- Fundamentos de la Gestin TI
Hasta hace poco las infraestructuras informticas se limitaban a dar servicios de soporte y de alguna
forma eran equiparables con el otro material de oficina: algo importante e indispensable para el
correcto funcionamiento de la organizacin pero poco ms.
Sin embargo, en la actualidad esto ha cambiado y los servicios TI representan generalmente una parte
sustancial de los procesos de negocio. Algo de lo que es a menudo responsable el advenimiento de
ubicuas redes de informacin: sirva de ejemplo la Banca Electrnica.
Los objetivos de una buena gestin de servicios TI han de ser:
Aumentar la eficiencia
Generar negocio
ITIL nace como un cdigo de buenas prcticas dirigidas a alcanzar esas metas mediante:
1.2 Qu es ITIL?
La provisin del servicio se ocupa de los servicios ofrecidos en si mismos. En particular de los Niveles
de servicio, su disponibilidad, su continuidad, su viabilidad financiera, la capacidad necesaria de la
infraestructura TI y los niveles de seguridad requeridos
El siguiente diagrama interactivo resume sucintamente los principales aspectos de la metodologa de
provisin del servicio segn los estndares ITIL:
1.2.4Forum ITSMF
El ITSMF es el nico Forum completamente independiente reconocido por el sector de la Gestin de
Servicios Informticos. Esta asociacin, con fines no lucrativos, juega un papel predominante en el
desarrollo y promocin de un cdigo de Mejores Prcticas para la gestin de estos servicios.
En la actualidad, las empresas dependen cada vez en mayor medida de la tecnologa para la
promocin y distribucin de sus productos en el mercado, por lo que resulta imprescindible adoptar
unos estndares que permitan la correcta gestin de los procesos informticos asociados.
El objetivo del ITSMF es organizar una red de expertos en Gestin de Servicios Informticos, ofrecer
completa informacin sobre los mismos y organizar seminarios y conferencias para ayudar a las
empresas a resolver los problemas que puedan encontrar en este campo, todo ello con el objetivo de
mantener un alto nivel de calidad de lestos servicios gracias a la utilizacin de un cdigo de Mejores
Prcticas.
El sistema de certificacin est basado en los requisitos para representar eficazmente el papel
pertinente dentro de una organizacin TI. Hasta la fecha, se han entregado ms de 50.000 certificados
Foundation a profesionales de ms de 30 pases.
Hoy en da, ITIL representa mucho ms que una serie de libros tiles sobre Gestin de Servicios TI.
El marco de mejores prcticas en la Gestin de Servicios TI representa un conjunto completo de
organizaciones, herramientas, servicios de educacin y consultora, marcos de trabajo relacionados, y
publicaciones. Desde 1990, se considera a ITIL como el marco de trabajo y la filosofa compartida por
quienes utilizan las mejores prcticas ITIL en sus trabajos. Gran cantidad de organizaciones se
encuentran en la actualidad cooperando internacionalmente para promover el estndar ITIL como un
estndar de facto para la Gestin de Servicios TI.
Enlaces de inters
Podris encontrar informacin adicional en:
La logstica del servicio es compleja y los niveles de servicio muy exigentes en lo que respecta a la
calidad y los plazos de entrega.
Para mejorar sus estndares de servicio "Cater Matters" ha implementado un sofisticado sistema
informtico que le permite gestionar de una manera ms gil y eficiente sus relaciones con los clientes
as como sus procesos de produccin y distribucin.
La direccin de "Cater Matters", tras un concienzudo anlisis de la situacin, ha decidido adoptar la
metodologa ITIL como la base de todos sus procesos y servicios. Entre las decisiones adoptadas
consecuentemente caben destacar:
Creacin de un Service Desk o Centro de Servicios que centralice todas las relaciones con
los clientes y el resto de la infraestructura TI.
Pero tambin debe jugar un papel importante dando soporte al negocio identificando nuevas
oportunidades en sus contactos con usuarios y clientes.
Los clientes cada vez ms frecuentemente demandan un soporte al servicio de alta calidad, eficiente y
continuo e independiente de su localizacin geogrfica.
Es esencial para el buen desarrollo del negocio que los clientes y usuarios perciban que estan
recibiendo una atencin personalizada y gil que les ayude a:
El punto de contacto con el cliente puede tomar diversas formas dependiendo de la amplitud y
profundidad de los servicios ofrecidos:
Call Center: Su objetivo es gestionar un alto volumen de llamadas y redirigir a los usuarios,
excepto en los casos ms triviales, a otras instancias de soporte y/o comerciales.
Centro de Soporte (Help Desk): Su principal objetivo es ofrecer una primera lnea de
soporte tcnico que permita resolver en el menor tiempo las interrupciones del servicio.
Los principales beneficios de una correcta implementacin del Centro de Servicios se resumen en:
2.2.1 Implementacin
La implementacin de un Service Desk requiere una meticulosa planificacin. En primera instancia
debe establecerse:
Si se deben externalizar ciertos servicios, como, por ejemplo, el soporte tcnico del hardware.
Informar a los clientes de los beneficios de este nuevo servicio de atencin y soporte.
2.2.2 Estructura
Como ya se ha comentado anteriormente el Centro de Servicios es "EL" punto de contacto de toda la
organizacin TI con clientes y usuarios, es por lo tanto imprescindible que:
Para cumplir estos objetivos es necesario implementar la adecuada estructura fsica y lgica.
Estructura lgica
Los integrantes del Centro de Servicios deben:
Disponer de herramientas de software que les permitan llevar un registro de la interaccin con
los usuarios.
Tener rpido acceso a las bases de conocimiento para ofrecer un mejor servicio a los usuarios.
Estructura fsica
Dependiendo de las necesidades de servicio: locales, globales, 24/7,...se debe de optar por una
estructura diferente para el Centro de Servicios.
Existen tres formatos bsicos:
Centralizado
Distribuido
Virtual
Se simplifica la gestin.
Es generalmente ms caro.
gestionar la relacin con los clientes y usuarios mantenindoles puntualmente informado de todos
aquellos procesos de su inters.
A continuacin describimos algunas de las actividades que un Service Desk debera ofrecer para
merecer ese nombre:
Gestin de Incidentes
Independientemente de que la completa gestin de las incidencias requiera la colaboracin de otros
departamentos y personal, el Service Desk debe ofrecer una primera lnea de soporte para la
solucin de todas las interrupciones de servicio y/o peticiones de servicio que puedan cursar los
clientes y usuarios.
Entre sus tareas especficas se incluyen:
Identificacin de problemas.
Centro de informacin
El Service Desk debe ser la principal fuente de informacin de los clientes y usuarios, informando
sobre:
Nuevos servicios.
...
Este contacto directo con los clientes debe servir tambin para identificar nuevas oportunidades de
negocio, evaluar las necesidades de los clientes y su grado de satisfaccin con el servicio prestado.
El Centro de Servicios se encuentra en una situacin inmejorable para ofrecer tambin informacin
privilegiada a todos los procesos de gestin de los servicios TI. Es para ello imprescindible que se lleve
un adecuado registro de toda la interaccin con los usuarios y clientes.
La imagen de marca de una empresa puede depender en gran medida de la calidad del servicio
prestado por su Service Desk.
Todos hemos sufrido frustrantes experiencias con grandes empresas que prometen un soporte
continuo y de alta calidad y que a la hora de la verdad disponen de un centro de contacto con personal
poco preparado, cuando no directamente mal educado.
"El xito de su Service Desk es el xito de su empresa" y el mismo depende en gran medida de las
personas que lo integren. Es por tanto imprescindible establecer estrictos protocolos de seleccin y
formacin de su personal integrante.
Idealmente, el personal del Service Desk debe:
Comprender las necesidades de los clientes y redirigirlos, si fuera necesario, a los expertos en
cuestin.
Un continuo apoyo al equipo en la siempre difcil tarea del trato directo con los clientes.
El trabajo en equipo.
Tiempo medio de respuesta a solicitudes cursadas por correo electrnico y telfono o fax.
Nmero de llamadas gestionadas por cada miembro del personal del Service Desk.
Otra importante tarea de control es supervisar el grado de satisfaccin del cliente. Esto se puede
conseguir mediante el uso de encuestas que permitan evaluar la percepcin del cliente respecto a los
servicios prestados.
Se puede optar por cerrar cada incidente o consulta con una serie de preguntas que permitan registrar
la opinin del cliente respecto a la atencin recibida, su satisfaccin respecto a la solucin ofrecida,
etc. Toda esta informacin debe ser recopilada y analizada peridicamente para mejorar la calidad del
servicio.
Realizar una pequea promocin para presentar los nuevos servicios a los clientes existentes
y potenciales.
Habilitar un espacio web para canalizar, en la medida de los posible, la interaccin con los
usuarios a travs de este medio:
o
Consulta remota, mediante los web services asociados, del estado de los incidentes
activos, histricos de incidencias y cumplimiento de losSLAs.
FAQs actualizadas que permitan a los usuarios consultar directamente sobre los
servicios prestados, errores conocidos, etc.
Elegir una herramienta de software que ayude a registrar y gestionar todo el flujo de
informacin del Service Desk.
Al personal encargado del trato directo con usuarios y clientes sobre la aplicacin del
"Manual de Atencin al Cliente".
Sobre las herramientas de software utilizadas.
Creacin de un detallado plan de implantacin progresiva del Service Desk .
Asignar el personal
SLAcorrespondiente.
encargado
de
restaurar
el
servicio
segn
se
define
en
el
Esta actividad requiere un estrecho contacto con los usuarios, por lo que el Centro de Servicios
(Service Desk) debe jugar una papel esencial en el mismo.
El siguiente diagrama resume el proceso de gestin de incidentes:
Una CMDB ms precisa pues se registran los incidentes en relacin con los elementos de
configuracin.
Y principalmente: mejora la satisfaccin general de clientes y usuarios.
Por otro lado una incorrecta Gestin de Incidentes puede acarrear efectos adversos tales como:
Se dilapidan valiosos recursos: demasiada gente o gente del nivel inadecuado trabajando
concurrentemente en la resolucin del incidente.
Se pierde valiosa informacin sobre las causas y efectos de los incidentes para futuras
reestructuraciones y evoluciones.
Se crean clientes y usuarios insatisfechos por la mala y/o lenta gestin de sus incidentes.
No existe un margen operativo que permita gestionar los picos de incidencias por lo que
stas no se registran adecuadamente e impiden la correcta operacin de los protocolos de
clasificacin y escalado.
No estn bien definidos los niveles de calidad de servicio ni los productos soportados. Lo que
puede provocar que se procesen peticiones que no se incluan en los servicios previamente
acordados con el cliente.
Es moneda frecuente que existan mltiples incidencias concurrentes por lo que es necesario
determinar un nivel de prioridad para la resolucin de las mismas.
El nivel de prioridad se basa esencialmente en dos parmetros:
Impacto: determina la importancia del incidente dependiendo de cmo ste afecta a los
procesos de negocio y/o del nmero de usuarios afectados.
Urgencia: depende del tiempo mximo de demora que acepte el cliente para la resolucin del
incidente y/o el nivel de servicio acordado en el SLA.
Tambin se deben tener en cuenta factores auxiliares tales como el tiempo de resolucin esperado y
los recursos necesarios: los incidentes sencillos se tramitarn cuanto antes.
Dependiendo de la prioridad se asignarn los recursos necesarios para la resolucin del incidente.
La prioridad del incidente puede cambiar durante su ciclo de vida. Por ejemplo, se pueden encontrar
soluciones temporales que restauren aceptablemente los niveles de servicio y que permitan retrasar el
cierre del incidente sin graves repercusiones.
Es conveniente establecer un protocolo para determinar, en primera instancia, la prioridad del
incidente. El siguiente diagrama nos muestra un posible diagrama de prioridades en funcin de la
urgencia e impacto del incidente:
* El escalado puede incluir ms niveles en grandes organizaciones, o por el contrario , integrar diferentes niveles en el caso
de PYMES
3.3 Proceso
El siguiente diagrama muestra los procesos implicados en la correcta Gestin de Incidentes:
Nota: los botones del grfico permiten acceder a informacin mas detallada sobre la interrelacin con otros procesos TI
La admisin a tramite del incidente: el Centro de Servicios debe de ser capaz de evaluar en
primera instancia si el servicio requerido se incluye en el SLA del cliente y en caso contrario
reenviarlo a una autoridad competente.
Notificacin del incidente: en los casos en que el incidente pueda afectar a otros usuarios
estos deben ser notificados para que conozcan como esta incidencia puede afectar su flujo
habitual de trabajo.
Clasificacin
La clasificacin de un incidente tiene como objetivo principal el recopilar toda la informacin que
pueda ser de utilizada para la resolucin del mismo.
El proceso de clasificacin debe implementar, al menos, los siguientes pasos:
Disponer de Informacin Estadstica: que puede ser utilizada para hacer proyecciones futuras
sobre asignacin de recursos, costes asociados al servicio, etc.
Por otro lado una correcta Gestin de Incidentes requiere de una infraestructura que facilite su
correcta implementacin. Entre ellos cabe destacar:
Una CMDB que permita conocer todas las configuraciones actuales y el impacto que estas
puedan tener en la resolucin del incidente.
Costes asociados.
Evala la prioridad: aunque el impacto es bajo, el incidente es urgente pues el cliente necesita
rpidamente el suministro.
Registra los datos del incidente.
Propone una solucin temporal al cliente: indica una zona reservada de la web desde la que
se pueden realizar pedidos "urgentes" va email.
Tranquiliza al cliente asegurndole que mediante su servicio express recibir los helados
solicitados antes del medioda.
Realiza una serie de pruebas y comprueba que, de manera general, el sistema funciona
correctamente.
No consigue identificar la causa del incidente.
Contacta con el Service Desk y propone que se eleve el problema a la Gestin de
Problemas pero pre-calificando su prioridad como baja.
Dado el bajo impacto del incidente y el hecho de que se haya proporcionado al cliente una
solucin temporal satisfactoria no se requiere un escalado superior.
Investigar las causas subyacentes a toda alteracin, real o potencial, del servicio TI.
Proponer las peticiones de cambio (RFC) necesarias para restablecer la calidad del servicio.
Realizar Revisiones Post Implementacin (PIR) para asegurar que los cambios han surtido los
efectos buscados sin crear problemas de carcter secundario.
4.3 Proceso
Las principales actividades de la Gestin de Problemas son el:
Control de Problemas: se encarga de registrar y clasificar los problemas para determinar sus causas
y convertirlos en errores conocidos.
Control de Errores: registra los errores conocidos y propone soluciones a los mismos mediante RFCs
que son enviadas a la Gestin de Cambios. Asimismo efecta la Revisin Post Implementacin
de los mismos en estrecha colaboracin con la Gestin de Cambios.
Y cuando la estructura de la organizacin lo permite, desarrollar una Gestin de Problemas
Proactiva que ayude a detectar problemas incluso antes de que estos se manifiesten provocando un
deterioro en la calidad del servicio.
El siguiente diagrama muestra los procesos implicados en la correcta Gestin de Problemas:
Nota: los botones del grfico permiten acceder a informacin mas detallada sobre la interrelacin con
otros procesos TI
1. Identificacin y Registro
Una de las tareas principales de la Gestin de Problemas es identificar los mismos. Las principales
fuentes de informacin utilizadas son:
La base de datos de Incidentes: en principio cualquier incidente del que no se conocen sus
causas y que se ha cerrado mediante algn tipo de solucin temporal es potencialmente un
Deterioro de los Niveles de Servicio: el descenso del rendimiento puede ser una indicacin
de la existencia de problemas subyacentes que no se hayan manifestado de forma explicita como
incidentes.
Todas las reas de la infraestructura TI deben colaborar con la Gestin de Problemas para identificar
problemas reales y potenciales informando a sta de cualquier sntoma que pueda ser seal de un
deterioro en el servicio TI.
El registro de problemas es, en principio, similar al de los incidentes aunque el nfasis debe hacerse
no en los detalles especficos de los incidentes asociados sino ms bien en su naturaleza y posible
impacto.
El registro debe incorporar, entre otra, informacin sobre:
Sntomas asociados.
Soluciones temporales.
Servicios involucrados.
Es esencial tener en cuenta que no siempre el origen del problema es un error de hardware o
software. Es moneda frecuente que el problema este causado por:
Errores de procedimiento.
Documentacin incorrecta.
...
Es tambin posible que la causa del problema sea un "bug" bien conocido de alguno de las
aplicaciones utilizadas. Por lo tanto es conveniente establecer contacto directo con el entorno de
desarrollo, en caso de aplicaciones desarrolladas "en la casa", o investigar en Internet informacin
sobre errores conocidos aplicables al problema en cuestin.
Una vez determinadas las causas del problema ste se convierte en un Error Conocido y se remite al
Control de Errores para su posterior procesamiento.
Anlisis y Solucin
Se deben investigar diferentes soluciones para el error evaluando en cada momento:
En algunos casos, en los que el impacto del problema puede tener consecuencias graves en la calidad
del servicio, pueden emitirse una RFC de emergencia para su procesamiento urgente por la Gestin
de Cambios.
Una vez determinada la solucin ptima al problema y antes de elevar una RFC a la Gestin de
Cambios han de tenerse en cuenta las siguientes consideraciones:
Sea cual sea la respuesta, todo la informacin sobre el error y su solucin se registrar en las bases
de datos asociadas. En el caso en el que se considere que el problema necesita ser solucionado se
emitir una RFC. Ser responsabilidad de la Gestin de Cambios la implementacin de los cambios
de infraestructura propuestos.
Gestin proactiva que permita identificar problemas potenciales antes de que estos se
manifiesten o provoquen una seria degradacin de la calidad del servicio.
Una eficaz Gestin de Problemas tambin requiere determinar claramente quienes son los
responsables de cada proceso. Sin embargo, en pequeas organizaciones es recomendable no
segmentar en exceso las responsabilidades para evitar los costes asociados: sera poco eficaz y
contraproducente asignar unos recursos humanos desproporcionados al proceso de identificacin y
solucin de problemas.
Impacto: leve. El incidente ha sido resuelto sin una interrupcin grave del servicio.
Los analistas deciden que el origen ms probable del problema est en los mdulos de registro de la
aplicacin.
Comprobacin de la causa ms probable: con la ayuda de la informacin registrada por la Gestin
de Incidentes:
Se comprueba que el error slo se reproduce con una determinada marca de helados.
Se comprueba que dicha marca de helados tiene un apstrofe en el nombre y que eliminado
ste se registra el pedido sin problemas.
Verificacin:
Resolucin ms rpida de los problemas, que redunda en una mayor calidad de servicio.
Una fuente habitual de problemas es la incompatibilidad entre diferentesCIs, drivers
desactualizados, etc. La deteccin de estos errores sin una CMDBactualizada alarga
considerablemente el ciclo de vida de un problema.
Control de licencias. Se pueden identificar tanto copias ilegales de software que pueden
suponer tanto peligros para la infraestructura TI en forma de virus, etc. como incumplimientos de
los requisitos legales que pueden repercutir negativamente en la organizacin.
Mayores niveles de seguridad. Una CMDB actualizada permite, por ejemplo, detectar
vulnerabilidades en la infraestructura.
Las principales dificultades con las que topa la Gestin de Configuraciones son:
Herramientas inadecuadas: es necesario disponer del software adecuado para agilizar los
procesos de registro y sacar el mximo provecho de la CMDB.
5.2.1 Definiciones
A lo largo de este captulo hemos utilizado y utilizaremos con profusin conceptos tales como
elementos de configuracin (CI) y base de datos de gestin de configuraciones (CMDB) es por lo
tanto conveniente que nos detengamos en dar una definicin precisa de ambos.
Elementos de configuracin: todos, tanto los componentes de los servicios TI como los servicios
que stos nos ofrecen, constituyen diferentes elementos de configuracin. A modo de ejemplo
citaremos:
Dispositivos de hardware como PCs, impresoras, routers, monitores, etc. as como sus
componentes: tarjetas de red, teclados, lectores de CDs, ...
En resumen, todos los componentes que han de ser gestionados por la organizacin TI.
Base de Datos de la Gestin de Configuraciones: esta base de datos debe incluir:
La CMDB no se limita a una mera enumeracin del stock de piezas sino que nos brinda una imagen
global de la infraestructura TI de la organizacin.
5.3 Proceso
Las principales actividades de la Gestin de Configuraciones son:
Planificacin: determinar los objetivos y estrategias de la Gestin de Configuraciones.
Clasificacin y Registro: los CIs deben ser registrados conforme al alcance, nivel de profundidad y
nomenclatura predefinidos.
Monitorizacin y Control: monitorizar la CMDB para asegurar que todos los componentes
autorizados estn correctamente registrados y se conoce su estado actual.
Realizacin de auditoras: para asegurar que la informacin registrada en la CMDB coincide con la
configuracin real de la estructura TI de la organizacin.
5.3.1 Planificacin
La Gestin de Configuraciones es uno de los pilares de la metodologa ITIL por sus interrelaciones e
interdependencias con el resto de procesos. Por ello su implantacin es particularmente compleja.
Aunque ofrecer un detallado plan de implementacin de la Gestin de Configuraciones va mucho
ms all de lo que aqu podemos ofrecer, creemos conveniente, al menos, destacar algunos puntos
que consideramos esenciales:
Establecer claramente:
o
El alcance y objetivos.
El nivel de detalle
Una falta de planificacin conducir con total certeza a una Gestin de Configuracionesdefectuosa
con las graves consecuencias que esto supondr para el resto de los procesos.
Los objetivos sean realistas: una excesiva profundidad o detalle puede sobrecargar de
trabajo a la organizacin y resultar, a la larga, en una dejacin de responsabilidades.
La informacin sea suficiente: debe existir, al menos un registro de todos los sistemas
crticos para la infraestructura TI.
Alcance
En primer lugar habremos de determinar que sistemas y componentes TI van a ser incluidos en la
CMDB:
Es esencial incluir al menos todos los sistemas de hardware y software implicados en los
servicios crticos.
Se debe determinar que CIs deben incluirse dependiendo del estado de su ciclo de vida. Por
ejemplo, pueden obviarse componentes que ya han sido retirados.
En general cualquier servicio o proceso es susceptible de ser incluido en la CMDB pero unos objetivos
en exceso ambiciosos pueden resultar contraproducentes.
Nomenclatura
Aunque este sea un aspecto muy tcnico es de vital importancia predefinir los cdigos de clasificacin
de los CIs para que el sistema sea funcional:
La identificacin debe ser, por supuesto, nica y si es posible interpretable por los usuarios.
Este cdigo debe ser utilizado en todas las comunicaciones referentes a cada CI y si es
posible debe ir fsicamente unido al mismo (mediante una etiqueta de difcil eliminacin).
Los cdigos no deben ser slo utilizados para componentes de hardware sino tambin para
documentacin y software.
5.3.3 Monitorizacin
Es imprescindible conocer el estado de cada componente en todo momento de su ciclo de vida. Esta
informacin puede ser de gran utilidad, por ejemplo, a la Gestin de Disponibilidad para conocer
que CIs han sido responsables de la degradacin de la calidad del servicio.
Puede ser de gran utilidad para el anlisis el uso de herramientas de software que ofrezcan
representaciones visuales del ciclo de vida de las componentes, organizados por diferentes filtros
(tipo, fabricante, responsable, costes, etc.).
Por ejemplo, puede resultar interesante para la Gestin Financiera la monitorizacin del ciclo de vida
de , digamos, los switches instalados a la hora de adoptar decisiones de compra de nuevo material:
5.3.4 Control
La Gestin de Configuraciones debe estar puntualmente informada de todos los cambios y
adquisiciones de componentes para mantener actualizada la CMDB.
El registro de todas las componentes de hardware debe iniciarse desde la aprobacin de su compra y
debe mantenerse actualizado su estado en todo momento de su ciclo de vida. Asimismo, debe estar
correctamente registrado todo el software "en produccin".
Las tareas de control deben centrarse en:
5.3.5 Auditoras
El objetivo de las auditoras es asegurar que la informacin registrada en la CMDB coincide con la
configuracin real de la estructura TI de la organizacin.
Existen herramientas que permiten una gestin remota, centralizada y automtica de los elementos de
configuracin de hardware y software. La informacin recopilada puede ser utilizada para actualizar la
CMDB.
Si el alcance de la CMDB incluye aspectos como documentacin, SLAs, personal, etc. es necesario
complementar estos datos con auditoras manuales. stas deben realizarse con cierta frecuencia y al
menos:
Comunicacin con la Gestin de Cambios: informacin sobre RFCs , cambios realizados, ...
Servidores de Internet.
SLAs
El haber optado por una serie de configuraciones estndar permite alcanzar un gran nivel de detalle
sin necesidad de realizar un esfuerzo desmedido por lo que se han registrado:
Configuraciones de software:
o
Sistemas operativos.
Aplicaciones instaladas.
Documentacin asociada.
Configuraciones de hardware:
o
A su vez se han instalado herramientas de gestin que permiten la monitorizacin remota de todas
esas configuraciones y la realizacin de auditoras peridicas automatizada6.- s.
Imperativo legal.
Estn justificados.
Los principales beneficios derivados de una correcta gestin del cambio son:
Se evalan los verdaderos costes asociados al cambio y por lo tanto es ms sencillo valorar el
retorno real a la inversin.
La CMDB est correctamente actualizada, algo imprescindible para la correcta gestin del
resto de procesos TI.
La implementacin de una adecuada poltica de gestin de cambios tambin se encuentra con algunas
serias dificultades:
Los Gestores del Cambio no disponen de las herramientas adecuadas de software para
monitorizar y documentar adecuadamente el proceso.
Gestor de Cambios: es el responsable del proceso del cambio y como tal debe ser el ltimo
responsable de todas las tareas asignadas a la Gestin de Cambios. En grandes organizaciones
el Gestor de Cambios puede disponer de un equipo de asesores especficos para cada una de las
diferentes reas.
Consultores externos.
6.3 Proceso
Las principales actividades de la Gestin de Cambios se resumen en:
Convocar reuniones del CAB, excepto en el caso de cambios menores, para la aprobacin de
las RFCs y la elaboracin del FSC.
Nota: los botones del grfico permiten acceder a informacin mas detallada sobre la interrelacin con
otros procesos TI.
6.3.1 Registro
El primer paso del proceso de cambio es registrar adecuadamente las RFCs.
El origen de una RFC puede ser de muy distinta ndole:
Estrategia empresarial: la direccin puede decidir una redireccin estratgica que puede
afectar, por ejemplo, a los niveles de servicio ofrecidos o a la implantacin de un nuevo CRM,
etc. y que por regla general requieren de cambios de hardware, software y/o procedimientos.
Imperativo legal: un cambio de legislacin (como, por ejemplo, la LOPD) puede exigir
cambios en la infraestructura TI.
Otro: en principio cualquier empleado, cliente o proveedor puede sugerir mejoras en los
servicios que pueden requerir cambios en la infraestructura.
No siempre un cambio implica una RFC. Para cambios de escasa importancia o que se repiten
peridicamente pueden acordarse procedimientos estndar que no requiera la aprobacin de
laGestin de Cambios en cada caso.
Independientemente de su origen el correcto registro inicial de una RFC requerir, cuando menos, de
los siguientes datos:
Fecha de recepcin.
Motivacin.
Propsito.
CIs involucrados.
Tiempo estimado.
Estatus: que inicialmente ser el de "registrado".
Este registro deber ser actualizado con toda la informacin generada durante el proceso para permitir
un detallado seguimiento del mismo desde su aprobacin hasta la evaluacin final y cierre.
La informacin de registro debe ser actualizada durante todo el proceso y debe incluir al menos:
Prioridad y categora.
Recursos asignados.
Fecha de implementacin.
Plan de implementacin.
Cronograma.
Revisin post-implementacin.
Evaluacin final.
Fecha de cierre.
Clasificacin
Tras su aceptacin se deben asignar a la RFC una prioridad y categora dependiendo de la urgencia y
el impacto de la misma.
La prioridad determinar la importancia relativa de esta RFC respecto a otras RFCs pendientes y ser
el dato relevante para establecer el calendario de cambios a realizar.
La categora determina la dificultad e impacto de la RFC y ser el parmetro relevante para
determinar la asignacin de recursos necesarios, los plazos previstos y el nivel de autorizacin
requerido para la implementacin del cambio.
Aunque el rango de posibles prioridades pueda ser tan amplio como se desee se debera considerar
una clasificacin que incluyera, al menos, los siguientes niveles de prioridad:
Baja: puede ser conveniente realizar este cambio junto a otros cuando, por ejemplo, se
decidan actualizar ciertos paquetes de software o se compre nuevo hardware, etc.
Normal: Es conveniente realizar el cambio pero siempre que ello no entorpezca algn otro
cambio de ms alta prioridad.
Alta: un cambio que debe realizarse sin demora pues esta asociado a errores conocidos que
deterioran apreciablemente la calidad del servicio. El CAB debe evaluar este cambio en su
prxima reunin y adoptar las medidas pertinentes que permitan una pronta solucin.
Disponemos de los recursos necesarios para llevar a cabo el cambio con garantas de xito?
Cul ser el impacto general sobre la infraestructura y la calidad de los servicios TI?
En el caso de cambios que tengan un alto impacto debe tambin consultarse a la direccin pues
pueden entrar en consideracin aspectos de carcter estratgico y de poltica general de la
organizacin.
Una vez aprobado el cambio (en caso contrario se seguira el proceso ya descrito para el caso de no
aceptacin) debe evaluarse si este ha de ser implementado aisladamente o dentro de un "paquete de
cambios" que formalmente equivaldran a un solo cambio. Esto tiene algunas ventajas:
6.3.4 Implementacin
Aunque la Gestin de Cambios NO es la encargada de implementar el cambio, algo de lo que se
encarga habitualmente la Gestin de Versiones, si lo es de supervisar y coordinar todo el proceso.
En la fase de desarrollo del cambio se deber monitorizar el proceso para asegurar que:
Si es posible, debe permitirse el acceso restringido de usuarios al entorno de pruebas para que
realicen una valoracin preliminar de los nuevos sistemas en lo que respecta a su:
Funcionalidad.
Usabilidad.
Accesibilidad.
La opinin de los usuarios debe ser tomada en cuenta y la RFC debe ser revisada en caso de que se
encuentren objeciones justificadas al cambio (debe tenerse en cuenta la resistencia habitual al cambio
por parte de cierto tipo de usuarios).
Los clientes y proveedores no deben percibir el cambio como algo inesperado. Es funcin tanto de la
Gestin de Cambios como del Service Desk mantener informados a los usuarios de los futuros
cambios y, dentro de lo posible, hacerles participes del mismo:
Aclarando sus dudas y dando soporte cuando ello sea necesario: la percepcin de mejora
debe ser compartida por usuarios y clientes.
6.3.5 Evaluacin
Antes de proceder al cierre del cambio es necesario realizar una evaluacin que permita valorar
realmente el impacto del mismo en la calidad del servicio y en la productividad de la organizacin.
Los aspectos fundamentales a tener en cuenta son:
Se pusieron en marcha los planes de "back-out" en alguna fase del proceso?Por qu?
Si la evaluacin final determina que el proceso y los resultados han sido satisfactorios se proceder al
cierre de la RFC y toda la informacin se incluir en la PIR asociada.
Gestin de Cambios
Cualquier interrupcin del servicio de alto impacto, ya sea por el nmero de usuarios afectados o
porque se han visto involucrados sistemas o servicios crticos para la organizacin, debe encontrar una
respuesta inmediata. Es frecuente que la solucin al problema requiera un cambio y que ste haya de
realizarse siguiendo un procedimiento de urgencia.
El procedimiento a seguir en estos casos debe estar debidamente previsto. Por ejemplo, se deben
establecer protocolos de validacin de los cambios urgentes que pueden requerir:
Como el objetivo prioritario en estos casos es restaurar el servicio es a menudo frecuente que los
procesos asociados sigan un orden inverso al usual: tanto los registros en la CMDB como la
documentacin asociada al cambio se realicen a posteriori.
Es, sin embargo, esencial que al cierre del cambio de emergencia se disponga de la misma
informacin de la que dispondramos tras un cambio normal. Si esto no fuera as se podran provocar
situaciones de cambios futuros incompatibles, configuraciones registradas incorrectas, etc. que seran
fuente de nuevas incidencias y problemas.
RFCs solicitados.
Evaluaciones post-implementacin.
Nmero de reuniones del CAB con informacin estadstica asociada: nmero de asistentes,
duracin, n de cambios aprobados por reunin, etc.
Gestin de Cambios
Los clientes y proveedores de "Cater Matters" estn utilizando cada vez ms los servicios online de la
empresa para gestionar tanto los pedidos como la cadena de suministro.
El sistema implantado en la actualidad, aunque cumple bsicamente con los objetivos de negocio, no
estaba diseado para soportar un nivel de actividad elevado. Tanto la Gestin de Disponibilidad
como la Gestin de la Capacidad han informado de deficiencias en el proceso y de futuros cuellos de
botella si se sigue con el ritmo de crecimiento actual.
Por otro lado, la direccin de la empresa ha decidido reforzar su presencia online y ofrecer a sus
clientes unos ms elevados niveles de servicio para incrementar su cuota de mercado.
Todo ello requiere un cambio sustancial en la estructura de software y hardware de los servicios de
Internet y su interconexin con el software de gestin interna de la organizacin (ERP).
Por todo ello ha sido la propia direccin de la empresa la que ha elevado una RFC a la Gestin de
Cambios que tiene por objetivos:
Se convoca una reunin del CAB para la cual se solicita la asistencia de los responsables de ecommerce y programacin web.
Se solicita una evaluacin preliminar del proyecto a una consultora externa que supervis
todo el proceso de implementacin del sistema actual.
Previamente a la reunin del CAB el Gestor del Cambio elabora, en estrecha colaboracin con las
Gestiones de la Capacidad, de la Disponibilidad, Financiera y de Niveles de Servicio, as como
con la direccin y Gestin de Proyectos:
Una encuesta para que el Service Desk sondee la opinin de los clientes respecto a los
posibles cambios.
Desarrolla un plan que permita la convivencia temporal de ambos sistemas online para
asegurar la continuidad del servicio:
o
Duplicacin de toda la estructura web: se compraran nuevos servidores para que los
antiguos puedan prestar servicio permanentemente y estn dispuestos inmediatamente
para el "back-out".
Informa a la Gestin de Configuraciones sobre todos los CIs afectados por el cambio.
Solicita la colaboracin de la misma consultora que implanto el sistema actual para que realice
una auditoria externa de todo el proceso.
Elabora toda la informacin necesaria para que la Gestin de Versiones comience todo el
proceso de pruebas e implementacin.
Tras la implementacin del cambio y en colaboracin con el "Soporte al Servicio" y la "Provisin del
Servicio" la Gestin de Cambios:
Evala el proceso.
Gestin de Versiones
Introduccin y Objetivos
Las complejas interrelaciones entre todos los elementos que componen una infraestructura TI
convierten en tarea delicada la implementacin de cualquier cambio.
La Gestin de Cambios es la encargada de aprobar y supervisar todo el proceso pero es tarea
especfica de la Gestin de Versiones el disear, poner a prueba e instalar en el entorno de
produccin los cambios preestablecidos.
Todo ello requiere de una cuidadosa planificacin y coordinacin con el resto de procesos asociados a
la Gestin de Servicios TI.
Entre los principales objetivos de la Gestin de Versiones se incluyen:
El proceso de pruebas asociado no slo permite asegurar la calidad del software y hardware a
instalar sino que tambin permite conocer la opinin de los usuarios sobre la funcionalidad y
usabilidad de las nuevas versiones.
El correcto mantenimiento de la DSL impide que se pierdan (valiosas) copias de los archivos
fuente.
Las principales dificultades con las que topa la Gestin de Versiones son:
Se realizan cambios sin tener en cuenta a la Gestin de Versiones argumentado que estos
slo son responsabilidad de un determinado grupo de trabajo o que su "urgencia" requera de
ello.
Gestin de Versiones
Conceptos bsicos
Una versin es un grupo de CIs de nueva creacin o modificados que han sido validados para su
instalacin en el entorno de produccin. Las especificaciones funcionales y tcnicas de una versin
estn determinadas en la RFC correspondiente.
Las versiones pueden clasificarse, segn su impacto en la infraestructura TI, en:
Versiones menores: que suelen implicar la correccin de varios errores conocidos puntuales
y que a menudo son modificaciones que vienen a implementar de una manera correctamente
documentada soluciones de emergencia.
Como pueden llegar a existir mltiples versiones es conveniente definir una referencia o cdigo que los
identifique unvocamente. El sistema universalmente aceptado es:
Aunque en algunos casos esta clasificacin se refina an ms (vea, por ejemplo, en la ayuda la versin
de su navegador).
En su ciclo de vida una versin puede encontrase en diversos estados: desarrollo, pruebas, produccin
y archivado.
El siguiente diagrama nos ilustra grficamente la evolucin temporal de una versin:
Versin delta: slo se testean e instalan los elementos modificados. Esta opcin tiene como
ventaja su mayor simplicidad pero conlleva el peligro de que puedan aparecer problemas e
incompatibilidades en el entorno de produccin.
Versin completa: Se distribuyen todos los elementos afectados ya hayan sido modificados
o no. Aunque esta opcin es obviamente ms trabajosa es ms improbable que se generen
incidentes tras la instalacin si se han realizado las pruebas pertinentes.
DSL
La Biblioteca de Software Definitivo (DSL)debe contener copia de todo el software instalado en el
entorno TI. Esto incluye no solo sistemas operativos y aplicaciones sino tambin controladores de
dispositivos y documentacin asociada.
La DSL debe contener el histrico completo de versiones de un mismo software para proporcionar la
versin necesaria en caso de que se deban implementar los planes de back-out.
La DSL debe ser almacenada en un entorno seguro y es conveniente que se realicen back-up
peridicos.
DHS
El Depsito de Hardware Definitivo (DHS) contiene piezas de repuesto para los CIs en el entorno de
produccin.
Los activos almacenados deben incorporarse a la CMDB en el caso de que los CIscorrespondientes se
hallen registrados en la misma (esto puede depender del alcance y nivel de detalle de la CMDB).
Gestin de Versiones
Proceso
Las principales actividades de la Gestin de Versiones se resumen en:
Poner a prueba las nuevas versiones en un entorno que simule lo mejor posible el entorno de
produccin.
Llevar a cabo los planes de back-out o retirada de la nueva versin si esto fuera necesario.
Comunicar y formar a los clientes y usuarios sobre las funcionalidades de la nueva versin.
Gestin de Versiones
Planificacin
Es crucial establecer un marco general para el lanzamiento de nuevas versiones que fije una
metodologa de trabajo. Esto es especialmente importante para los casos de versiones menores y de
emergencia pues en el caso de lanzamientos de gran envergadura se deben desarrollar planes
especficos que tomen en cuenta las peculiaridades de cada caso.
A la hora de planificar correctamente el lanzamiento de una nueva versin se deben de tomar en
cuenta los siguientes factores:
Cmo puede afectar la nueva versin a otras reas del entramado TI.
Cmo ha de construirse el entorno de pruebas para que ste sea fiel reflejo del entorno de
produccin.
Cmo y cundo se deben implementar los planes de back-out para minimizar el posible
impacto negativo sobre el servicio y la integridad del sistema TI.
Cules son los recursos humanos y tcnicos necesarios para llevar a cabo la implementacin
de la nueva versin con garantas de xito.
Quines sern los responsables directos en las diferentes etapas del proceso
Qu planes de comunicacin y/o formacin deben desarrollarse para que los usuarios estn
puntualmente informados y puedan percibir la nueva versin como una mejora.
Si es posible establecer mtricas precisas que determinen el grado de xito del lanzamiento
de la nueva versin.
Gestin de Versiones
Desarrollo
La Gestin de Versiones es la encargada del diseo y construccin de las nuevas versiones
siguiendo las pautas marcadas en las RFCs correspondientes.
A veces el desarrollo se realizara "en la casa" y muchas otras requerir la participacin de proveedores
externos. En este segundo caso, la tarea de la Gestin de Versiones ser la de asegurar que el
paquete o paquetes de software o hardware ofrecidos cumple las especificaciones detalladas en la
RFC. Asimismo, la Gestin de Versiones ser la responsable de todo el proceso de configuracin
necesario.
El desarrollo debe incluir, si esto fuera necesario o simplemente recomendable, todos los scripts de
instalacin necesarios para el despliegue de la versin. Estos scripts debern tener en cuenta aspectos
tales como:
Parte integrante del desarrollo lo componen los planes de back-out asociados. Estos tendrn que
tomar en cuenta la disponibilidad acordada con los clientes en los SLAs correspondientes.
Gestin de Versiones
Validacin
Un bien planificado protocolo de tests es absolutamente indispensable para lanzar al entorno de
produccin una nueva versin con razonables garantas de xito.
Las pruebas no deben limitarse a una validacin de carcter tcnico (ausencia de errores) sino que
tambin deben realizarse pruebas funcionales con usuarios reales para asegurarse de que la versin
cumple los requisitos establecidos y es razonablemente usable (siempre existe una inevitable
resistencia al cambio en los usuarios que debe ser tenida en consideracin).
Es importante que las pruebas incluyan los planes de back-out para asegurarnos que se podr volver a
la ltima versin estable de una forma rpida, ordenada y sin perdidas de valiosa informacin.
Las principales actividades realizadas en el proceso de prueba deben incluir:
La Gestin de Cambios ser la encargada de dar la validacin final a la versin para que se proceda
a su instalacin. Si la versin no fuera aceptada se devolver a la Gestin de Cambiospara su
reevaluacin.
Gestin de Versiones
Implementacin
Llego el momento de la verdad: la distribucin de la nueva versin, tambin conocida como rollout.
El rollout puede ser de varios tipos:
El procedimiento de rollout debe ser cuidadosamente documentado para que todas las partes
conozcan sus tareas y responsabilidades especficas. En particular los usuarios finales deben estar
puntualmente informados del calendario de lanzamiento y de cmo este puede afectar a sus
actividades diarias.
Los CIs que deben borrarse e instalarse y en que orden debe realizarse este proceso.
Cundo debe realizarse este proceso para diferentes grupos de trabajo y/o localizaciones
geogrficas.
Que mtricas determinan la puesta en marcha de los planes de back-out y si estos deben ser
completos o parciales.
Los usuarios estn debidamente informados de las nuevas funcionalidades y han recibido la
formacin necesaria para poder sacar el adecuado provecho de las mismas.
Tras la implementacin, la Gestin de Versiones debe ser puntualmente informada por elService
Desk de los comentarios, quejas, incidentes, etc. que la nueva versin haya podido suscitar. Toda esta
informacin deber ser analizada para asegurar que las prximas versiones incorporen las sugerencias
recibidas y que se tomen las medidas correctivas necesarias para minimizar el impacto negativo que
puedan tener futuros cambios.
Gestin de Versiones
Comunicacin y Formacin
Es frecuente, y a su vez un grave error, que cuando se aborden cuestiones de carcter tcnico se
obvie el factor humano.
Salvo contadas excepciones, es necesaria la interaccin usuario-aplicacin y sta suele representar el
eslabn ms dbil de la cadena.
Es intil disponer de un sofisticado servicio TI si los usuarios , debido a una incompleta (in)formacin,
no se encuentran en disposicin de aprovechar sus ventajas.
La (in)formacin debe estructurarse en distintos niveles:
Los usuarios deben conocer el prximo lanzamiento de una nueva versin y conocer con
anterioridad la nueva funcionalidad planificada o los errores que se pretenden resolver para
participar, a su discrecin, en el proceso.
Siempre que sea posible las pruebas de carcter funcional deben ser realizadas por un selecto
grupo de usuarios finales. Durante este proceso de prueba se documentarn y analizarn:
o
o
o
Se desarrollar una pgina de FAQs donde los usuarios puedan aclarar las dudas ms
habituales y puedan solicitar ayuda o soporte tcnico en el uso de la nueva versin.
Gestin de Versiones
Incidencias provocadas por uso incorrecto (formacin inadecuada) de la nueva versin por
parte de los usuarios.
Gestin de Versiones
Caso Prctico
La Gestin de Cambios ha aprobado (vase el caso prctico del captulo anterior) un RFC que tiene
como principales objetivos:
Contacta con sus proveedores habituales de desarrollo web para establecer de forma precisa
las especificaciones del nuevo software y establecer un calendario de desarrollo.
Duplica la estructura web: se compran nuevos servidores para que los antiguos puedan
prestar servicio permanentemente y estn dispuestos inmediatamente para el "back-out".
Se crean scripts de traduccin que permitan salvar los nuevos datos en la versin anterior
para evitar su perdida en caso de back-out.
Se establece un calendario de pruebas con usuarios reales para que estos puedan probar y
"aprobar" el nuevo servicio.
II.
Se desarrolla un manual de usuario para la nueva versin y se crea una pgina FAQsen la
web que incluyen las dudas ms frecuentes elevadas por los usuarios en la fase de pruebas.
Se informa a los usuarios sobre la nueva versin y se avisa de posibles y cortas interrupciones
del servicio en la fecha de instalacin.
Se actualiza la CMDB.
Visin General
El objetivo ltimo de la Gestin de Niveles de Servicio es poner la tecnologa al servicio del cliente.
La tecnologa, al menos en lo que respecta a la gestin de servicios TI, no es un fin en s misma sino
un medio para aportar valor a los usuarios y clientes.
La Gestin de Niveles de Servicio debe velar por la calidad de los servicios TI alineando tecnologa
con procesos de negocio y todo ello a unos costes razonables.
Para cumplir sus objetivos es imprescindible que la Gestin de Niveles de Servicio:
Monitorice la calidad del servicio respecto a los objetivos establecidos en los SLAs.
Introduccin y Objetivos
La Gestin de Niveles de Servicio es el proceso por el cual se definen, negocian y supervisan la
calidad de los servicios TI ofrecidos.
Colaborar estrechamente con el cliente para proponer servicios TI realistas y ajustados a sus
necesidades.
Establecer los acuerdos necesarios con clientes y proveedores para ofrecer los servicios
requeridos.
Elaborar los informes sobre la calidad del servicio y los Planes de Mejora del Servicio (SIP).
Los servicios TI son diseados para cumplir sus autnticos objetivos: cubrir las necesidades
del cliente.
Se facilita la comunicacin con los clientes impidiendo los malentendidos sobre las
caractersticas y calidad de los servicios ofrecidos.
Los clientes conocen y asumen los niveles de calidad ofrecidos y se establecen claros
protocolos de actuacin en caso de deterioro del servicio.
La gestin TI conoce y comprende los servicios ofrecidos lo que facilita los acuerdos con
proveedores y subcontratistas.
Los SLAs ayudan a la Gestin TI tanto a calcular los clculos de costes como a justificar su
precio ante los clientes.
Lo que repercute a la larga en una mejora del servicio con la consecuente satisfaccin de clientes y
usuarios.
No existe una buena comunicacin con clientes y usuarios por lo que los SLAsacordados no
recogen sus necesidades reales.
Los acuerdos de nivel de servicio estn basados ms en deseos y expectativas del cliente que
en servicios que la infraestructura TI puede ofrecer con un nivel de calidad suficiente.
Los SLAs son excesivamente prolijos y tcnicos incumpliendo as sus objetivos primordiales.
No se dedican los recursos suficientes pues la direccin los considera como un gasto aadido y
no como parte integral del servicio ofrecido.
Problemas de comunicacin: no todos los usuarios conocen las caractersticas del servicio y
los niveles de calidad acordados.
Conceptos bsicos
Proveedores, clientes y usuarios
Cliente: es la empresa u organismo que contrata los servicios TI ofrecidos.
Usuarios: las personas que utilizan el servicio.
Proveedor: es la empresa u organismo que proporciona los servicios solicitados por el cliente.
Catlogo de Servicios
El Catlogo de Servicios no es slo una herramienta imprescindible a la hora de simplificar la
comunicacin con el cliente sino que tambin puede ser una gran ayuda tanto a la organizacin
interna como a la proyeccin exterior de la organizacin TI.
El Catlogo de Servicios debe:
Describir los servicios ofrecidos de manera no tcnica y comprensible para clientes y personal
no especializado.
Utilizarse como gua para orientar y dirigir a los clientes.
Incluir, en lneas generales, los niveles de servicio asociados con cada uno de los servicios
ofrecidos.
Encontrarse a disposicin del Service Desk y todo el personal que se halle en contacto
directo con los clientes.
Hojas de Especificacin
Las Hojas de Especificacin son, primordialmente, documentos tcnicos de mbito interno que
delimitan y precisan los servicios ofrecidos al cliente.
Las Hojas de Especificacin deben evaluar los recursos necesarios para ofrecer el servicio requerido
con un nivel de calidad suficiente y determinar si es necesario el outsourcing de determinados
procesos, sirviendo de documento de base para la elaboracin de los OLAs y UCscorrespondientes.
Estimacin de recursos.
En resumen, el SQP debe contener la informacin necesaria para que la organizacin TI conozca los
procesos y procedimientos involucrados en el suministro de los servicios prestados, asegurando que
estos se alineen con los procesos de negocio y mantengan unos niveles de calidad adecuados.
Proceso
Las principales actividades de la Gestin de Niveles de Servicio se resumen en:
Planificacin:
o
Asignacin de recursos.
Negociacin.
Contratos de Soporte.
Nota: los botones del grfico permiten acceder a informacin mas detallada sobre la interrelacin con
otros procesos TI.
Planificacin
La correcta planificacin de la Gestin de Niveles de Servicio requiere la implicacin de
prcticamente todos los estamentos de la organizacin TI. Y, si esto no fuera ya de por s una labor lo
suficientemente compleja, resulta imprescindible la colaboracin activa de los clientes y usuarios de
los servicios TI.
El objetivo primordial de la Gestin de Niveles de Servicio es definir, negociar y monitorizar la
calidad de los servicios TI ofrecidos. Si los servicios no se adecuan a las necesidades del cliente, la
calidad de los mismos es deficiente o sus costes son desproporcionados, tendremos clientes
insatisfechos y la organizacin TI ser responsable de las consecuencias que se deriven de ello.
Todo el proceso de planificacin previo debe estar orientado a dar respuestas a las siguiente
preguntas:
Cules sern los indicadores clave de rendimiento para los servicios prestados?
Disponemos de los recursos necesarios para proveer los servicios propuestos con los niveles
de calidad acordados?
La respuesta a cada una de estas preguntas debe darse en forma de documentos, algunos de carcter
interno y otros accesibles a los clientes, que pasamos a describir sucintamente a continuacin.
En primer lugar la Gestin de Niveles de Servicio debe poner a disposicin de toda la organizacin,
pero en especial a disposicin del Service Desk y la fuerza de ventas un Catlogo de Servicios.
Este catlogo de servicios debe describir, en un lenguaje comprensible para los no expertos, los
productos y servicios ofrecidos junto a indicaciones generales del nivel de servicio ofrecido, tales como
disponibilidad, tiempos de respuesta, etc.
La elaboracin de este Catlogo de Servicios puede resultar una tarea compleja pues es necesario
alinear aspectos tcnicos con polticas de negocio pero es un documento imprescindible pues:
Sirve de gua a los clientes a la hora de seleccionar un servicio que se adapte a sus
necesidades.
Sin embargo, en la mayora de los casos, por muy detallado y completo que sea el Catlogo de
Servicios, la complejidad de los servicios ofrecidos requiere un largo y extenso periodo de negociacin
con el cliente.
Los resultados de esta interaccin/negociacin deben ser incorporados al documento de Requisitos de
Nivel de Servicio (SLR) que debe reflejar las necesidades del cliente y sus expectativas respecto a:
Etc.
La informacin contenida en el SLR debe servir de base para elaborar la documentacin interna que
permita determinar "cmo" se prestara el servicio y "quin o quines" sern responsables del mismo.
Las Hojas de Especificacin del Servicio deben contener:
Una descripcin detallada, con todos los detalles tcnicos necesarios, sobre como se prestar
el servicio.
Cules sern los indicadores internos de rendimiento y calidad del servicio.
Si la prestacin del servicio requiere la interaccin con los servicios TI del cliente o presentas
exigencias tcnicas a su infraestructura, est informacin deber reflejarse en una Hoja de
Especificaciones "externa" que habr de acordarse con el cliente y su responsables tcnicos.
El Plan de Calidad del Servicio (SQP) debe ser el documento maestro para la gestin interna de los
servicios prestados y contener informacin detallada sobre todos los procesos TI involucrados en la
prestacin de los servicios.
En funcin de los requisitos plasmados en las Hojas de Especificacin del Servicio se elabora un plan
global que permita asignar los recursos a la organizacin TI, establecer metas claras basadas en los
indicadores de rendimiento elegidos y asegurar que los niveles de calidad ofrecidos se adaptan a las
necesidades de los clientes y a los compromisos asumidos por la organizacin.
En caso de que se estimen insuficientes los recursos internos o sencillamente se considere oportuno
externalizar parte de los servicios el SQP servir de documento gua para el establecimiento de los
contratos con los proveedores externos.
Implementacin
La fase de planificacin debe concluir con la elaboracin y aceptacin de los acuerdos necesarios para
la prestacin del servicio.
Estos acuerdos incluyen los Acuerdos de Nivel de Servicio, Niveles de Operacin yContratos de
Soporte.
El OLA, por su naturaleza, involucra detalles sobre la prestacin del servicio que deben ser opacos
para el cliente pero que resultan imprescindibles a la organizacin TI para su organizacin.
Contratos de Soporte
Los Contratos de Soporte (UCs) determinan las responsabilidades de los proveedores externos en el
proceso de prestacin de servicios.
Mientras que los OLAs son documentos internos susceptibles de cierto dinamismo, los Contratos de
Soporte deben representar compromisos claros y perfectamente delimitados. A pesar de esta
diferencia crucial, los UCs pueden considerarse como una extensin "externa" de los OLAs en el
sentido de que persiguen el mismo fin: organizar los procesos y procedimientos necesarios para la
correcta provisin del servicio.
Monitorizacin
El proceso de monitorizacin de los niveles de servicio es imprescindible si queremos mejorar
progresivamente la calidad del servicio ofrecido, su rentabilidad y la satisfaccin de los clientes y
usuarios.
La monitorizacin de la calidad del servicio requiere el seguimiento tanto de procedimientos y
parmetros internos de la organizacin como los relacionados con la percepcin de los usuarios.
Para llevar a cabo esta tarea de manera eficiente es necesario haber establecido con anterioridad unos
baremos de calidad del servicio que han de servir de gua en la elaboracin de los informes
correspondientes.
Las principales fuentes principales de informacin las constituyen:
La Gestin de Incidentes: que debe informar de las incidencias en el servicio y los tiempos
de recuperacin.
El Centro de Servicios (Service Desk): que mediante su trato diario con los clientes,
usuarios y organizacin TI supervisa la calidad de los servicios y conoce la percepcin del cliente
respecto a los mismos.
Los informes de rendimiento elaborados deben cubrir factores clave tales como:
Cumplimiento de los SLAs, con informacin sobre la frecuencia y el impacto de los incidentes
responsables de la degradacin del servicio.
Tiempos de respuesta.
Calidad del servicio de los proveedores externos: nivel de cumplimiento de los OLAs.
Revisin
La correcta Gestin de Niveles de Servicio es un proceso continuo que requiere la continua revisin
de la calidad de los servicios ofrecidos.
Esta revisin debe realizarse en base a parmetros objetivos y metrizables resultado de la experiencia
previa, los SLAs en vigencia y la evolucin del Catlogo de Servicios.
Este proceso de revisin no debe limitarse a aquellos SLAs que por una razn u otra han sido
incumplidos, aunque, evidentemente, en estos casos sea inexcusable, sino que debe tener como
objetivo mejorar y homogeneizar la calidad del servicio.
El resultado de la revisin debe ser un Programa de Mejora del Servicio (SIP) que tome en cuenta
factores tales como:
Avances tecnolgicos.
Reasignacin de recursos.
El SIP debe ser el documento base para negociar la renovacin del SLA con el cliente y debe
constituir un documento de referencia para la gestin de otros procesos TI como la Gestin de
Cambios, Gestin de Problemas, etc.
Planes de Mejora: donde se especifiquen las acciones propuestas para la mejora del servicio
TI y el impacto que estas han tenido en la calidad del servicio.
Caso Prctico
La direccin de "Cater Matters" ha decidido implementar una Gestin de Niveles de Servicioque
adapte a las necesidades de su organizacin los principios y recomendaciones de ITIL.
Para llevar a cabo esta tarea de la forma ms eficiente posible se han determinado una serie de
acciones iniciales que se resumen en:
Elaborar y mantener actualizado un catlogo de los servicios ofrecidos por "Cater Matters".
Determinar los Planes de Mejora del Servicio que solucionen las deficiencias en la calidad de
los servicios prestados y/o adapten estos servicios a las nuevas necesidades de los clientes y a
los ltimos avances tecnolgicos.
Interactuar con los otros procesos TI para asegurar que todos ellos reciben y aportan la
informacin necesaria para el ptimo funcionamiento de la organizacin.
Particulares.
Pequeas empresas.
El objetivo del catlogo no es slo dar a conocer los diferentes servicios sino mostrar claramente al
(potencial) cliente cuales son las diferencias entre las diferentes opciones de un mismo "servicio
base".
Para ello se elabora un catlogo online que permite comparar las diferentes "versiones" y realizar una
estimacin preliminar de los costes basndose en las diferentes opciones seleccionadas.
La descripcin de cada servicio incluye informacin adicional sobre:
Plazos de entrega.
Servicios auxiliares.
WebServices asociados.
Programas de fidelizacin.
Soporte online.
SLAs prototipo
A fin de evitar que la elaboracin de los SLAs se convierta en una tarea excesivamente compleja y
tediosa se desarrollan plantillas para los diferentes tipos de servicios y clientes.
Cada SLA prototipo incluye:
Tiempos de respuesta.
Visin General
Aunque casi todas las empresas y organizaciones utilizan las tecnologas de la informacin en
prcticamente todos sus procesos de negocio es moneda corriente que no exista una conciencia real
de los costes que esta tecnologa supone.
Esto conlleva serias desventajas:
El principal objetivo de la Gestin Financiera es el de evaluar y controlar los costes asociados a los
servicios TI de forma que se ofrezca un servicio de calidad a los clientes con un uso eficiente de los
recursos TI necesarios.
Si la organizacin TI y/o sus clientes no son conscientes de los costes asociados a los servicios no
podrn evaluar el retorno a la inversin ni podrn establecer planes consistentes de inversin
tecnolgica.
Introduccin y Objetivos
La Gestin Financiera de los Servicios Informticos tiene como objetivo principal administrar de
manera eficaz y rentable los servicios y la organizacin TI.
Por regla general, a mayor calidad de los servicios mayor es su coste, por lo que es necesario evaluar
cuidadosamente las necesidades del cliente para que el balance entre ambos sea ptimo.
Asesorar al cliente sobre el valor aadido que proporcionan los servicios TI prestados.
Los principales beneficios de una correcta Gestin Financiera de los Servicios Informticosse
resumen en:
Es difcil encontrar personal que est familiarizado tanto con los servicios TI como con
aspectos financieros y/o contables.
Existen mltiple costes ocultos difciles de evaluar por una deficiente organizacin financiera.
No existe una estrategia clara que permita elaborar unos presupuestos ajustados a la misma.
Conceptos Bsicos
Categoras de coste
La clasificacin de costes por servicio o producto puede realizarse en virtud de uno a ms criterios:
Costes atribuibles, directa o indirectamente a la prestacin del servicio o elaboracin del producto:
Costes Directos: son los costes relacionados especfica y exclusivamente con un producto o
servicio, como por ejemplo, los servidores web asociados a los servicios de Internet.
Costes indirectos: aquellos que nos son especficos y exclusivos de un servicio, como por
ejemplo, la "conectividad" de la organizacin TI de la que dependen tanto los servicios web como
la propia plataforma general de comunicaciones. Estos costes son ms difciles de determinar y
por lo general son prorrateados entre los diferentes servicios y productos.
Costes variables: incluyen aquellos costes que dependen del volumen de produccin y
engloban, por ejemplo, los gastos de personal que presta los servicios, los fungibles, etc.
Tipos de coste
Es imprescindible distinguir entre los diferentes tipos de coste para disear una poltica de precios
clara y consistente.
Los tipos de coste se subdividen a su vez en elementos de coste. El siguiente diagrama nos muestra
una tpica estructura de tipos y elementos de coste para una organizacin TI:
* Los costes de Transferencia se corresponden con los cargos internos por servicios prestados por
otros departamentos de la empresa o institucin.
Proceso
Las principales actividades de la Gestin Financiera se resumen se resumen en:
Presupuestos:
Elaboracin de presupuestos.
Contabilidad:
o
Fijacin de precios:
o
Nota: los botones del grfico permiten acceder a informacin mas detallada sobre la interrelacin con
otros procesos TI.
Presupuestos
La elaboracin de presupuestos TI tiene como objetivos principales:
Los presupuestos realizados pueden tener diferentes horizontes temporales. Pueden ser a corto plazo,
incluyendo los costes de los servicios prestados en la actualidad, o resultar de una proyeccin sobre la
evolucin prevista del negocio en dos o ms aos.
Aunque no existe una nica manera de realizar un presupuesto TI son mtodos habituales:
Para que estos presupuestos sean realistas y sirvan realmente de referencia a la organizacin TI es
necesario identificar previamente todos los elementos de coste.
La estimacin de los costes asociados a esos elementos no es siempre una tarea sencilla y a menudo
influyen factores externos que no se hallan bajo el control directo de la organizacin TI, como por
ejemplo el aumento del precio de las licencias del software, etc.
Es imprescindible que los presupuestos tengan en cuenta estas incertidumbres y se muestren
precavidos al respecto para evitar que se conviertan en papel mojado al menor vaivn del mercado.
Contabilidad
En principio, la contabilidad asociada a los servicios TI sigue patrones similares a la contabilidad
asociada a otros servicios o departamentos. Sin embargo, la complejidad de las interrelaciones TI
dificulta el proceso cuando los responsables de su contabilidad desconocen sus mecanismos bsicos y
la tecnologa que los sustenta.
Es esencial que el proceso contable tenga en cuenta esa complejidad y a su vez no alcance un
excesivo nivel de detalle que lo encarezca ms all de lo razonable.
Las actividades contables deben permitir:
Una correcta evaluacin de los costes reales para su comparacin con los presupuestados.
costes de Personal,
costes generales,
Poltica de Precios
No es habitual que se fijen los precios de los servicios TI cuando el cliente es la propia organizacin,
pero ste es un paso esencial si buscamos que se utilice eficientemente la infraestructura TI.
Para que la organizacin TI pueda funcionar como una verdadera unidad de negocio es imprescindible
tanto conocer los costes reales de los servicios prestados como establecer una poltica de precios que,
cuando menos, permita recuperar los costes en los que se ha incurrido.
En primer lugar debe establecerse una poltica de fijacin de precios. Existen mltiples opciones, entre
ellas:
Coste ms margen: se establecen los costes totales del servicio y se les aade un margen
de beneficios (que puede ser del 0% para "clientes internos").
Precio de mercado: se cobran los servicios en funcin de las tarifas vigentes en el mercado
para servicios de similar naturaleza.
Precio negociado: se negocia directamente con el cliente cul es el precio estipulado por los
servicios.
Precio flexible: que depende de la capacidad TI realmente utilizada y/o de los objetivos
cumplidos.
Una vez determinada la poltica de fijacin de precios se deben determinar las tarifas de los servicios
en funcin de:
La poltica elegida.
En algunas ocasiones estas tarifas sern usadas para una facturacin real mientras que en otras slo
se utilizarn de referencia para evaluar el rendimiento terico de la organizacin TI.
Supervisin
No es tarea de la Gestin Financiera de los Servicios TI sino de la Gestin de Niveles de
Servicio negociar con los clientes y elaborar el catlogo de servicios. Sin embargo, es recomendable
que, en los aspectos econmicos, su actividad sea supervisada por la Gestin Financiera.
Para ello es necesario que exista una comunicacin fluida y convenientemente estructurada entre
ambos procesos.
Por un lado la Gestin de Niveles de Servicio debe proveer informacin a la Gestin Financiera
sobre:
Previsiones de costes.
Sin una estrecha colaboracin entre ambos procesos ser imposible llegar a acuerdos que sean
rentables y a su vez satisfactorios para el cliente.
Estn los gastos en servicios e infraestructuras TI realmente alineados con los procesos de
negocio?
Opera la organizacin TI como una verdadera unidad de negocio?
En lo que respecta a los indicadores de rendimiento, estos deben incluir mtricas que permitan evaluar
si:
Resmenes contables.
Caso Prctico
La organizacin TI de "Cater Matters" lleva prestando, desde hace aos, servicios esenciales tanto a la
propia organizacin de la empresa como a los clientes externos de sus servicios de catering.
Sin embargo, hasta la fecha, los gastos TI no han sido contabilizados y presupuestados de manera
especfica y es, con los datos disponibles en la actualidad, imposible conocer el impacto de los
servicios TI en los costes de cada uno de los servicios de catering prestados.
La gestin de "Cater Matters" quiere desarrollar una poltica de fijacin de precios de los servicios TI
que le permita trasladar sus costes al usuario final del servicio de catering,en la misma medida que ya
se hace con los costes de transporte, materias primas, etc.
Para gestionar el proceso se ha nombrado a un senior manager del departamento TI y a un miembro
del departamento financiero de la empresa como responsables del mismo.
El plan de trabajo a corto plazo incluye:
En colaboracin con la Gestin de Configuraciones elaborar un listado de todos los CIs que
intervienen en la prestacin de servicios directos a los clientes.
Evaluar, prorrateando entre los diferentes servicios si esto fuera necesario, cuales son los
costes asociados al uso de los mismos: amortizacin, mantenimiento, fungibles, etc.
Estimar los costes de difcil asignacin u ocultos asociados a los servicios TI.
Todas estas actividades buscan determinar con precisin los costes asociados a los servicios TI ya
prestados y proponer tarifas que sean trasladas a los clientes, ya sea directamente o incluidas en
otras partidas de carcter general.
Pero los objetivos de una Gestin Financiera proactiva van ms all e incluyen una correcta
planificacin de gastos e inversiones futuras. Para ello y en colaboracin con la Gestin de Niveles
de Servicio, Gestin de la Capacidad y Gestin de la Disponibilidad se estudian:
La informacin recopilada servir de base para la elaboracin de los primeros "presupuestos anuales
TI" elaborados por la Gestin Financiera.
Visin General
La Gestin de la Capacidad es la encargada de que todos los servicios TI se vean respaldados por
una capacidad de proceso y almacenamiento suficiente y correctamente dimensionada.
Sin una correcta Gestin de la Capacidad los recursos no se aprovechan adecuadamente y se
realizan inversiones innecesarias que acarrean gastos adicionales de mantenimiento y administracin.
O an peor, los recursos son insuficientes con la consecuente degradacin de la calidad del servicio.
Entre las responsabilidades de la Gestin de la Capacidad se encuentran:
Asegurar que se cubren las necesidades de capacidad TI tanto presentes como futuras.
Gestin de la Capacidad
Introduccin y Objetivos
El objetivo primordial de la Gestin de la Capacidad es poner a disposicin de clientes, usuarios y el
propio departamento TI los recursos informticos necesarios para desempear de una manera
eficiente sus tareas y todo ello sin incurrir en costes desproporcionados.
Para ello la Gestin de la Capacidad debe:
Conocer los planes de negocio y acuerdos de nivel de servicio para prever la capacidad
necesaria.
La Gestin de la Capacidad intenta evitar situaciones en las que se realizan inversiones innecesarias
en tecnologas que no estn adecuadas a las necesidades reales del negocio o estn
sobredimensionadas, o por el contrario, evitar situaciones en las que la productividad se ve mermada
por un insuficiente o deficiente uso de las tecnologas existentes.
Ambos escenarios son habituales y a menudo se pueden encontrar conviviendo en una misma
organizacin: directivos, clientes e informticos deslumbrados por tecnologas que realmente no
necesitan y adquieren pero que obvian aplicaciones, equipos y servicios que realmente aumentaran la
productividad en sus respectivos entornos de trabajo.
Una de las principales tareas de la Gestin de la Capacidad es la de matizar la percepcin de que la
"capacidad es barata". Aunque el aumento de la capacidad puede requerir, en primera instancia, de
La rpida evolucin de las tecnologas puede obligar a una revisin permanente de los planes
y escenarios contemplados.
Gestin de la Capacidad
Proceso
Las principales actividades de la Gestin de la Capacidad se resumen en:
Gestin de la demanda.
Gestin de la Capacidad del Negocio: que centra su objeto de atencin en las necesidades
futuras de usuarios y clientes.
Gestin de la Capacidad del Servicio: que analiza el rendimiento de los servicios TI con el
objetivo de garantizar los niveles de servicio acordados.
Gestin de la Capacidad
Planificacin
Plan de Capacidad
La elaboracin del Plan de Capacidad es la tarea principal de la Gestin de Capacidad.
El Plan de Capacidad recoge:
Los cambios necesarios para adaptar la capacidad TI a las novedades tecnolgicas y las
necesidades emergentes de usuarios y cliente.
El Plan de Capacidad debe incluir informacin sobre los costes de la capacidad actual y prevista.
Esta informacin es indispensable para que la Gestin Financiera pueda elaborar los presupuestos y
previsiones financieras de manera realista.
Aunque, en principio, el Plan de Capacidad puede tener una vigencia anual o bianual es importante
que se monitorice su cumplimiento para adoptar medidas correctivas en cuanto se detecten
desviaciones importantes del mismo.
Modelado y Benchmarking
Cuanto ms compleja sea una infraestructura informtica ms difcil es prever las necesidades de
capacidad futura. En esos casos, es imprescindible realizar modelos y simulaciones sobre posibles
escenarios de desarrollo futuro que aseguren la correcta escalabilidad de las aplicaciones y hardware.
El nivel de detalle al que se lleve este modelado depender de varios factores:
Realizar modelos y simulaciones sobre diferentes escenarios para llevar a cabo previsiones de
carga y repuesta de la infraestructura informtica.
Gestin de la Capacidad
Recursos
Un aspecto esencial de la Gestin de la Capacidad es el de asignar recursos adecuados de
hardware, software y personal a cada servicio y aplicacin.
El correcto dimensionamiento requiere que la Gestin de la Capacidad disponga de informacin
fiable sobre:
Gestin de la Capacidad
Monitorizacin
Su objetivo principal es asegurar que el rendimiento de la infraestructura informtica se adecua a los
requisitos de los SLAs.
La monitorizacin debe incluir, adems de aspectos tcnicos todos aquellos relativos a licencias y otros
aspectos de carcter administrativo.
Anlisis y Evaluacin
Los datos recogidos deben ser analizados para evaluar la conveniencia de adoptar acciones correctivas
tales como peticin de aumento de la capacidad o una mejor Gestin de la Demanda.
Optimizacin y cambios
Si se ha optado por solicitar un aumento de la capacidad se elevar una RFC a la Gestin de
Cambios para que se desencadene todo el proceso necesario para la implementacin del cambio. La
Gestin de la Capacidad prestar su apoyo en todo el proceso y ser corresponsable, junto a la
Gestin de Cambios y Versiones de asegurar que el cambio solicitado cumpla los objetivos
previstos.
En el caso de que una simple racionalizacin de la demanda sea suficiente para solventar las posibles
deficiencias o incumplimientos de los SLAs ser la propia Gestin de la Capacidad la responsable de
gestionar ese subproceso.
Gestin de la Capacidad
Gestin de la Demanda
El objetivo de la Gestin de la Demanda es el de optimizar y racionalizar el uso de los recursos TI.
Aunque la Gestin de la Demanda debe formar parte de las actividades rutinarias de la Gestin de
la Capacidad sta cobra especial relevancia cuando existen problemas de capacidad en la
infraestructura TI.
El origen de los problemas que la Gestin de la Demanda debe subsanar a corto plazo incluyen:
cuellos de botella y evaluar si es posible una redistribucin a largo plazo de la carga de trabajo que
permita dar un servicio de calidad sin aumento de la capacidad.
Por ejemplo, una incorrecta distribucin de tareas puede provocar que el ancho de banda contratado
por la organizacin se muestre insuficiente en horas punta porque se estn enviando miles de correos
electrnicos asociados a procesos automticos (tales como campaas de marketing promocional,
informes de rendimiento para clientes, etctera). En la mayora de los casos esos procesos pueden
desplazarse fuera de horas punta sin degradar la calidad del servicio, ahorrando a la organizacin una
gravosa ampliacin del ancho de banda.
Ahora bien, si el coste aadido por aumentar el ancho de banda es marginal, puede resultar ms
eficiente su contratacin directa que invertir el precioso (y costoso) tiempo de personal altamente
especializado en la optimizacin del sistema.
La Gestin de la Capacidad debe evaluar a priori, basandose en la experiencia y las tendencias del
mercado, cundo la solucin "ms potente, ms grande" es econmicamente ms rentable (teniendo
en cuenta los costes indirectos) que un anlisis pormenorizado de la situacin.
Gestin de la Capacidad
El uso de recursos.
El xito de la Gestin de la Capacidad depende algunos indicadores clave entre los que se
encuentran:
Gestin de la Capacidad
Caso Prctico
Hasta la fecha, la Gestin de las Capacidad de "Cater Matters" haba sido reactiva, o en otras
palabras el incremento o redistribucin de la capacidad se realizaba exclusivamente cuando aparecan
los problemas.
Con el incremento de la importancia de los servicios TI, tanto para la organizacin de "Cater Matters"
como para sus clientes, la direccin de la empresa ha decidido implementar las mejores prcticas ITIL
para la Gestin de la Capacidad.
Para ello se ha nombrado un Gestor de la Capacidad que tiene como principales responsabilidades:
Evaluar, en colaboracin con la Gestin Financiera, los costes reales de cada servicio.
Realizar informes peridicos sobre el estado de la tecnologa relevante a los servicios
ofrecidos.
Analizar tendencias y estadsticas de uso y carga sobre el sistema.
Elaborar un Plan de Capacidad anual que se revisara trimestralmente frente a datos reales
extrados de la monitorizacin del sistema y de las previsiones de negocio.
Poblar la Base de Datos de la Capacidad (CDB) para que contenga toda la informacin
relevante a la capacidad.
Minimizar el nmero e impacto de futuros incidentes que degraden la calidad del servicio.
Visin General
La Gestin de la Continuidad del Servicio se preocupa de impedir que una imprevista y grave
interrupcin de los servicios TI, debido a desastres naturales u otras fuerzas de causa mayor, tenga
consecuencias catastrficas para el negocio.
La estrategia de la Gestin de
equilibradamente procedimientos:
la
Continuidad
del
Servicio
(ITSCM)
debe
combinar
Proactivos: que buscan impedir o minimizar las consecuencias de una grave interrupcin del
servicio.
Reactivos: cuyo propsito es reanudar el servicio tan pronto como sea posible (y
recomendable) tras el desastre.
La ITSCM requiere una implicacin especial de los agentes involucrados pues sus beneficios slo se
perciben a largo plazo, es costosa y carece de rentabilidad directa. Implementar la ITSCM es como
contratar un seguro mdico: cuesta dinero, parece intil mientras uno est sano y desearamos nunca
tener que utilizarlo, pero tarde o temprano nos alegramos de haber sido previsores.
Introduccin y Objetivos
Los objetivos principales de la Gestin de la Continuidad de los Servicios TI (ITSCM) se resumen
en:
Aunque, a priori, las polticas proactivas que prevean y limiten los efectos de un desastre sobre los
servicios TI son preferibles a las exclusivamente reactivas, es importante valorar los costes relativos y
la incidencia real en la continuidad del negocio para decantarse por una de ellas o por una sabia
combinacin de ambas.
Una correcta ITSCM debe formar parte integrante de la Gestin de Continuidad del Negocio(BCM)
y debe estar a su servicio. Los servicios TI no son sino una parte, aunque a menudo muy importante,
del negocio en su conjunto y no tiene mayor sentido que, por ejemplo, un sistema de pedidos online
siga funcionando a la perfeccin tras un desastre si nos resulta imposible suministrar la mercanca a
nuestros clientes.
Es importante diferenciar entre desastres "de toda la vida", tales como incendios, inundaciones,
etctera, y desastres "puramente informticos", tales como los producidos por ataques distribuidos de
denegacin de servicio (DDOS), virus informticos, etctera. Aunque es responsabilidad de la ITSCM
prever los riesgos asociados en ambos casos y restaurar el servicio TI con prontitud, es evidente que
recae sobre la ITSCM una responsabilidad especial en el ltimo caso pues:
Los principales beneficios de una correcta Gestin de la Continuidad del Servicio se resumen en:
Proceso
Las principales actividades de la Gestin de la Continuidad del Servicio se resumen en:
Analizar y prever los riesgos a los que esta expuesto la infraestructura TI.
Formar al personal sobre los procedimientos necesarios para la pronta recuperacin del
servicio.
Revisar peridicamente los planes para adaptarlos a las necesidades reales del negocio.
Nota: los botones del grfico permiten acceder a informacin mas detallada sobre la interrelacin con
otros procesos TI.
Poltica y Alcance
El primer paso necesario para desarrollar una Gestin de la Continuidad del Serviciocoherente es
establecer claramente sus objetivos generales, su alcance y el compromiso de la organizacin TI: su
poltica.
La gestin de la empresa debe demostrar su implicacin con el proceso desde un primer momento
pues la implantacin de la ITSCM puede resultar compleja y costosa sin la contrapartida de un
retorno obvio a la inversin.
Es imprescindible establecer el alcance de la ITSCM en funcin de:
La disponibilidad de recursos.
La Gestin de la Continuidad del Servicio est abocada al fracaso sino se destina una cantidad de
recursos suficientes, tanto en el plano humano como de equipamiento (software y hardware). Su
dimensin depende de su alcance y sera absurdo y contraproducente instaurar una poltica demasiado
ambiciosa que no dispusiera de los recursos correspondientes.
Una importante parte del esfuerzo debe destinarse a la formacin del personal. ste debe interiorizar
su papel en momentos de crisis y conocer perfectamente las tareas que se espera desempee: una
emergencia no es el mejor momento para estudiar documentacin y manuales.
Anlisis de Impacto
Una correcta Gestin de la Continuidad del Servicio requiere en primer lugar determinar el
impacto que una interrupcin de los servicios TI pueden tener en el negocio.
En la actualidad casi todas las empresas, grandes y pequeas, dependen en mayor o menor medida
de los servicios informticos, por lo que cabe esperar que un "apagn" de los servicios TI afecte a
prcticamente todos los aspectos del negocio. Sin embargo, es evidente que hay servicios TI
estratgicos de cuya continuidad puede depender la supervivencia del negocio y otros que
"simplemente" aumentan la productividad de la fuerza comercial y de trabajo.
Cuanto mayor sea el impacto asociado a la interrupcin de un determinado servicio mayor habr de
ser el esfuerzo realizado en actividades de prevencin. En aquellos casos en que la "solucin puede
esperar" se puede optar exclusivamente por planes de recuperacin.
Los servicios TI han de ser analizados por la ITSCM en funcin de diversos parmetros:
Prdida de rentabilidad.
Cunto se puede esperar a restaurar el servicio sin que tenga un alto impacto en los procesos
de negocio.
Compromisos adquiridos a travs de los SLAs.
Evaluacin de Riesgos
Sin conocer cuales son los riesgos reales a los que se enfrenta la infraestructura TI es imposible
realizar una poltica de prevencin y recuperacin ante desastre mnimamente eficaz.
La Gestin de la Continuidad del Servicio debe enumerar y evaluar, dependiendo de su
probabilidad e impacto, los diferentes riesgos factores de riesgo. Para ello la ITSCM debe:
Gracias a los resultados de este detallado anlisis se dispondr de informacin suficiente para
proponer diferentes medidas de prevencin y recuperacin que se adapten a las necesidades reales
del negocio.
La prevencin frente a riesgos genricos y poco probables puede ser muy cara y no estar siempre
justificada, sin embargo, las medidas preventivas o de recuperacin frente a riesgos especficos
pueden resultar sencillas, de rpida implementacin y relativamente baratas.
Por ejemplo, si el riesgo de perdida de alimentacin elctrica es elevado debido, por ejemplo, a la
localizacin geogrfica se puede optar por deslocalizar ciertos servicios TI a travs de ISPs que
dispongan de sistemas de generadores redundantes o adquirir generadores que proporcionen la
energa mnima necesaria para alimentar los CIs de los que dependen los servicios ms crticos,
etctera.
Estrategias
La continuidad de los servicios TI puede conseguirse bien mediante medidas preventivas, que eviten la
interrupcin de los servicios, o medidas reactivas, que recuperen unos niveles aceptables de servicio
en el menor tiempo posible.
Es responsabilidad de la Gestin de la Continuidad del Servicio disear actividades de prevencin
y recuperacin que ofrezcan las garantas necesarias a unos costes razonables.
Actividades preventivas
Las medidas preventivas requieren un detallado anlisis previo de riesgos y vulnerabilidades. Algunos
de ellos sern de carcter general: incendios, desastres naturales, etctera, mientras que otros
Actividades de recuperacin
Tarde o temprano, por muy eficientes que seamos en nuestras actividades de prevencin, ser
necesario poner en marcha procedimientos de recuperacin.
En lneas generales existen tres opciones de recuperacin del servicio:
"Hot standby": que requiere un emplazamiento alternativo con una replicacin continua de
datos y con todos los sistemas activos preparados para la inmediata sustitucin de la estructura
de produccin. sta es evidentemente la opcin mas costosa y debe emplearse slo en el caso de
que la interrupcin del servicio TI tuviera inmediatas repercusiones comerciales.
Por supuesto, existe otra alternativa que consiste en hacer "poco o nada" y esperar que las aguas
vuelvan naturalmente a su cauce: una alternativa poco recomendable para alguien que est hojeando
este curso sobre ITIL y del que suponemos que los servicios TI jugarn un papel importante en su
organizacin :-)
Organizacin y Planificacin
Una vez determinado el alcance de la ITSCM, analizados los riesgos y vulnerabilidades y definidas
unas estrategias de prevencin y recuperacin es necesario asignar y organizar los recursos
necesarios. Con ese objetivo la Gestin de la Continuidad del Servicio debe elaborar una serie de
documentos entre los que se incluyen:
Plan de recuperacin.
Polticas de back-ups.
Comunicacin a los usuarios y clientes de una grave interrupcin o degradacin del servicio.
Plan de recuperacin
Cuando la interrupcin del servicio es inevitable llego el momento de poner en marcha los
procedimientos de recuperacin.
El plan de recuperacin debe incluir todo lo necesario para:
Cuando se pone en marcha un plan de recuperacin no hay espacio para la improvisacin, cualquier
decisin puede tener graves consecuencias tanto en la percepcin que de nosotros tengan nuestros
clientes como en los costes asociados al proceso.
Aunque pueda resultar paradjico, un "desastre" puede ser una buena oportunidad para demostrar a
nuestros clientes la solidez de nuestra organizacin TI y por tanto incrementar la confianza que tiene
depositada en nosotros. Ya conocen el dicho: "No hay mal que por bien no venga".
Supervisin
Una vez establecidas las polticas, estrategias y planes de prevencin y recuperacin es indispensable
que estos no queden en papel mojado y que la organizacin TI est preparada para su correcta
implementacin.
Ello depende de dos factores clave: la correcta formacin del personal involucrado y la continua
monitorizacin y evaluacin de los planes para su adecuacin a las necesidades reales del negocio.
Formacin
Es intil disponer de unos completos planes de prevencin y recuperacin si las personas que
eventualmente deben llevarlos a cabo no estn familiarizados con los mismos.
Es indispensable que la ITSCM:
Ofrezca formacin
recuperacin.
Realice peridicamente simulacros para diferentes tipos de desastres con el fin de asegurar la
capacitacin del personal involucrado.
especfica
sobre
los
diferentes
procedimientos
de
prevencin
Actualizacin y auditoras
Tanto las polticas, estrategias y planes han de ser actualizados peridicamente para asegurar que
responden a los requisitos de la organizacin en su conjunto.
Cualquier cambio en la infraestructura TI o en los planes de negocio puede requerir de una profunda
revisin de los planes en vigor y una consecuente auditora que evale su adecuacin a la nueva
situacin.
En ocasiones en que el dinamismo del negocio y los servicios TI lo haga recomendable, estos procesos
de actualizacin y auditoria pueden establecerse de forma peridica.
La Gestin de Cambios juega un papel esencial en asegurar que los planes de recuperacin y
prevencin estn actualizados manteniendo informada a la ITSCM de los cambios realizados o
previstos.
Uno de los factores clave para el xito de la Gestin de la Continuidad del Servicio es mantener la
"concentracin". Tras largos periodos en los que la prevencin o, simple y llanamente, la suerte han
impedido la existencia de graves interrupciones del servicio se puede caer en un relajamiento que
puede acarrear graves consecuencias.
Por esto es imprescindible llevar controles rigurosos que impidan que la inversin y compromiso inicial
se diluyan y la ITSCM no est a la altura de la situacin cuando sus servicios sean vitales para evitar
que "un desastre se convierta en una catstrofe".
Pero si el control del proceso es importante en condiciones normales ste se vuelve crtico durante las
situaciones de crisis. La ITSCM debe garantizar:
Caso Prctico
La organizacin TI de "Cater Matters" carece de una Gestin de la Continuidad del Servicioque
merezca ese nombre.
La gestin de "Cater Matters" es consciente de la importancia que tienen en la actualidad los servicios
TI en toda su cadena de produccin y distribucin y pretende corregir esa situacin.
De entre todos los servicios TI, los asociados a la gestin de existencias, por estar compuestas de
productos perecederos, y los servicios online de pedidos son considerados de importancia estratgica
por la direccin de la empresa. Por ello se decide que en primera instancia la ITSCMdebe garantizar la
continuidad de dichos servicios en un plazo nunca superior a las 8 horas mientras que se establecen
objetivos menos ambiciosos para otros servicios.
Se asigna a un ejecutivo senior del departamento TI el papel de gestor del proceso y se le encarga
coordinar todas las actividades con la Gestin de la Continuidad del Negocio.
La Gestin de la Continuidad del Negocio ha firmado acuerdos de colaboracin con otras empresas
de catering para suministros de emergencia que cubran los clientes ms importantes:
La coordinacin en estos casos requiere el desarrollo de mdulos especiales que permitan exportar las
bases de datos de pedidos a formatos estndar de intercambio de datos para que estos puedan ser
procesados por las otras organizaciones.
Por otro lado, se desarrolla una aplicacin de gestin de emergencia de las existencias que permite
administrar los pedidos a los proveedores y preservar la integridad de las existencias dependiendo de
su informacin de caducidad y del impacto de la interrupcin del negocio en las mismas.
Se establece asimismo:
Pero la Gestin de la Continuidad del Servicio no slo debe aplicar medidas reactivas que mitiguen
el impacto de una eventual interrupcin del servicio, entre sus obligaciones se encuentran la
elaboracin de unos planes de prevencin que eviten dichas situaciones.
Para evitar interrupciones de sus servicios online la ITSCM:
Contrata servicios de "housing" con un proveedor que dispone de conexiones con varios
operadores al "backbone de Internet" y asegura alimentacin elctrica interrumpida.
Visin General
Nuestras vidas, tanto personales como profesionales, dependen cada vez ms de la tecnologa. sta
nos permite acceder a la informacin y a los servicios a una velocidad que ni siquiera podramos haber
soado hace unos pocos aos.
Nuestro ritmo de vida se acelera y exigimos como clientes una disponibilidad absoluta de nuestros
proveedores tecnolgicos. Con frecuencia una oferta diferente slo se encuentra a un par de clics de
distancia.
Por otro lado, el rpido desarrollo tecnolgico implica una constante renovacin de equipos y servicios.
Como proveedores nos enfrentamos al reto de evolucionar sin apenas margen para el error pues
nuestros sistemas han de encontrarse a disposicin del cliente prcticamente 24/7.
Gestin de la Disponibilidad
Introduccin y Objetivos
El objetivo primordial de la Gestin de la Disponibilidad es asegurar que los servicios TI estn
disponibles y funcionen correctamente siempre que los clientes y usuarios deseen hacer uso de ellos
en el marco de los SLAs en vigor.
Las responsabilidades de la Gestin de la Disponibilidad incluyen:
Los indicadores clave sobre los que se sustenta el proceso de Gestin de la Disponibilidad se
resumen en:
Disponibilidad: porcentaje de tiempo sobre el total acordado en que los servicios TI han sido
accesibles al usuario y han funcionado correctamente.
Fiabilidad: medida del tiempo durante el cual los servicios han funcionado correctamente de
forma ininterrumpida.
La disponibilidad depende del correcto diseo de los servicios TI, la fiabilidad de los CIsinvolucrados,
su correcto mantenimiento y la calidad de los servicios internos y externos acordados.
Los principales beneficios de una correcta Gestin de la Disponibilidad son:
Las principales dificultades con las que topa la Gestin de la Disponibilidad son:
Los objetivos de disponibilidad no estn alineados con las necesidades del cliente.
Gestin de la Disponibilidad
Proceso
Entre las actividades que la Gestin de la Disponibilidad se encuentran:
Nota: los botones del grfico permiten acceder a informacin mas detallada sobre la interrelacin con
otros procesos TI.
Gestin de la Disponibilidad
Requisitos de Disponibilidad
Es indispensable cuantificar los requisitos de disponibilidad para la correcta elaboracin de losSLAs.
La disponibilidad propuesta debe encontrase en lnea tanto con los necesidades reales del negocio
como con las posibilidades de la organizacin TI.
Aunque en principio todos los clientes estarn de acuerdo con unas elevadas cotas de disponibilidad es
importante hacerles ver que una alta disponibilidad puede generar unos costes injustificados dadas
sus necesidades reales. Quiz unas pocas horas sin un determinado servicio pueden representar poco
ms all de una pequea inconveniencia mientras que la certeza de un servicio prcticamente
continuo y sin interrupciones puede requerir la replicacin de sistemas u otras medidas igualmente
costosas que no van a tener una repercusin real en la rentabilidad del negocio.
Para llevar a cabo eficientemente est tarea es necesario que la Gestin de la Disponibilidad:
Determine las franjas horaria de disponibilidad de los servicios TI (24/7, 12/5, ...).
Gestin de la Disponibilidad
Planificacin
La correcta planificacin de la disponibilidad permite establecer unos niveles de disponibilidad
adecuados tanto en lo que respecta a las necesidades reales del negocio como a las posibilidades de la
organizacin TI.
El documento que debe recoger los objetivos de disponibilidad presentes y futuros y que medidas son
necesarias para su cumplimiento es el Plan de Disponibilidad.
Este plan debe recoger:
La situacin actual de disponibilidad de los servicios TI. Obviamente esta informacin debe ser
actualizada peridicamente.
Es imprescindible que este plan proponga los cambios necesarios para que se cumplan los estndares
previstos y colabore con la Gestin de Cambios y la Gestin de Versiones en su implementacin
(en caso de ser aprobados, claro est).
Para que este plan sea realista debe contar con la colaboracin de los otros procesos TI involucrados.
Gestin de la Disponibilidad
Mantenimiento y Seguridad
Aunque hayamos realizado un correcto diseo de los servicios segn el Plan de Disponibilidady se
hayan tomado todas las medidas preventivas necesarias, tarde o temprano, nos habremos de
enfrentar a interrupciones del servicio.
En esos casos es necesario recuperar el servicio lo antes posible para que no tenga un efecto
indeseado sobre los niveles de disponibilidad acordados.
Aunque la responsabilidad de restaurar el servicio corresponde a la Gestin de Incidentes y las
actividades de recuperacin han de ser coordinadas por el Service Desk, la Gestin de la
Disponibilidad debe prestar su asesoramiento mediante planes de recuperacin que tengan en
cuenta:
Consultar con el cliente en que franja horaria la interrupcin del servicio afectar menos a sus
actividades de negocio.
Informar con la antelacin suficiente a todos los agentes implicados.
Seguridad
Uno de los aspectos esenciales para obtener altos niveles de fiabilidad y disponibilidad es una correcta
Gestin de la Seguridad.
Los aspectos relativos a la seguridad deben ser tomados en cuenta en todas las etapas del proceso.
Es tan importante determinar cundo el servicio estar disponible como el "quin y cmo" va a
utilizarlo. La disponibilidad y seguridad son interdependientes y cualquier fallo en una de ellas
afectar gravemente a la otra.
Gestin de la Disponibilidad
Monitorizacin de la Disponibilidad
La monitorizacin de la disponibilidad del servicio y la elaboracin de los informes correspondientes
son dos de las principales actividades de la Gestin de la Disponibilidad.
Desde el momento de la interrupcin del servicio hasta su restitucin o "tiempo de parada" el
incidente pasa por distintas fases que deben ser individualizadamente analizadas:
Tiempo de deteccin: es el tiempo que transcurre desde que ocurre el fallo hasta que la
organizacin TI tiene constancia del mismo.
Tiempo de respuesta: es el tiempo que transcurre desde la deteccin del problema hasta
que se realiza un registro y diagnstico del incidente.
Es importante determinar mtricas que permitan medir con precisin las diferentes fases del ciclo de
vida de la interrupcin del servicio. El cliente debe conocer estas mtricas y dar su conformidad a las
mismas para evitar malentendidos. En algunos casos es difcil determinar si el sistema est "cado o
en funcionamiento" y la interpretacin puede diferir entre proveedores y clientes, por lo tanto, ests
mtricas deben de poder expresarse en trminos que el cliente pueda entender.
Algunos de los parmetros que suele utilizar la Gestin de la Disponibilidad y que debe poner a
disposicin del cliente en los informes de disponibilidad correspondientes incluyen:
Tiempo Medio entre Fallos (Uptime): es el tiempo medio durante el cual el servicio esta
disponible sin interrupciones.
Tiempo Medio entre Incidentes: es el tiempo medio transcurrido entre incidentes que es
igual a la suma del Tiempo Medio de Parada y el Tiempo Medio entre Fallos. El Tiempo Medio
entre Incidentes es una medida de la fiabilidad del sistema.
Gestin de la Disponibilidad
Mtodos y Tcnicas
Aunque llevamos hablando ya un buen rato de disponibilidad an no hemos aportado un mtodo para
cuantificarla.
Es habitual definir la disponibilidad en tanto por ciento de la siguiente manera:
donde:
AST se corresponde con el tiempo acordado de servicio, DT es el tiempo de interrupcin del servicio
durante las franjas horarias de disponibilidad acordadas.
Por ejemplo, si el servicio es 24/7 y en el ltimo mes el sistema ha estado cado durante 4 horas por
tareas de mantenimiento la disponibilidad real del servicio fue:
CFIA
Que son las siglas de Component Failure Impact Analysis (Anlisis del Impacto de Fallo de
Componentes).
Mediante est metodo se identifica el impacto que tiene en la disponibilidad de los servicios TI el fallo
de cada elemento de configuracin involucrado. Es evidente que este mtodo requiere una CMDB
correctamente actualizada.
FTA
Que son las siglas de Failure Tree Analysis (Anlisis del rbol de Fallos).
Su objetivo es estudiar como se "propagan" los fallos a traves de la infraestructura TI para
comprender mejor su impacto en la disponibilidad del servicio.
CRAMM
Que son las siglas de CCTA Risk Analysis and Management Method (Mtodo de Gestin y Anlisis de
Riesgos de la CCTA).
Su objetivo es identificar los riesgos y vulnerabilidades a los que se haya expuesta la infraestructura TI
con el objetivo de adoptar contramedidas que los reduzcan o que permitan recuperar rpidamente el
servicio en caso de interrupcin del mismo.
SOA
Que son las siglas de Service Outage Analysis (Anlisis de Interrupcin del Servicio).
sta tcnica tiene como objetivo analizar las causas de los fallos detectados y proponer soluciones a
los mismos.
Se diferencia de los anteriores mtodos en que realiza el anlisis desde el punto de vista del cliente
haciendo especial nfasis en aspectos no exclusivamente tcnicos ligados directamente a la
infraestructura TI.
Gestin de la Disponibilidad
Cumplimiento de los OLAs y UCs en todo lo referente a la capacidad de servicio prestada por
los proveedores internos y externos.
Para que toda esta informacin sea fcil y correctamente analizada es imprescindible el
establecimiento de mtricas precisas que permitan determinar de forma inequvoca parmetros tales
como tiempos de parada y funcionamiento. Por ejemplo, en el caso de un servicio online de comercio
electrnico se puede considerar que tiempos de respuesta superiores a 10 segundos son equivalentes
a que el sistema esta cado, aunque estrictamente hablando el sistema termine respondiendo.
Gestin de la Disponibilidad
Caso Prctico
La disponibilidad 12/7 es algo a lo que los clientes de "Cater Matters" otorgan una gran importancia.
Los servicios TI slo juegan una pequea, aunque importante, parte en los servicios prestados por la
organizacin a sus clientes y los problemas de disponibilidad suelen proceder de procesos no
directamente ligados con la tecnologa. Sin embargo, una interrupcin de los servicios online pueden
presuponer un grave problema dado el alto volumen de pedidos que se reciben por dicho canal, la
prctica totalidad, as como su importancia en el apartado de la gestin de stocks de materia prima.
La Gestin de la Disponibilidad, en colaboracin con los responsables de otros procesos TI ha sido
encargada de elaborar nuevos planes de disponibilidad que tengan en cuenta un rpido crecimiento
del negocio que puede implicar una disponibilidad 24/7 para diferentes lneas de negocio.
La elaboracin de este nuevo plan requiere:
Nuevos planes de gestin del mantenimiento que ahora requerirn una interrupcin real del
servicio.
Por otro lado, la gestin de "Cater Matters" ha decidido informar peridicamente a sus clientes sobre
los niveles de rendimiento y disponibilidad de los diferentes servicios prestados. Para ello ha
encargado a la Gestin de la Disponibilidad que implante los procedimientos necesarios para la
medicin del:
Visin General
La Gestin de la Seguridad de la Informacin se remonta al albor de los tiempos. La criptologa o
la ciencia de la confidencialidad de la informacin se remonta al inicio de nuestra civilizacin y ha
ocupado algunas de las mentes matemticas ms brillantes de la historia, especialmente (y
desafortunadamente) en tiempos de guerra.
Sin embargo, desde el advenimiento de la ubicuas redes de comunicacin y en especial Internet los
problemas asociados a la seguridad de la informacin se han agravado considerablemente y nos
afectan prcticamente a todos. Que levante la mano el que no haya sido victima de algn virus
informtico en su ordenador, del spam (ya sea por correo electrnico o telfono) por una deficiente
proteccin de sus datos personales o, an peor, del robo del nmero de su tarjeta de crdito.
La informacin es consustancial al negocio y su correcta gestin debe apoyarse en tres pilares
fundamentales:
Confidencialidad:
predeterminados.
la
informacin
debe
ser
slo
accesible
sus
destinatarios
La Gestin de la Seguridad debe, por tanto, velar por que la informacin sea correcta y completa,
est siempre a disposicin del negocio y sea utilizada slo por aquellos que tienen autorizacin para
hacerlo.
Las interacciones y funciones de la Gestin de la Seguridad se resumen sucintamente en el
siguiente interactivo:
Gestin de la Seguridad
Introduccin y Objetivos
Los principales objetivos de la Gestin de la Seguridad se resumen en:
La Gestin de la Seguridad debe asimismo tener en cuenta los riesgos generales a los que est
expuesta la infraestructura TI, y que no necesariamente tienen porque figurar en un SLA, para
asegurar, en la medida de lo posible, que no representan un peligro para la continuidad del servicio.
Es importante que la Gestin de la Seguridad sea proactiva y evale a priori los riesgos de
seguridad que pueden suponer los cambios realizados en la infraestructura, nuevas lneas de negocio,
etctera.
Se evitan interrupciones del servicio causadas por virus, ataques informticos, etctera.
Falta de coordinacin entre los diferentes procesos lo que impide una correcta evaluacin de
los riesgos.
Gestin de la Seguridad
Proceso
La Gestin de la Seguridad esta estrechamente relacionada con prcticamente todos los otros
procesos TI y necesita para su xito la colaboracin de toda la organizacin.
Para que esa colaboracin sea eficaz es necesario que la Gestin de la Seguridad:
Establezca una clara y definida poltica de seguridad que sirva de gua a todos los otros
procesos.
Elabore un Plan de Seguridad que incluya los niveles de seguridad adecuados tanto en los
servicios prestados a los clientes como en los acuerdos de servicio firmados con proveedores
internos y externos.
Nota: los botones del grfico permiten acceder a informacin mas detallada sobre la interrelacin con
otros procesos TI.
Gestin de la Seguridad
Poltica de Seguridad
Es imprescindible disponer de un marco general en el que encuadrar todos los subprocesos asociados
a la Gestin de la Seguridad. Su complejidad e intricadas interrelaciones necesitan de una poltica
global clara en donde se fijen aspectos tales como los objetivos, responsabilidades y recursos.
En particular la Poltica de Seguridad debe determinar:
Plan de Seguridad
El objetivo del Plan de Seguridad es fijar los niveles de seguridad que han de ser incluidos como
parte de los SLAs, OLAs y UCs.
Este plan ha de ser desarrollado en colaboracin con la Gestin de Niveles de Servicio que es la
responsable en ltima instancia tanto de la calidad del servicio prestado a los clientes como la del
servicio recibido por la propia organizacin TI y los proveedores externos.
El Plan de Seguridad debe disearse para ofrecer un mejor y ms seguro servicio al cliente y nunca
como un obstculo para el desarrollo de sus actividades de negocio.
Siempre que sea posible deben definirse mtricas e indicadores clave que permitan evaluar los niveles
de seguridad acordados.
Un aspecto esencial a tener en cuenta es el establecimiento de unos protocolos de seguridad
coherentes en todas las fases del servicio y para todos los estamentos implicados. "Una cadena es tan
resistente como el ms dbil de sus eslabones", por lo que carece de sentido, por ejemplo, establecer
una estrictas normas de acceso si una aplicacin tiene vulnerabilidades frente a inyecciones de SQL.
Quiz con ello podamos engaar a algn cliente durante algn tiempo ofreciendo la imagen de
"fortaleza" pero esto valdr de poco si alguien descubre que la "puerta de atrs est abierta".
Gestin de la Seguridad
Gestin de la Seguridad
Evaluacin y Mantenimiento
Evaluacin
No es posible mejorar aquello que no se conoce, es por la tanto indispensable evaluar el cumplimiento
de las medidas de seguridad, sus resultados y el cumplimiento de los SLAs.
Aunque no es imprescindible, es recomendable que estas evaluaciones se complementen con
auditoras de seguridad externas y/o internas realizadas por personal independiente de laGestin de
la Seguridad.
Estas evaluaciones/auditorias deben valorar el rendimiento del proceso y proponer mejoras que se
plasmaran en RFCs que habrn de ser evaluados por la Gestin de Cambios.
Independientemente de estas evaluaciones de carcter peridico se debern generar informes
independientes cada vez que ocurra algn incidente grave relacionado con la seguridad. De nuevo, si
la Gestin de la Seguridad lo considera oportuno, estos informes se acompaaran de las RFCs
correspondientes.
Mantenimiento
La Gestin de la Seguridad es un proceso continuo y se han de mantener al da el Plan de
Seguridad y las secciones de seguridad de los SLAs.
Los cambios en el Plan de Seguridad y los SLAs pueden ser resultado de la evaluacin arriba citada
o de cambios implementados en la infraestructura o servicios TI.
No hay nada ms peligroso que la falsa sensacin de seguridad que ofrecen medidas de seguridad
obsoletas.
Es asimismo importante que la Gestin de la Seguridad est al da en lo que respecta a nuevos
riesgos y vulnerabilidades frente a virus, spyware, ataques de denegacin de servicio, etctera, y que
adopte las medidas necesarias de actualizacin de equipos de hardware y software, sin olvidar el
apartado de formacin: el factor humano es normalmente el eslabn ms dbil de la cadena.
Gestin de la Seguridad
Gestin proactiva que permita identificar vulnerabilidades potenciales antes de que estas se
manifiesten y provoquen una seria degradacin de la calidad del servicio.
Auditoras de seguridad.
Gestin de la Seguridad
Caso Prctico
La gestin de "Cater Matters" es consciente que un enfoque sobre la seguridad basado exclusivamente
en el concepto de "fortificacin frente a ataques" no se corresponde con las necesidades de negocio.
Es importante que los clientes de "Cater Matters" tengan acceso a informacin actualizada sobre sus
pedidos, pagos pendientes, etctera y eso requiere la interaccin con el ERP de la empresa.
Esto, obviamente, presenta algunos problemas de seguridad adicionales pues han de abrirse canales
al exterior desde el ncleo TI de la organizacin.
La direccin de "Cater Matters" ha decidido crear una serie de Web Services que permitan el acceso
a dicha informacin preservando su confidencialidad e integridad. Esto requiere la revisin del Plan de
Seguridad y las secciones de seguridad de los SLAs en vigor.
Como medidas de seguridad bsicas:
Se limitan los rangos de IPs que pueden acceder al servicio. Slo IPs autorizadas de clientes
podrn disponer del servicio.
Se autoriza un solo canal de entrada a los servidores locales a travs de los servidores web de
la empresa.
Se propone una evaluacin peridica del servicio con el objetivo de detectar vulnerabilidades y adoptar
medidas correctivas.
El objetivo es dar un servicio de calidad y con altos niveles de seguridad que fidelice a los clientes en
un tiempo de rpido desarrollo en el que la competencia se encuentra a un "solo clic de distancia".
Gestin de la Seguridad
Caso Prctico
La gestin de "Cater Matters" es consciente que un enfoque sobre la seguridad basado exclusivamente
en el concepto de "fortificacin frente a ataques" no se corresponde con las necesidades de negocio.
Es importante que los clientes de "Cater Matters" tengan acceso a informacin actualizada sobre sus
pedidos, pagos pendientes, etctera y eso requiere la interaccin con el ERP de la empresa.
Esto, obviamente, presenta algunos problemas de seguridad adicionales pues han de abrirse canales
al exterior desde el ncleo TI de la organizacin.
La direccin de "Cater Matters" ha decidido crear una serie de Web Services que permitan el acceso
a dicha informacin preservando su confidencialidad e integridad. Esto requiere la revisin del Plan de
Seguridad y las secciones de seguridad de los SLAs en vigor.
Como medidas de seguridad bsicas:
Se limitan los rangos de IPs que pueden acceder al servicio. Slo IPs autorizadas de clientes
podrn disponer del servicio.
Se autoriza un solo canal de entrada a los servidores locales a travs de los servidores web de
la empresa.
Se propone una evaluacin peridica del servicio con el objetivo de detectar vulnerabilidades y adoptar
medidas correctivas.
El objetivo es dar un servicio de calidad y con altos niveles de seguridad que fidelice a los clientes en
un tiempo de rpido desarrollo en el que la competencia se encuentra a un "solo clic de distancia".
Gestin de la Seguridad
Caso Prctico
La gestin de "Cater Matters" es consciente que un enfoque sobre la seguridad basado exclusivamente
en el concepto de "fortificacin frente a ataques" no se corresponde con las necesidades de negocio.
Es importante que los clientes de "Cater Matters" tengan acceso a informacin actualizada sobre sus
pedidos, pagos pendientes, etctera y eso requiere la interaccin con el ERP de la empresa.
Esto, obviamente, presenta algunos problemas de seguridad adicionales pues han de abrirse canales
al exterior desde el ncleo TI de la organizacin.
La direccin de "Cater Matters" ha decidido crear una serie de Web Services que permitan el acceso
a dicha informacin preservando su confidencialidad e integridad. Esto requiere la revisin del Plan de
Seguridad y las secciones de seguridad de los SLAs en vigor.
Como medidas de seguridad bsicas:
Se limitan los rangos de IPs que pueden acceder al servicio. Slo IPs autorizadas de clientes
podrn disponer del servicio.
Se autoriza un solo canal de entrada a los servidores locales a travs de los servidores web de
la empresa.
Se propone una evaluacin peridica del servicio con el objetivo de detectar vulnerabilidades y adoptar
medidas correctivas.
El objetivo es dar un servicio de calidad y con altos niveles de seguridad que fidelice a los clientes en
un tiempo de rpido desarrollo en el que la competencia se encuentra a un "solo clic de distancia".
Gestin de la Seguridad
Caso Prctico
La gestin de "Cater Matters" es consciente que un enfoque sobre la seguridad basado exclusivamente
en el concepto de "fortificacin frente a ataques" no se corresponde con las necesidades de negocio.
Es importante que los clientes de "Cater Matters" tengan acceso a informacin actualizada sobre sus
pedidos, pagos pendientes, etctera y eso requiere la interaccin con el ERP de la empresa.
Esto, obviamente, presenta algunos problemas de seguridad adicionales pues han de abrirse canales
al exterior desde el ncleo TI de la organizacin.
La direccin de "Cater Matters" ha decidido crear una serie de Web Services que permitan el acceso
a dicha informacin preservando su confidencialidad e integridad. Esto requiere la revisin del Plan de
Seguridad y las secciones de seguridad de los SLAs en vigor.
Como medidas de seguridad bsicas:
Se limitan los rangos de IPs que pueden acceder al servicio. Slo IPs autorizadas de clientes
podrn disponer del servicio.
Se autoriza un solo canal de entrada a los servidores locales a travs de los servidores web de
la empresa.
Se propone una evaluacin peridica del servicio con el objetivo de detectar vulnerabilidades y adoptar
medidas correctivas.
El objetivo es dar un servicio de calidad y con altos niveles de seguridad que fidelice a los clientes en
un tiempo de rpido desarrollo en el que la competencia se encuentra a un "solo clic de distancia".
http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/gestion_de_la_seguridad/caso_practi
co_gestion_de_la_seguridad/caso_practico_gestion_de_la_seguridad.php