aprovechar al máximo los recursos brindando un servicio de calidad.
4.7. El Ciclo de Vida de los Servicios de TI El objetivo del enfoque que plantea ITIL ofrece una visión clara y detallada de la vida de un servicio, desde su diseño hasta su eventual eliminación. El Ciclo de Vida de los Servicios que plantea ITIL V3, consta de cinco fases, las cuales se describen a continuación:
Estrategia del Servicio: esta primera fase propone tratar la gestión de servicios no solo como una capacidad sino como un activo estratégico.
Diseño del Servicio: cubre los principios y métodos necesarios para transformar los objetivos estratégicos en portafolios de servicios y activos.
Transición del Servicio: cubre el proceso de transición para la implementación de nuevos servicios o su mejora.
Operación del Servicio: esta fase cubre las mejores prácticas para la gestión del día a día en la operación del servicio.
Mejora Continua del Servicio: esta fase proporciona una guía para la creación y mantenimiento del valor ofrecido a los clientes a través de un diseño, transición y operación del servicio optimizado.
54
Figura 20. Ciclo de Vida de los Servicios de TI
55
4.8. Biblioteca de Infraestructura de Tecnologías de Información – ITIL 4.8.1.
Antecedentes
En los años 80’, la época donde muchas empresas se dedicaban al desarrollo y puesta en marcha de aplicaciones software para su negocio, aun presentaban dificultades para administrar todas estas aplicaciones, y una de las empresas que presentaba esta necesidad fue el Gobierno Británico al no poder gestionar su infraestructura de TI. Este hecho y el incremento en la dependencia de las TI, incurrieron a que empresas del sector adoptaran estándares propios para gestionar la información, obviamente eran poco eficientes, ocasionando que algunas veces se duplicaran los esfuerzos o el aumento en costos y baja calidad de los servicios que ofrecían [7].
Todas estas incidencia, conllevaron a que la Central Computer and Telecommunications Agency (CCTA) desarrollara unas primeras recomendaciones que facilitaran la administración y optimización de las TI, recomendaciones que actualmente se conocen como ITIL (Biblioteca
de
Infraestructura
de
Tecnologías
de
Información).
Inicialmente, CCTA se enfoco a recopilar información tendiente a verificar como las organizaciones dirigían la administración de sus servicios, logrando analizar y filtrar los diferentes problemas que se generaban; luego comprobaron la utilidad y los beneficios de sus recomendaciones. Esta iniciativa se convirtió en un marco de trabajo conformado por numerosos volúmenes (40 libros), que probo su utilidad no solamente en organizaciones gubernamentales sino en todos los sectores (banca y seguros, servicios, industria, organismos públicos, etc.), convirtiéndose en la base para todo tipo de empresas, grandes o pequeñas, que tuvieran la disposición de implementar Mejores Practicas.
En la década de los 90s, muchas empresas adoptaron este marco de trabajo, convirtiéndose en una buena práctica para la administración de los servicios de TI, sin embargo, a mediados de los 90’s el termino 56
Gestión de Servicios aun era muy pobre, pues no existía una documentación bien descrita y estándar de esta expresión. Con el paso del tiempo comenzó a popularizada por toda la comunidad interesada en la administración de las TI, dando como resultado la creación de un foro llamado (ITIMF) Foro de Gestión de Información de TI. En este foro, gran cantidad de usuarios a nivel global se reunieron para dar opiniones, ideas y aprender más a fondo sobre la gestión de servicios de TI, específicamente sobre la Biblioteca de Infraestructura de TI (ITIL). Este foro con el paso del tiempo evoluciono y su nombre fue sustituido por (ITSMF) Foro de Gestión de Servicio de TI, hoy en día posee millones de miembros en el mundo interesados en ITIL, que contribuyen a su actualización y adaptación a las características cambiantes de los negocios.
Actualmente ITIL se puede considerar como el estándar de facto en estos momentos a nivel mundial y que ha sido adoptado como base por grandes compañía de gestión de servicios como IBM, HP y Microsoft, tanto para la creación o ampliación de sus propios modelos para consultoría, educación y herramientas de software para el soporte, y es utilizado a parte de éstas en otras grandes empresas como Barclays Bank, HSBC, Guinness y Procter & Gamble.
Figura 21. Evolución de la Administración de TI 57
4.8.2.
OBJETIVO DE ITIL
El uso de las Tecnologías de información (TI) se ha convertido en una utilidad necesaria en los negocios a nivel mundial, sin embargo, simplemente teniendo la mejor tecnología no se asegura la fiabilidad y total utilidad de esta, es decir, el hecho de comprar e invertir en nueva tecnología siendo de última generación, no implica que sea lo más útil para el negocio si esta no se sabe administrar y aprovechar.
ITIL ofrece un marco de trabajo para las actividades del área de TI, proporcionando una descripción de los roles, tareas, procedimientos y responsabilidades que pueden ser adoptados en organizaciones de TI cuya finalidad será mejorar la Gestión de sus Servicios; gracias a la cantidad de temas que cubre, se considera un elemento de referencia útil para las organizaciones, ya que permite fijar nuevos objetivos de mejora para la organización de TI, basándose en la calidad del servicio y en el desarrollo de los procesos de una manera eficaz y eficiente.
El objetivo de ITIL es proveer todos los servicios necesarios a los clientes que tengan interés en ejecutarlos de manera que el negocio los use establemente, de forma confiable y adecuada. Para esto ITIL ofrece la mejor guía de prácticas aplicable a todos los tipos de servicios que proveen los negocios; cada publicación del ciclo de vida del servicio de ITIL se ocupa de las capacidades fundamentales, teniendo impacto directo en las funciones que desempeñan la compañía o el proveedor del servicio. La estructura práctica se realiza de acuerdo al ciclo de vida del servicio, de forma interactiva y multidimensional, donde se asegura que las organizaciones que las establezcan, las utilizan para apalancar las necesidades requeridas, aprendiendo y mejorando la calidad del servicio en el negocio.
Con el núcleo completo del ciclo de vida del servicio se espera que se tenga una estructura fuerte y estable con capacidad de mantener y 58
gestionar de forma efectiva las necesidades administrativas con métodos y herramientas durables en el tiempo, tratando de proteger las inversiones y proveer la base necesaria para la medida, el aprendizaje y la mejora de los negocios, puesto que puede ser adaptada para su uso en diversos ambientes de negocio y estrategias corporativas. Y al ser puesto en marcha, ayuda a aumentar la durabilidad y portabilidad de los activos de conocimiento de las empresas, así como también las inversiones en función de las necesidades administrativas [8].
4.8.3.
EVOLUCION DE ITIL
4.8.3.1.
ITIL V. 2.0
Figura 22. Estructura de ITIL v. 2.0
4.8.3.1.1.
Soporte de Servicio
Describe cómo los clientes pueden acceder a los servicios de TI apropiados para brindar soporte a sus negocios. En gran medida, el soporte de servicio describe los servicios de base operativa diarios utilizados para atender las necesidades de los clientes. Los procesos de Soporte de Servicio incluyen:
Gestión de Incidentes:
Para restaurar servicios con
interrupción mínima en los negocios.
59
Gestión de Problemas: Para minimizar el efecto adverso de los problemas de TI
Gestión
de
Cambios:
Para
determinar
los
cambios
requeridos e implementarlos con un impacto negativo mínimo
Gestión de Versiones: Para asegurar que sólo las versiones probadas y correctas del hardware y el software sean provistas
Gestión de la Configuración: Para identificar, controlar y verificar las configuraciones que brindan soporte a los servicios de TI.
Service Desk (Mesa de trabajo): Para brindar un único punto central de contacto para todos los usuarios de TI dentro de la organización. Como mínimo, la función del service desk maneja todos los incidentes, servicios y pedidos de cambios, y brinda una interfaz para todos los procesos de soporte de servicio.
Figura 23. Estructura de Soporte de Servicio
4.8.3.1.2.
Entrega del Servicio
Describe los cinco procesos que ayudan a las organizaciones de TI a entregar el servicio de negocio requerido. Maleables por naturaleza, los procesos están dedicados a la planificación y
60
entrega de servicios de TI de calidad. Los procesos de Entrega del Servicio incluyen:
Gestión de la Capacidad: Para garantizar la disponibilidad de la capacidad adecuada que permita atender los requisitos del negocio y equilibrar la oferta con la demanda.
Gestión de la Disponibilidad: Para garantizar el nivel apropiado de recursos que brinden soporte a la disponibilidad de los servicios de TI.
Gestión de la Continuidad del Servicio de TI: Para atender la preparación y planificación de los procedimientos de recuperación de desastres para los servicios de TI
Gestión del Nivel del Servicio: Para realizar acuerdos sobre servicios de TI con los clientes, e imple-mentar y monitorear esos acuerdos
Gestión Financiera de los Servicios de TI: Para brindar un control efectivo sobre los recursos y activos de TI.
Figura 24. Estructura de Entrega del Servicio
61
4.8.3.1.3.
Gestión de la Infraestructura de TI
De este libro cabe destacar cuatro procesos principales:
Diseño y planificación: tiene como objetivo la creación y/o mejora de la solución de TI. Tiene en cuenta el desarrollo y mantenimiento de las estrategias y procesos de TI para el despliegue e implementación de las soluciones adecuadas de infraestructura de TI en toda la organización.
Despliegue: Su finalidad es la implementación extensión del negocio y/o solución de TI según se diseño y planifico, con mínima interrupción de los procesos de negocio.
Operaciones: su objetivo es el mantenimiento diario de la infraestructura de TI. Tiene en cuenta todas las actividades y medidas para permitir y/o mantener el uso pretendido de la infraestructura de TI.
Soporte Técnico: Tiene como finalidad la estructura y apuntalamiento de otros procesos para garantizar los servicios entregados por la Gestión de Infraestructura de TI. Tiene en cuenta el desarrollo del conocimiento para la evaluación y soporte de todas las soluciones actuales y futuras de infraestructura de TI.
4.8.3.1.4.
Planificación para la Implementación de los Servicios de Gestión
Este libro examina los problemas y tareas implicadas al planificar, implementar y mejorar los procesos de Gestión de Servicios dentro de una organización. Se centra en los aspectos clave a considerar cuando se planifica la implementación de la gestión de servicio en TI. El principal objetivo es asegurar que los servicios de TI están alineados con las necesidades del negocio. La provisión de servicio en TI necesita compararse con las demandas actuales y cambiantes rápidamente del negocio. El objetivo es mejorar continuamente la calidad del servicio, alineado 62
con los requisitos del negocio y efectivo en coste. Para ello, es necesario considerar tres aspectos: las personas, los procesos de gestión de servicio eficaz y eficiente y la infraestructura de TI en términos de herramientas y tecnología. Además, estos tres aspectos solo facilitaran la implementación de los objetivos si se consideran junto con un mecanismo estructurado de alineamiento hacia los objetivos concretos del negocio. 4.8.3.1.5.
Gestión de Aplicaciones
Este libro trata el complejo aspecto de gestionar las aplicaciones desde la necesidad inicial del negocio, a través del ciclo de vida de la Gestión de la Aplicación, hasta la retirada. 4.8.3.1.6.
Perspectiva de Negocio
La perspectiva de negocio tiene como meta familiarizar a la dirección del negocio con los componentes que sirven de base a la infraestructura de la Tecnología de la Información necesarios para soportar sus procesos de negocio, de forma que se obtenga una comprensión de los estándares y mejores prácticas de Gestión del Servicio. 4.8.3.1.7.
Gestión de Seguridad
Este proceso toma como punto de partida a los procesos existentes de ITIL y les añade actividades de gestión de seguridad. Este proceso, aunque es un proceso separado, aparece integrado en el resto de procesos. El objetivo es gestionar un nivel definido de seguridad para la información y servicios de TI, así como gestionar la reacción a incidentes de seguridad. De los siete libros mencionados, los dos primeros se consideraban los fundamentales: Service Support y Service Delivery. En general, Service Support explicaba las mejores prácticas para las actividades del día a día, mientras que Service Delivery lo hacía para actividades futuras. Los otros cinco libros tocaban pocos temas de ITIL y se consideraban complejos incluso por los propios expertos de ITIL. 4.8.3.2.
ITIL V. 3.0 63
Los directivos de las empresas quieren que el departamento de TI no se limite a ayudar a su empresa a cumplir con los objetivos del negocio. Esperan que introduzca elementos de innovación en el negocio. Por tanto, según la OGC: “Los esfuerzos de la TI deberían centrarse en comprender hacia dónde se dirige la tecnología y saber aprovecharla, no sólo para mejorar la eficacia de los procesos operativos, sino para abrir nuevas oportunidades de negocio con servicios y productos innovadores”. Esta nueva forma de plantear su misión, obliga a la TI a dar un enorme salto en el camino hacia una gestión de servicios madura. Pasa de centrar sus actividades en la simple puesta en marcha de una buena estructura, mecanismos de control rigurosos y procesos para una gestión de servicios efectiva, a convertirse en parte del negocio. ITIL v3 representa un avance sustancial, ya que se centra en integrar la TI en el negocio. Diluye la distinción entre TI y negocio, e incluso sustituye el lenguaje de la TI por el lenguaje de los negocios.
Figura 25. Estructura de ITIL v. 3.0
64
4.8.3.3.
Servicios como Activos
ITIL v3 introduce el concepto de servicios como activos. Considera que un servicio es un activo para su consumidor. Los activos de servicios se componen de dos entidades: utilidad y garantía. La utilidad es el servicio en sí, suministrado por una combinación de personas, procesos y tecnología. Como ejemplos podríamos citar un servicio de introducción de pedidos online de un establecimiento comercial y otro de suscripción online al plan de seguro de salud de una compañía. La garantía es la seguridad de que la utilidad se ejecutará dentro de los niveles esperados. Por ejemplo, la citada herramienta de introducción de pedidos online podría garantizar factores tales como informar sobre la existencia de stock y el plazo de entrega. En ITIL v3, utilidad y garantía interaccionan para crear el valor del activo. Como consecuencia, los activos tienen un impacto directo sobre el valor del negocio (porque ellos mismos generan algo de valor). Ese “algo” puede ser beneficios, innovación, satisfacción del cliente o cualquier otro aspecto que determine el éxito del negocio.
4.8.3.4.
Eliminación de silos
Otro aspecto importante de ITIL v3 es su creciente esfuerzo por evitar la separación de los procesos de TI en silos o compartimentos independientes. Aunque ITIL v2 habla de integración de procesos, define los procesos de cada función de TI (gestión de incidencias, gestión
de
problemas,
gestión de
cambios, gestión de la
configuración, gestión de versiones y servicio de atención al usuario) en capítulos distintos. Esta separación de procesos por función no favorece su integración. A menudo los procesos en sí están bien implantados, pero su integración a lo largo del servicio asociado es débil o inexistente. Por el contrario, ITIL v3 reclasifica los procesos extrayéndolos de su área funcional para enmarcarlos en las fases de su ciclo de vida, lo 65
que fomenta su integración en funciones por servicio. Es más, ITIL v3 reconoce que la integración efectiva de los procesos exige que las personas pertenecientes a diferentes disciplinas de TI adopten un punto de vista más global. Los miembros del departamento de TI no sólo deben ser expertos en sus respectivas áreas, sino entender la interacción de sus áreas con las demás. Por ejemplo, el responsable de la gestión de cambios, no sólo debe conocer en profundidad los mecanismos de las operaciones del cambio, sino comprender las implicaciones que éstos tienen en la estrategia y el diseño.
4.8.3.5.
Beneficios para el Negocio
Una de las principales ventajas de ITIL v3 es que permite a las organizaciones aprovechar por completo su inversión en TI. Esto brinda la posibilidad de extraer todo el potencial de la TI y la experiencia de los profesionales para hacer el negocio más innovador y valioso. La TI se beneficia de esta poderosa combinación porque sus profesionales
desempeñan
un
papel
más
enriquecedor
y
satisfactorio. A esto se suma que su visibilidad y la percepción de su valor para la compañía crecen, ya que los directivos empiezan a ver la TI como un factor de creación de valor para el negocio. Los responsables del negocio también se benefician de una relación mucho más estrecha con la TI y una mejor comprensión de la capacidad de este departamento para aprovechar la tecnología en proyectos de innovación. A través de la colaboración con la TI, los responsables del negocio pueden implantar nuevos procesos que incrementen su competitividad y, gracias a la innovación tecnológica, pueden abrir nuevas áreas de negocio previamente inalcanzables.
66
4.8.3.6.
FUNCIONES Y PROCESOS A LO LARGO DEL CICLO DE VIDA
4.8.3.6.1.
Funciones
Las funciones son medios que facilitan a las organizaciones la estructura que necesitan para implementar el principio de especialización. Definen típicamente roles, la autoridad asociada, y la responsabilidad para obtener unos resultados y un rendimiento especifico.
4.8.3.6.2.
Procesos
Los procesos son ejemplos de sistemas de bucle cerrado, debido a que proporcionan cambios y la transformación necesaria para lograr un objetivo, y utilizan la retroalimentación para reforzarse y corregirse a sí mismas. Los procesos tienen las siguientes características:
Figura 26. Estructura de Procesos
Medible: Esta orientado al rendimiento. Los responsables desean medir el coste, la calidad y otras variables, mientras que los profesionales están involucrados con la duración y la productividad.
Resultados Específicos: la razón que explica la existencia de un proceso es la entrega de un resultado específico. Este 67
resultado
debe
ser
identificable
y
cuantificable
individualmente. Aunque podemos contabilizar los cambios, es imposible contabilizar cuantos Centros de Servicio al Usuario se completaron.
Clientes: Cada proceso entrega sus resultados primarios a un cliente o interesado. El proceso debe satisfacer sus expectativas, independientemente de que sean internos o externos a la organización.
Responde a un evento específico: Aunque el proceso podría ser continuo o iterativo, este debe ser fácil de rastrear para detectar su activación específica.
4.8.3.7.
TRANSICIÓN DE ITIL V2 A ITIL V3
Una vez aclarados los conceptos fundamentales de ITIL v3 y el modo en que han evolucionado desde la versión 2, se determina que la transición de ITIL v2 a v3 es evolutiva más que revolucionaria. ITIL v3 implica un cambio de actitud mental. Garantiza que se tomará en consideración el ciclo de vida de un servicio antes de su implantación, eliminando así la actual mentalidad basada en silos y favoreciendo una mejor integración de la TI con los procesos, operaciones y factores que impulsan el avance del negocio. El interfaz entre ITIL v2 y ITIL v3 es transparente, lo que significa que las organizaciones de TI que ya han adoptado ITIL v2 no necesitan reinventar la rueda para implantar ITIL v3. Esto implica que cualquier logro obtenido con la implantación de ITIL v2 se mantiene en ITIL v3.
68
CAPÍTULO 5: MARCO METODOLÓGICO ITIL – BIBLIOTECA DE INFRAESTRUCTURA DE TECNOLOGIAS DE INFORMACIÓN EN DETALLE
5. MARCO METODOLÓGICO ITIL – BIBLIOTECA DE INFRAESTRUCTURA DE TECNOLOGIAS DE INFORMACIÓN
5.1. Estrategia de Servicio En esta primera fase se definen que servicios van a ser prestados y porqué van a ser prestados teniendo en cuenta tanto las perspectivas del cliente como del mercado. Una correcta Estrategia del Servicio debe:
Servir de guía a la hora de establecer y priorizar objetivos y oportunidades.
Conocer el mercado y los servicios de la competencia.
Armonizar la oferta con la demanda de servicios.
Proponer servicios diferenciados que aporten valor añadido al cliente.
Gestionar los recursos y capacidades necesarios para prestar los servicios ofrecidos teniendo en cuenta los costes y riesgos asociados.
Alinear los servicios ofrecidos con la estrategia de negocio.
Elaborar planes que permitan un crecimiento sostenible.
Crear casos de negocio para justificar inversiones estratégicas.
Para plantear una correcta estrategia de servicio debemos respondernos a las siguientes preguntas:
¿Qué servicios debemos ofrecer?
¿Cuál es su valor?
¿Cuáles son nuestros clientes potenciales?
¿Cuáles son los resultados esperados?
¿Qué servicios son prioritarios? 69
¿Qué inversiones son necesarias?
¿Cuál es el retorno a la inversión o ROI?
¿Qué servicios existen ya en el mercado que puedan representar una competencia directa?
¿Cómo podemos diferenciarnos de la competencia?
5.1.1. Gestión Financiera El principal objetivo de la gestión financiera es evaluar y controlar todos los costos que se encuentren asociados a un Servicio de TI específico de forma que se ofrezca un servicio de calidad a los clientes. Además este proceso nos permite evaluar el retorno de la inversión (ROI), para que de esta forma se puedan establecer planes consistentes de gasto tecnológico.
Figura 27. Gestión Financiera
Actividades Las actividades que se realizan en este proceso son:
70
Presupuesto: se encarga de planificar el gasto e inversión de TI, asegurar que los servicios TI estén adecuadamente financiados, establecer objetivos claros que permitan evaluar el rendimiento de la organización TI.
Contabilidad: se encarga de evaluar los costos reales con los presupuestados, evaluar la eficiencia financiera de cada uno de los servicios de TI prestados.
Fijación de Precios: Se encarga de fijar la política de precios para los servicios TI, establecer la tarifa de los servicios, justificar los precios al resto de la organización y a los responsables de los otros procesos TI.
Métricas Las métricas que se usan para evaluar el rendimiento de este proceso son:
Los
gastos
TI
están
correctamente
planificados
y
presupuestados.
Se cumplen los objetivos de costes e ingresos.
Se lleva a cabo una contabilidad precisa asociada a cada servicio.
Se conoce el ROI de las inversiones TI.
La organización TI funciona de manera "rentable"
5.1.2. Gestión del Portafolio de Servicios Este proceso consiste en definir una estrategia para que permita generar el máximo valor de un servicio, controlando los riesgos y costos asociados al mismo [9]. Este proceso se encuentra relacionado directamente con los procesos de la gestión financiera la cual le brinda los costos asociados a un servicio y el proceso de gestión del catálogo de servicios ya que el catalogo se basa en el portafolio de servicios pero su contenido se encuentra enfocado al cliente.
71
De manera indirecta, la Gestión del Portafolio de Servicios se relaciona con todas las fases del ciclo de vida, ya que sirve para orientar cualquier actividad relacionada con el servicio.
Figura 28. Gestión de Portafolio del Servicio
Actividades El proceso de gestión del portafolio consta de 4 actividades, las cuales se describen a continuación:
Definición: consiste en realizar un inventario de todos los servicios a prestar, según os objetivos estratégicos de la organización; casos de negocio favorables, teniendo en cuenta la competencia y las necesidades de los clientes.
Análisis: consiste en definir una propuesta de valor, teniendo en cuenta los espacios de mercado y las necesidades de los clientes; establecer prioridades en la prestación de servicios.
Aprobación: consiste en la aprobación o rechazo de los servicios y se actualiza su estado, se asignan los recursos necesarios a cada servicio.
Planificación: consiste en establecer plazos de creación y renovación de los servicios, actualizar el portafolio de
72
servicios con toda la información, asegurarse de que toda la organización se encuentre comunicada de los cambios. Métricas
Porcentaje de nuevos servicios planeados (que han sido desarrollados desde la Gestión del Portfolio de Servicios)
Porcentaje de nuevos servicios no planeados (que han sido desarrollados sin la intervención de la Gestión del Portfolio de Servicios)
Número de iniciativas estratégicas lanzadas desde la Gestión del Portfolio de Servicios.
Número de nuevos clientes.
Número de clientes que se han cambiado a la competencia.
5.1.3. Gestión de la Demanda La Gestión de la Demanda se encarga de predecir y regular los ciclos de consumo, su objetivo fundamental es buscar un equilibrio entre los servicios ofertados y los servicios ofrecidos para asegurar que los servicios se presten de acuerdo a los tiempos y niveles de calidad acordados con el cliente.
Figura 29. Gestión de demanda
73
Actividades Dentro de este proceso, encontramos 2 actividades:
Análisis: consiste en definir las necesidades de cada segmento del mercado, las alternativas de que disponen los clientes, dentro y fuera de sus organizaciones.
Desarrollo: consiste en generar una serie de paquetes de servicio adaptados a las necesidades de los clientes, proponer mejoras en el servicio.
Métricas
Desviación de la actividad prevista en los Patrones de actividad del negocio respecto a la que se registró realmente.
Número de interrupciones del servicio ocasionadas por picos de la demanda no previstos.
Número de cambios planificados desde Gestión de la Demanda que se han efectuado en el servicio con el fin de ajustarse a la demanda.
Número cambios no planificados que se han efectuado en el servicio con el fin de ajustarse a la demanda.
5.2. Diseño del Servicio Esta segunda fase del ciclo de vida consiste en diseñar nuevos servicios o modificar los que ya existen para que estos servicios luego pasen al catálogo de servicios y posteriormente sean puestos en producción. Una correcta implementación del Diseño del Servicio debe ayudar a responder cuestiones tales como:
¿Cuáles son los requisitos y necesidades de nuestros clientes?
¿Cuáles son los recursos y capacidades necesarias para prestar los servicios propuestos?
¿Los servicios son seguros, ofrecen la disponibilidad necesaria y se garantiza la continuidad del servicio?
¿Son necesarias nuevas inversiones para prestar los servicios con los niveles de calidad propuestos? 74
¿Están todos los agentes involucrados correctamente informados sobre los objetivos y alcance de los nuevos servicios o de las modificaciones a realizar en los ya existentes?
¿Se necesita la colaboración de proveedores externos?
5.2.1. Gestión del Catálogo de Servicios En el catálogo de servicios se registran todos los servicios actuales con los que cuenta la organización, este catálogo está orientado hacia el exterior, es decir para el cliente. La elaboración de un catálogo de servicio puede resultar ser muy complejo, este suma documento es de suma importancia, ya que sirve para: Sirve de guía a los clientes a la hora de seleccionar un servicio que se adapte a sus necesidades. Delimita las funciones y compromisos de la organización TI. Puede ser utilizado como herramienta de venta. Evita malentendidos entre los diferentes actores implicados en la prestación de servicios.
Figura 30. Gestión del Catálogo del Servicio
75
Actividades
Definición: consiste en definir una serie de familias de servicios para agrupar estos según afinidad, se seleccionan los servicios que deben constar en cada familia, se registra la información relativa a cada servicio.
Mantenimiento y Actualización: se establecen una serie de pautas de consulta: destinatarios políticas de permisos; se forma al personal de la organización, se planifican las tareas de mantenimiento y se tipifican los casos para actuaciones extraordinarias.
Métricas
Nº de actualizaciones enviadas al Portfolio de Servicios.
Nº de modificaciones efectuadas en el Catálogo de Servicios en un periodo determinado.
Nº de accesos o solicitudes de consulta del Catálogo dentro de la organización TI.
5.2.2. Gestión de Niveles de Servicio Este proceso se encarga de establecer los acuerdos de calidad con el cliente alineando la tecnología con los procesos de negocio a un costo razonable [9]. Para cumplir sus objetivos es imprescindible que la Gestión de Niveles de Servicio: Conozca las necesidades de sus clientes. Defina correctamente los servicios ofrecidos. Monitorice la calidad del servicio respecto a los objetivos establecidos en los SLAs.
76
Figura 31. Gestión de Nivel de Servicio
Actividades
Planificación: consiste en analizar las necesidades del cliente,
elaborar
hojas
de
especificación
del
servicio,
establecer parámetros de rendimiento que permitan verificar la calidad del servicio.
Implementación: es la responsable de establecer una estrecha colaboración con el cliente los acuerdos de nivel de servicio, Monitorizar la calidad del servicio.
Revisión: está a cargo de elaborar informes de rendimiento sobre la calidad del servicio, modificar si fuera necesario las SLAs existentes, elaborar los planes de mejora del servicio.
Métricas
Porcentaje de servicios amparados bajo SLAs.
Porcentaje de incumplimiento de los SLAs clasificados por su impacto en la calidad del servicio.
SIPs elaborados e impacto de los mismos en la calidad del servicio.
Encuestas de satisfacción del cliente.
77
5.2.3. Gestión de la Capacidad Este proceso se encarga que el servicio tenga la capacidad suficiente para responder los requerimientos de los clientes, trata que los recursos se aprovechen adecuadamente y no se realicen inversiones innecesarias que pueden acarrear gastos adicionales de mantenimiento. Entre las responsabilidades de la Gestión de la Capacidad se encuentran: Asegurar que se cubren las necesidades de capacidad TI tanto presentes como futuras. Controlar el rendimiento de la infraestructura TI. Desarrollar planes de capacidad asociados a los niveles de servicio acordados. Gestionar y racionalizar la demanda de servicios TI.
Figura 32. Gestión de la Capacidad
Actividades
Planificación: se encarga de elaborar un plan de capacidad que recoja las necesidades actuales y futuras de capacidad; modelando, simulando o reproduciendo diferentes posibles escenarios para realizar previsiones realistas de capacidad. 78
Supervisión: es la responsable de medir el rendimiento de la infraestructura informática, asegurar que la capacidad se adecua a los requisitos establecidos en los SLAs, supervisar las licencias.
Métricas Es imprescindible elaborar informes que permitan evaluar el rendimiento de la Gestión de la Capacidad. La documentación elaborada debe incluir información sobre:
El uso de recursos.
Desviaciones de la capacidad real sobre la planificada.
Análisis de tendencias en el uso de la capacidad.
Métricas establecidas para el análisis de la capacidad y monitorización del rendimiento.
Impacto en la calidad del servicio, disponibilidad y otros procesos TI.
El éxito de la Gestión de la Capacidad depende de algunos indicadores clave, entre los que se encuentran:
Correcta previsión de las necesidades de capacidad.
Reducción de los costes asociados a la capacidad.
Más altos niveles de disponibilidad y seguridad.
Mayor satisfacción de los usuarios y clientes.
Cumplimiento de los SLAs.
5.2.4. Gestión de la Disponibilidad Este proceso se encarga de optimizar y evaluar los servicios de TI para que estos se lleven a cabo de acuerdo a niveles de calidad y no existe alguna interrupción. La satisfacción del cliente y la rentabilidad de los servicios TI dependen en gran medida de su éxito.
79
Figura 33. Gestión de la Disponibilidad
Actividades:
Planificación: se debe elaborar planes de disponibilidad a corto y mediano plazo, colaborar en el diseño de servicios para asegurar su disponibilidad presente y futura, participar en los planes de recuperación del servicio para optimizar la disponibilidad.
Mantenimiento:
es
responsable
de
colaborar
en
las
actividades de recuperación del servicio, gestionar las interrupciones
del
servicio
para
su
mantenimiento
y
actualización, minimizar en la medida del posible en impacto de las posibles interrupciones del servicio.
Monitorización: se deben establecer métricas claras que permitan medir objetivamente la disponibilidad de los diferentes servicios TI, elaborar informes para los clientes y organización con información detallada sobre disponibilidad, n° de fallos del sistema, tiempo medio entre fallas.
Métricas La Gestión de la Disponibilidad debe elaborar periódicamente informes sobre su gestión que incluyan información relevante tanto para los clientes como para el resto de la organización TI. Estos informes deben incluir: 80
Técnicas y métodos utilizados para la prevención y el análisis de fallos.
Información estadística sobre: Tiempos de detección y respuesta a los fallos. Tiempos de reparación y recuperación del servicio. Tiempo medio de servicio entre fallos.
Disponibilidad real de los diferentes servicios.
Cumplimiento de los SLAs en todo lo referente a la disponibilidad y fiabilidad del servicio.
Cumplimiento de los OLAs y UCs en todo lo referente a la capacidad de servicio prestada por los proveedores internos y externos.
5.2.5. Gestión de Continuidad de Servicios TI Este proceso se encarga de elaborar planes de contingencia para asegurar la continuidad del servicio, su principal objetivo es impedir que una imprevista y grave interrupción de los servicios de TI, como consecuencia de desastres naturales u otras fuerzas de causa mayor, traigan consigo consecuencias catastróficas para la organización. La estrategia de la Gestión de la Continuidad del Servicio (ITSCM) debe combinar equilibradamente procedimientos:
Proactivos:
que
buscan
impedir
o
minimizar
las
consecuencias de una grave interrupción del servicio.
Reactivos: cuyo propósito es reanudar el servicio tan pronto como sea posible (y recomendable) tras el desastre.
81
Figura 34. Gestión de Continuidad del Servicio de TI
Actividades
Políticas: establecer una política en la que se establezca el alcance de la misma, se asignen los recursos necesarios, se establezcan las bases para la organización del proceso.
Planificación: se debe estudiar el impacto en el negocio de una supuesta interrupción de los diferentes servicios TI, analizar los riesgos y vulnerabilidades a los que está expuesta la infraestructura TI, establecer una clara estrategia para la continuidad del servicio.
Implementación:
es
responsable
de
organizar
la
implantación del proceso, elaborar los planes de prevención y recuperación del servicio, establecer los protocolos de actuación en situación de crisis.
Supervisión: se debe supervisar el proceso evaluando regularmente los planes de prevención y recuperación, asegurar el conocimiento y formación del personal respecto a los procedimientos asociados, garantizar que los planes se hallen convenientemente actualizados.
82
Métricas La Gestión de la Continuidad del Servicio debe elaborar periódicamente
informes
sobre
su
gestión
que
incluyan
información relevante para el resto de la organización TI. Estos informes deben incluir:
Análisis sobre nuevos riesgos y evaluación de su impacto.
Evaluación de los simulacros de desastre realizados.
Actividades de prevención y recuperación realizadas.
Costes asociados a los planes de prevención y recuperación.
Preparación y capacitación del personal TI respecto a los planes y procedimientos de prevención y recuperación.
5.2.6. Gestión de la Seguridad de la Información Este proceso se encarga de velar que la información sea correcta y completa, que siempre esté a disposición del negocio y que se encuentre actualizada solo para aquellas personas que tienen autorización de hacerlo.
Figura 35. Gestión de la Seguridad de la Información
83
Actividades
Política de Seguridad: se debe asegurar que sus objetivos se alineen con la del negocio, se coordinen correctamente todos los procesos TI, se establezcan asignen recursos y responsabilidades.
Planificación: se debe elaborar un plan de seguridad que recoja las necesidades de los clientes y protocolos de acceso a la información, colaborar con la gestión de niveles de servicio en la elaboración de los SLAs y contratos de apoyo.
Implementación: es responsable de aplicar las medidas de seguridad establecidas en la política y plan de seguridad, formar al personal respecto a los procedimientos de seguridad y acceso a la información, colaborar en la resolución de incidentes relacionados con la seguridad.
Mantenimiento: se debe hacer cumplir con los estándares de seguridad acordados con los clientes, elevando RFCs a la gestión de Cambios para mejorar los niveles de servicio.
Evaluación: garantizar que se cumplan los planes y procedimientos establecidos, informar a los clientes y organización TI de posibles vulnerabilidades o errores procedimentales.
Métricas
Disminución del número de incidentes relacionados con la seguridad.
Un acceso eficiente a la información por el personal autorizado.
Gestión proactiva, que permita identificar vulnerabilidades potenciales antes de que estas se manifiesten y provoquen una seria degradación de la calidad del servicio.
84
5.2.7. Gestión de Proveedores Se encarga de negociar la relación con los suministradores de servicios de los cuales depende la organización TI. Se encarga de negociar buscando la mayor calidad a un precio adecuado.
Figura 36. Gestión de Proveedores
Actividades
Requisitos: se deben considerar informes económicos de la gestión financiera, estrategias y acuerdos de nivel de servicio, condiciones de servicio a prestar.
Evaluación y selección: un buen proveedor debe adecuarse a los requisitos previamente definidos, contar con referencias de otras empresas del sector, ser capaz de prestar el servicio en los términos de calidad y disponibilidad requeridos.
Clasificación y Documentación: contratos de provisión del servicio, nivel de actuación de cada proveedor.
Rendimiento: se debe evaluar si los proveedores están cumpliendo los niveles de servicio acordados, integrar adecuadamente los procesos de la organización.
85
Renovación y Terminación: se encarga de renovar los contratos y hacer las modificaciones oportunas, terminar los contratos si ya no se necesitan los servicios del proveedor.
Métricas Indicadores de que el negocio no se ha visto afectado por el nivel de calidad en los servicios que prestan los proveedores:
Incremento en el número de proveedores que alcanzan los objetivos establecidos en el contrato.
Reducción del número de incumplimientos de objetivos contractuales.
Indicadores de que los servicios de apoyo están alineados con las necesidades y objetivos de la organización:
Incremento en el número de servicios y revisiones de contrato.
Incremento en el número de proveedores y objetivos contractuales alineados con los objetivos contenidos en los SLA y SLR.
Indicadores de que la disponibilidad de los servicios no se ve comprometida por el rendimiento de los proveedores:
Reducción en el número de interrupciones de servicio provocadas por los proveedores.
Reducción en el número de amenazas de interrupción de servicio provocadas por proveedores.
Indicadores de que la organización es consciente de que pueden aparecer problemas en la gestión de proveedores y conoce quién debe ocuparse de ellos:
Incremento en el número de proveedores para los que se ha asignado un responsable.
86
Incremento en el número de contratos en los que figura un responsable.
5.3. Transición del Servicio Esta fase encarga de integrar todos los productos y servicios definidos en la fase del diseño al entorno de producción y que estos servicios sean accesible a los clientes y usuarios autorizados. Sus principales objetivos se resumen en:
Supervisar y dar soporte a todo el proceso de cambio del nuevo (o modificado) servicio.
Garantizar que los nuevos servicios cumplen los requisitos y estándares de calidad estipulados en las fases de Estrategia y la de Diseño.
Minimizar los riesgos intrínsecos asociados al cambio reduciendo el posible impacto sobre los servicios ya existentes.
Mejorar la satisfacción del cliente respecto a los servicios prestados.
Comunicar el cambio a todos los agentes implicados.
5.3.1. Planificación y Soporte a la Transición Este proceso se encarga de planificar y coordinar todos los recursos que va a ser utilizados para poner en marcha el servicio en el tiempo, calidad y costos definidos previamente.
Figura 37. Planificación y soporte a la Transición
87
Actividades
Estrategia: de definen políticas generales y metodología, Actores implicados, requisitos internos y externos.
Preparación: documentación del SDP, RFCs a implementar, requisitos del cliente, elementos de configuración, criterios de evaluación y reporte.
Planificación: se encarga de estructurar el cambio en etapas, tareas y actividades; asignar los recursos para cada tarea, definir los criterios de aceptación para cada etapa, establecer plazos de entrega.
Métricas
Número de proyectos gestionados. Es decir, el número de versiones desplegadas (rollout) que han sido objeto de planificación y soporte.
Porcentaje de entregas (respecto al total de entregables) que se ajustaron a lo acordado con el cliente en cuanto a coste, calidad y alcance.
Ajuste al presupuesto del proyecto, comparando el consumo de recursos humanos y financieros previstos con los que se usaron realmente.
Retrasos en proyectos, comparando las fechas de entrega reales con las que en un principio se habían definido en la planificación.
5.3.2. Gestión de Cambios Este proceso de encarga de evaluar y planificar el proceso de cambio para de esta forma asegurar que en el caso que se lleve a cabo se realice de forma eficiente siguiendo los procedimientos establecidos y asegurando en todo momento la calidad y continuidad del servicio TI.
88
Figura 38. Gestión de Cambios
Actividades
RFC: cualquier cambio parte de una petición
Registro: El RFC debe ser registrado para poder monitorear todo el proceso de cambio.
Aceptado: debe ser aceptado por el gestor de cambios.
Clasificación: se debe clasificar el cambio de acuerdo a su prioridad y categoría.
Aprobación
y
Planificación:
se
debe
elaborar
los
calendarios realistas del cambio, cumplimiento de los objetivos previstos, minimización de incidencias secundarias.
Roll-Out: entorno de desarrollo, entorno de pruebas, implementación.
Cierre: tras la implementación e debe evaluar el cambio.
Métrica
FCs solicitados.
Porcentaje de RFCs aceptados y aprobados.
Número de cambios realizados clasificados por impacto y prioridad y filtrados temporalmente.
Tiempo medio del cambio dependiendo del impacto y la prioridad. 89
Número de cambios de emergencia realizados.
Porcentaje de cambios exitosos en primera instancia, segunda instancia, etc.
Numero de back-outs con una detallada explicación de los mismos.
Evaluaciones post-implementación.
Porcentajes de cambios cerrados sin incidencias ulteriores.
Incidencias asociadas a cambios realizados.
5.3.3. Gestión de Configuración y Activos del Servicio Las cuatro principales funciones de la Gestión de la Configuración y Activos TI pueden resumirse en:
Llevar el control de todos los elementos de configuración de la infraestructura TI con el adecuado nivel de detalle y gestionar dicha información a través de la Base de Datos de Configuración (CMDB).
Proporcionar información precisa sobre la configuración TI a la Planificación y Soporte a la Transición en su papel de coordinación del cambio para que ésta pueda establecer las fases y plazos en que se articulará la Transición.
Interactuar con las Gestiones de Incidencias, Problemas, Cambios y Entregas y Despliegues de manera que éstas puedan resolver más eficientemente las incidencias, encontrar rápidamente la causa de los problemas, realizar los cambios necesarios para su resolución y mantener actualizada en todo momento la CMDB.
Monitorizar periódicamente la configuración de los sistemas en el entorno de producción y contrastarla con la almacenada en la CMDB para subsanar discrepancias.
90
Figura 39.Gestión de Configuración y Activos del Servicio
Actividades
Planificación: se requiere la adecuada asignación de recursos, definición del alcance.
Clasificación: se debe definir los códigos y nomenclatura utilizados, los esquemas de relaciones entre componentes, atributos utilizados.
Monitorización: para conocer el estado de los componentes en el ciclo de vida.
Control: se debe asegurar que todos los componentes estén registrados en la CMDB, monitorizar el estado de todos los componentes, informar sobre el estado de las licencias.
Auditorías: teniendo como objetivo el correcto registro de los activos, la comunicación con la gestión de cambios.
Métricas Entre la documentación generada cabría destacar:
Alcance y nivel de detalle de la CMDB.
Desviaciones entre la información almacenada en la CMDB y la obtenida de las auditorias de configuración.
91
Información sobre CIs que han estado involucrados en incidentes.
Costes asociados al proceso.
Sistemas de clasificación y nomenclatura utilizados.
Informes sobre configuraciones no autorizadas y/o sin licencias.
Calidad del proceso de registro y clasificación.
Información estadística y composición de la estructura TI.
5.3.4. Gestión de Entregas y Despliegues Es te proceso de gestión de entregas y despliegues se encarga de administrar, implementar y llevar un control de calidad de todo el software y hardware instalado en el entorno de producción. Se relaciona directamente con la gestión de cambios y la configuración de activos de TI.
Figura 40. Gestión de Entregas y Despliegues
Actividades
Entorno
de
Desarrollo:
planificación
y
política
de
lanzamientos de nuevas versiones, diseño de la versión
92
Diseño de la Versión o compra de la misma a terceros, desarrollo y configuración de versiones.
Entorno de Pruebas: creación de un entorno realista de pruebas, planificación del lanzamiento, comunicación y formación de los usuarios.
Entorno de Producción: instalar la nueva versión e n el entorno de producción, supervisar la calidad del entorno de producción.
Métricas Es imprescindible elaborar informes que permitan evaluar el rendimiento de la Gestión de Entregas y Despliegues.
Para que estos informes ofrezcan una información precisa y de sencilla evaluación es necesario elaborar métricas de referencia que cubran aspectos tales como:
Número de lanzamientos de nuevas versiones.
Número de back-outs y razones de los mismos.
Incidencias asociadas a nuevas versiones.
Cumplimientos de los plazos previstos para cada despliegue.
Asignación de recursos en cada caso.
Corrección y alcance de la CMDB y la DS.
Existencia de versiones ilegales de software.
Adecuado registro de las nuevas versiones en la CMDB.
Incidencias
provocadas
por
uso
incorrecto
(formación
inadecuada) de la nueva versión por parte de los usuarios.
Disponibilidad del servicio durante y tras el proceso de lanzamiento de la nueva versión.
5.3.5. Gestión de Validación y Pruebas Este proceso se encarga de garantizar que todas las versiones de hardware y software cumplan con los requisitos mínimos de
93
calidad los cuales fueron acordados con el cliente, para que de esta forma al momento que se encuentren operativos no vayan a provocar ningún error inesperado. El proceso de Validación y Pruebas se relación con otros procesos como: gestión del catálogo de servicios, gestión de niveles de servicio, planificación y soporte a la transición, gestión de cambios, gestión de entregas y despliegues.
Figura 41. Gestión de Validación y Pruebas
Actividades
Validación: se define el modelo de pruebas, los protocolos de testeo y la planificación, se validan los paquetes de servicios, las ofertas y los contratos.
Construcción: se garantiza que todos los componentes de la versión cumplen los criterios de calidad, el escenario de pruebas debe idéntico al de producción (software, hardware, datos).
Pruebas: se evalúa el correcto funcionamiento de la versión, los procedimientos automáticos o manuales de instalación,
94
Aceptación y Reporte: en un informe se debe reportar las actividades
realizadas,
lista
de
errores
detectados,
información y conocimiento adquirido.
Limpieza y Cierre: se compara la planificación inicial con el desarrollo real de las pruebas para comprobar si se ha cumplido los previsto en cuanto a plazos, criterios y recursos empleados.
Métricas
Porcentaje de componentes que no superan los test de aceptación.
Número de errores conocidos que se registran durante la etapa de pruebas.
Tiempo de demora en la subsanación de errores.
Número de incidentes atribuibles a las nuevas versiones.
Porcentaje de test de aceptación del servicio que no obtienen la aprobación del cliente.
5.3.6. Gestión de Evaluación Este proceso se encarga de recoger y analizar toda la información relacionada sobre algún cambio o nuevo servicio y proceder a elaborar los informes necesarios para tomar decisiones. Este proceso está relacionado directamente con los procesos de: diseño del servicio, gestión de cambios, validación y pruebas del servicio.
95
Figura 42. Gestión de Evaluación
Actividades
Planificación: se analizan los recursos disponibles, efectos de cambio en las personas implicadas, grado en el que el servicio se ajusta al propósito y uso.
Rendimiento: si los riesgos son excesivos o no se cumplen los criterios de aceptación, si el rendimiento previsto es satisfactorio, se procede a evaluar el rendimiento real.
Informe evaluación: debe contener perfil de riesgos, reporte de desviaciones, recomendaciones y control de calidad.
Métricas
Número de evaluaciones solicitadas para nuevos servicios o cambios en un periodo determinado.
Número
de
evaluaciones
entregadas
en
un
periodo
determinado.
Número de evaluaciones que permanecen en la cola de tareas.
Tiempo medio de elaboración de una evaluación desde que ésta es solicitada hasta que se entrega.
Desviación de las evaluaciones de rendimiento previsto respecto de las evaluaciones reales. 96
5.3.7. Gestión del Conocimiento La gestión del conocimiento se encarga de almacenar toda la información relacionada al servicio en un repositorio denominado Sistema de Gestión de Conocimiento del Servicio (SKMS), para ello se establecen unos criterios de registro.
Figura 43. Gestión del Conocimiento
Actividades
Estrategia:
se
establecen
las
políticas
generales,
procedimientos de registro, revisión y validación de datos, roles de gestión, condiciones de administración.
Transferencia: apoya a personas, equipos y departamentos.
Gestión: definir requisitos para el registro de datos e información,
definir
la
arquitectura
de
la
información,
evaluación y propuestas de mejora. Métricas
Número de solicitudes de entradas nuevas recibidas en un periodo específico.
Número de solicitudes de modificaciones/actualizaciones enviadas en un periodo específico. 97
Número de entradas nuevas publicadas en la base de datos del SKMS en un periodo específico.
Número de entradas modificadas en la base de conocimiento en un periodo específico.
Número de incidentes que recurrieron a entradas existentes en la base de conocimiento en un periodo específico.
Tiempo ahorrado gracias al uso de la base de conocimiento. Se calcula comparando el tiempo medio de resolución de incidentes
que
se
cerraron
empleando
la
base
de
conocimiento con los que no la usaron.
Número de peticiones de autoayuda que declararon que la base de conocimiento ayudó en la resolución de un asunto en un periodo determinado.
5.4. Operación del Servicio La fase de operación del servicio se pude decir que es la más importante y la más crítica de todo el ciclo de vida del servicio, debido a que los resultados de este proceso dependen de la percepción que los clientes y usuarios tengan de la calidad de los servicios prestados. El objetivo de todo el ciclo de vida es que todos los servicios sean correctamente prestados aportando valor y utilidad para el cliente de acuerdo a los niveles de calidad acordados. Es evidente que nada serviría haber realizado una correcta estrategia, diseño y transición si la entrega falla.
Los principales objetivos de la fase de Operación del Servicio incluyen:
Coordinar e implementar todos los procesos, actividades y funciones necesarias para la prestación de los servicios acordados con los niveles de calidad aprobados.
Dar soporte a todos los usuarios del servicio.
Gestionar la infraestructura tecnológica necesaria para la prestación del servicio.
98
5.4.1. Gestión de Eventos Este proceso se encarga de monitorizar todos los eventos que sucedan para poder anticipar posibles problemas, resolverlos e incluso prevenirlos. Para la monitorización de eventos encontramos dos tipos:
Herramientas de Monitorización Activa: consiste en evaluar uno a uno los elementos de configuración para su estado y actividad, en el caso se encuentre alguna falla se procede generar un alerta.
Herramientas
de
monitorización
pasiva:
Detectan
y
correlacionan alertas operacionales generadas por los propios CIs.
Figura 44. Gestión de Eventos
Actividades
El proceso se inicia cuando aparece un evento.
El evento se procede a notificar
Lee la notificación y se interpreta los datos relacionados con el suceso
Se pasa a clasificar el evento
Se interpreta el evento teniendo en cuenta categorización y nivel de prioridad. 99
Se procede a verificar el tipo de disparador
Se procede a dar solución al evento
Se revisan si las acciones son las correctas
Se procede al cierre.
Métricas
Número de eventos, por categorías.
Número de eventos, por importancia.
Número y porcentaje de eventos que requirieron de intervención humana y cómo fue esa intervención.
Número y porcentaje de eventos que desembocaron en el registro de una nueva incidencia o solicitud de cambio.
Número y porcentaje de eventos ocasionados por problemas ya existentes o errores conocidos.
Número y porcentaje de eventos repetidos o duplicados. Esto es relevante para optimizar la función de Correlación.
Número y porcentaje de eventos relacionados con problemas de rendimiento.
Número y porcentaje de eventos que indican futuros problemas de disponibilidad.
Número y porcentaje de cada tipo de evento, por plataforma o aplicación.
Número y ratio de eventos por comparación al número de incidentes.
5.4.2. Gestión de Incidencias Este proceso se encarga de resolver de manera más rápida y eficaz posible, cualquier incidente que causa alguna interrupción en el servicio.
100
Figura 45. Gestión de Incidencias
Actividades
La incidencia es comunicada por el usuario
Esta incidencia pasa al Service Desk
Se procede a la consulta al KDB
Si existe antes en problema y se tiene la solución se procede y se cierre el incidente
si no existe la solución se pasa a establecer la prioridad del incidente para que se resuelto.
Métricas
Número de incidentes clasificados temporalmente y por prioridades.
Tiempos de resolución clasificados en función del impacto y la urgencia de los incidentes.
Nivel de cumplimiento del SLA.
Costes asociados.
Uso de los recursos disponibles en el Centro de Servicios.
Porcentaje
de
incidentes,
clasificados
por
prioridades,
resueltos en primera instancia por el Centro de Servicios.
Grado de satisfacción del cliente.
101
5.4.3. Gestión de peticiones Este proceso se encarga de atender todas las peticiones para proceder a brindarles información de los servicios que estos requieren. Es importante aclarar qué entendemos por petición de servicio, un concepto que engloba las solicitudes que los usuarios pueden plantear al departamento de TI:
Solicitudes de información o consejo.
Peticiones de cambios estándar (por ejemplo cuando el usuario olvida su contraseña y solicita una nueva)
Peticiones de acceso a servicios IT.
Figura 46. Gestión de peticiones
Actividades
Los usuarios envían sus peticiones y estas se proceden a seleccionar según la importancia.
Luego se pasa a verificar los costos asociados a esa petición para decidir si procede o no.
La petición es cursada por la persona o personas adecuadas para su tramitación
Se procede al cierre.
102
Métricas
Número total de peticiones de servicio.
Ruptura de peticiones de servicio en cada etapa.
Tamaño de la copia de seguridad de las peticiones más destacadas.
Tiempo medio que dura la gestión de cada tipo de petición de servicio.
Número y porcentaje de peticiones de servicio completadas en los tiempos acordados.
Coste medio de cada tipo de petición de servicio.
Nivel de satisfacción del cliente con la gestión de las peticiones de servicio
5.4.4. Gestión de Problemas Las funciones principales de la Gestión de Problemas son:
Investigar las causas subyacentes a toda alteración, real o potencial, del servicio TI.
Determinar posibles soluciones a las mismas.
Proponer las peticiones de cambio (RFC) necesarias para restablecer la calidad del servicio.
Realizar Revisiones Post-Implementación (PIR) para asegurar que los cambios han surtido los efectos buscados sin crear problemas de carácter secundario.
103
Figura 47. Gestión de Problemas
Actividades
Control de Problemas: se encarga de registrar y clasificar los problemas para determinar sus causas y convertirlos en errores conocidos.
Control de Errores: registra los errores conocidos y propone soluciones a los mismos mediante RFCs que son enviadas a la Gestión de Cambios. Asimismo efectúa la Revisión Post Implementación de los mismos en estrecha colaboración con la Gestión de Cambios.
Métricas
Disminución del número de incidentes y una más rápida resolución de los mismos.
Mayor eficacia en la resolución de problemas.
Gestión
proactiva,
que
permita
identificar
problemas
potenciales antes de que éstos se manifiesten o provoquen una seria degradación de la calidad del servicio.
104
5.4.5. Gestión de Acceso Es el proceso encargado de evaluar los permisos solicitados por los usuarios, para tomar las decisiones adecuadas según sea el caso.
Figura 48. Gestión de Acceso
Actividades
Todo se inicia con la petición de acceso del usuario
Se procede a verificar la persona que solicita el acceso
Se procede a verificar su identidad
Se procede a registrar y monitorizar el acceso dado para ver si se está cumpliendo con las normas.
Si el caso lo requiera se procede a eliminar algunos accesos.
Métricas
Número de peticiones de acceso.
Instancias de acceso garantizado, por servicio, usuario, departamento, etc.
Instancias de acceso garantizado por derechos de acceso de departamento o individuo.
Número de incidentes que requirieron la revocación de los permisos de acceso. 105
Número de incidentes causados por una configuración incorrecta de los accesos.
Funciones
Centro de Servicios: responsable de todo el proceso de interacción con los usuarios de los servicios TI.
Gestión de Operaciones de TI: responsable de la operación diaria del servicio.
Gestión Técnica: es una unidad funcional que incluye a todos los equipos, grupos y departamentos involucrados en la gestión y soporte de la infraestructura TI.
Gestión de Aplicaciones: esta unidad funcional es la responsable de la gestión del ciclo de vida de las aplicaciones de TI.
5.5. Mejora Continua del Servicio
5.5.1. Proceso de Mejora El principal objetivo del proceso de mejora es implementar el ciclo de Deming para la mejora de los servicios TI
Figura 49. Proceso de Mejora
106
Actividades
Debemos definir aquello que vamos a medir, es decir lo que queremos mejorar.
Para poder limitar los procesos de medida se debe tener en cuenta:
procesos
de
mediad
ya
existentes,
informes
generados.
Se procede a los recoger los datos para decidir.
Pasamos a definir las necesidades de procesamiento.
Se pasa a comprobar si se están cumpliendo los SLAs.
Se pasa a la creación del informe ya sea para el director, gestor de TI, Personal técnico, etc.
Por último se pasa a elaborar un calendario para implementar las medidas correctivas.
5.5.2. Informe de Servicios TI El proceso de Gestión de Informes tiene como principal objetivo proporcionar a todos los agentes implicados en la gestión de los servicios TI una visión objetiva, basada en datos y métricas, de la calidad y rendimiento de los servicios prestados.
Figura 50. Informe de Servicios TI
107
Actividades
Debemos definir que informes se van a generar y con qué datos.
Luego se pasa analizar los datos, su impacto en el pasado o posible impacto futuro.
Luego de procesar la información, se genera el documento adaptando
el
lenguaje
a
los
destinatarios
de
la
documentación. Métricas
Calendarios de entrega de toda la documentación aportada: Descripción individual de los informes generados Destinatarios
Informes sobre las características y calidad de los datos recogidos: Origen Calidad de los mismos Periodicidad: continua, diaria, semanal, mensual... Recogida manual o automática
Metodologías utilizadas para el procesado y análisis de los datos.
Recursos utilizados.
Feedback recibido: dirección, gestores y propietarios de servicios y procesos, personal técnico
Propuestas de mejora.
108
REFERENCIAS BIBLIOGRAFICAS
[1]
Camou, A. Los desafíos de la Gobernabilidad. Estudio Preliminar y Compilación. México, 2001.
[2]
ITGI, Institute IT Governance. «Cobit 4.1.» Estados Unidos de América, 2007.
[3]
Johnson, M. Simonsson y P. Assessment of IT Governance - A Prioritization of Cobit. KTH, Royal Institute of Technology. 2006.
[4]
Ferrer O; Fernando (s.f). COBIT: Herramienta de IT Governance., CISA. Colombia.
[5]
Ojeda, José. Un marco integrado para el GOBIERNO DE TI. 2008.
[6]
Ruiz G, Francisco. Planificación y Gestión de Sistemas de Información. 2009.
[7]
Rodríguez, Carlos. “Que es ITIL”. España, 2007.
[8]
García, Javier. “¿ITIL v2, v3 o ISO/IEC 20000?”. España 2008
[9]
Vilches, Ernesto. “Guía de Gestión de Servicios basada en Fundamentos de ITIL v3”. Madrid: LUARNA, 2010.
109