Documente Academic
Documente Profesional
Documente Cultură
ii
Prefacio
Informtica no es un problema
tcnico. Es un problema de gerencia.
Hasta hace pocos aos en los departamentos IBM o de procesamiento
de datos, como se les sola llamar, la administracin de los servicios era
bastante simple, slo tenamos que preocuparnos de guardar
ordenadamente unos decks" de tarjetas perforadas en los que residan los
programas o algunos archivos de datos y, en las organizaciones ms
sofisticadas, guardar ordenadamente unos cuantos carretes de cinta
magntica, donde residan los archivos de datos ms importantes. Junto
con esos elementos, unos instructivos que le indicaban al personal de
operacin los pasos que deban ejecutarse, completaban el conjunto de
componentes necesarios para prestar el servicio requerido por los
usuarios, que normalmente se concretaba en un listado o reporte.
La tecnologa de informacin, como se le denomina hoy da, ha
evolucionado dramticamente, las facilidades y posibilidades que
disponemos en la actualidad eran inimaginables en aquellas pocas; a
veces, hasta nosotros mismos nos sorprendemos de las capacidades que
nos traen las nuevas tecnologas. A pesar de ello, no es poco frecuente or
a los ejecutivos y usuarios de las empresas quejarse continuamente de los
servicios de informtica. Siempre se habla de que el departamento de
tecnologa de informacin es una especie de caja negra capaz de absorber
ms y ms recursos, sin que la empresa reciba una contraprestacin
razonable.
Del lado de informtica tambin es frecuente or quejas sobre la
cantidad de recursos que se les otorga y del bajo reconocimiento que
reciben los denodados esfuerzos que se invierten para brindar un servicio
de calidad.
Obviamente, los tcnicos de tecnologa de informacin no somos ni
unos buenos comunicadores, ni unos buenos administradores.
Evidentemente, hay que acercar esos dos extremos, especialmente
porque la tecnologa de informacin es un arma fundamental para que
cualquier empresa pueda competir con xito en su mercado. Como de
iii
iv
Tecnologa de Informacin
Administracin de Servicios
ndice general
Captulo I
Disciplinas de administracin de servicios de TI
1.
2.
3.
4.
5.
6.
7.
8.
Captulo II
Centro de atencin
1. Qu es un centro de atencin a usuarios?................................... 31
1.1. Ventajas................................................................................ 32
1.2. Barreras ................................................................................ 32
2. Modalidades................................................................................. 32
3. Planificacin ................................................................................ 33
4. Facilidades ................................................................................... 34
5. Estructura ..................................................................................... 35
6. Actividades .................................................................................. 36
6.1. Atencin de llamadas ........................................................... 36
6.2. Cierre del reporte ................................................................. 37
6.3. Manejo desde inicio hasta cierre .......................................... 40
6.4. Centro de informacin ......................................................... 40
6.5. Actividades adicionales........................................................ 41
7. Evaluacin de la disciplina .......................................................... 41
Captulo III
Manejo de Incidentes
1. En qu consiste el manejo de incidentes?................................... 45
1.1. Ventajas................................................................................ 47
1.2. Barreras ................................................................................ 47
2. Requerimientos ............................................................................ 48
3. Clasificacin de los incidentes ..................................................... 48
4. Escalamiento y soporte ................................................................ 50
5. Actividades................................................................................... 50
5.1. Registro de incidentes .......................................................... 51
5.2. Clasificacin de los incidentes ............................................. 47
5.3. Anlisis, Resolucin y Cierre de Incidentes......................... 52
6. Evaluacin de la disciplina........................................................... 53
Captulo IV
Manejo de problemas
1. En qu consiste el manejo de problemas? ................................. 57
1.1. 1Ventajas.............................................................................. 58
1.2. Barreras ................................................................................ 59
2. Actividades................................................................................... 59
2.1. Control de problemas ........................................................... 60
2.2. Control de errores................................................................. 63
2.3. Revisin de post implementacin y cierre ........................... 64
3. Evaluacin de la disciplina........................................................... 64
4. Ejemplo ........................................................................................ 65
Captulo V
Administracin de Configuraciones
1. En qu consiste la administracin de configuraciones? ............. 69
1.1. Ventajas................................................................................ 70
1.2. Barreras ................................................................................ 70
2. Terminologa................................................................................ 71
2.1. tems de configuracin ......................................................... 71
2.2. Base de datos de configuraciones......................................... 72
2.3. Lnea base de configuracin................................................. 72
2.4. Sistema de administracin de configuraciones. ................... 72
vi
Captulo VI
Administracin de versiones
1. En qu consiste la administracin de versiones? ....................... 83
1.1. Ventajas................................................................................ 85
1.2. Barreras ................................................................................ 85
2. Consideraciones de tipo prctico ................................................. 86
2.1. Tipos de versiones................................................................ 86
2.2. Actualizacin y custodia de componentes ........................... 87
2.3. Versiones anteriores............................................................. 88
2.4. Nomenclatura de versiones .................................................. 88
2.5. Estatus de una versin.......................................................... 89
3. Actividades de administracin de versiones ................................ 89
3.1. Planificacin ........................................................................ 90
3.2. Verificacin de cumplimiento de estndares ....................... 91
3.3. Verificacin de cumplimiento de pruebas............................ 91
4. Implementacin ........................................................................... 93
5. Soporte inicial .............................................................................. 94
6. Evaluacin de la disciplina .......................................................... 94
Captulo VII
Administracin de cambios
1. En qu consiste la administracin de cambios? ......................... 97
1.1. Ventajas................................................................................ 98
1.2. Barreras ................................................................................ 98
2. Elementos .................................................................................... 99
3. Roles ............................................................................................ 99
vii
4. Actividades................................................................................. 100
4.1. Registrar ............................................................................. 101
4.2. Aceptacin de la solicitud .................................................. 102
4.3. Clasificacin....................................................................... 102
5. Aprobacin y Planificacin........................................................ 104
6. Implementacin.......................................................................... 105
7. Evaluacin.................................................................................. 106
8. Evaluacin de la disciplina......................................................... 106
Captulo VIII
Monitorizacin y control
1. En qu consiste monitorizacin y control?............................... 111
1.1. Ventajas.............................................................................. 113
1.2. Barreras .............................................................................. 114
2. Ciclo de monitorizacin ............................................................. 114
3. Terminologa.............................................................................. 115
4. Herramientas .............................................................................. 116
5. Niveles de monitorizacin.......................................................... 117
6. Formas de monitorizacin.......................................................... 118
7. Implementacin de la disciplina................................................. 119
8. Evaluacin de la disciplina......................................................... 119
Captulo IX
Administracin de niveles de servicio
1. En qu consiste la administracin de niveles de servicio? ....... 123
1.1. Ventajas.............................................................................. 124
1.2. Barreras .............................................................................. 125
2. Terminologa.............................................................................. 125
2.1. Proveedores, clientes y usuarios......................................... 125
2.2. Catlogo de servicios ......................................................... 126
2.3. Acuerdo de nivel de servicio .............................................. 127
2.4. Acuerdo de nivel operacional ............................................ 127
2.5. Programa de calidad de servicio......................................... 127
3. Creacin del catlogo de servicios ............................................. 128
4. Proceso ....................................................................................... 130
4.1. Preparacin......................................................................... 130
4.2. Seguimiento........................................................................ 131
viii
Captulo X
Administracin Financiera de TI
1. En qu consiste la administracin financiera de TI?................ 137
1.1. Ventajas.............................................................................. 138
1.2. Barreras .............................................................................. 138
2. Terminologa.............................................................................. 138
2.1. Costos y gastos................................................................... 139
2.2. Depreciacin y amortizacin ............................................. 141
3. Planificacin .............................................................................. 142
3.1. Catlogo de servicios ......................................................... 143
3.2. Costeo de servicios ............................................................ 144
3.3. Proyectos............................................................................ 145
3.4. Costeo de proyectos ........................................................... 145
4. Elaboracin del presupuesto ...................................................... 146
5. Contabilidad............................................................................... 147
6. Actividades de la administracin financiera de TI .................... 148
7. Evaluacin de la disciplina ........................................................ 150
Captulo XI
Administracin de la capacidad
1. Qu es administracin de la capacidad?................................... 155
1.1. Ventajas.............................................................................. 157
1.2. Barreras .............................................................................. 157
2. Actividades ................................................................................ 158
2.1. Plan de Capacidad.............................................................. 159
2.2. Estimacin.......................................................................... 160
2.3. Asignacin de recursos ...................................................... 160
2.4. Monitorizacin................................................................... 161
3. Administracin de la demanda .................................................. 161
4. Evaluacin de la disciplina ........................................................ 162
ix
Captulo XII
Continuidad de los servicios de TI
1. Qu es administracin de la continuidad? ................................ 167
1.1. Ventajas.............................................................................. 169
1.2. Barreras .............................................................................. 169
2. El plan de continuidad del negocio - (BCP)............................... 170
3. Terminologa.............................................................................. 172
4. Preparacin................................................................................. 173
4.1. Evaluacin de riesgos......................................................... 173
4.2. Identificar procesos crticos ............................................... 173
4.3. Seleccin de estrategias de recuperacin ........................... 174
5. Alcance de la continuidad de servicios ...................................... 175
6. Organizacin y planificacin ..................................................... 177
6.1. Plan de mitigacin de riesgos............................................. 177
6.2. Plan de manejo de emergencias ......................................... 177
6.3. Plan de recuperacin .......................................................... 178
7. Continuidad de servicios en el da a da..................................... 178
7.1. Adiestramiento ................................................................... 179
7.2. Actualizacin...................................................................... 179
8. Evaluacin de la disciplina......................................................... 180
Captulo XIII
Administracin de la disponibilidad
1. Qu es administracin de la disponibilidad? ............................ 183
1.1. Clculo de la disponibilidad ............................................... 185
1.2. Ventajas.............................................................................. 185
1.3. Barreras .............................................................................. 186
2. Requerimientos de disponibilidad.............................................. 186
3. Plan de disponibilidad ................................................................ 187
4. Monitorizacin de la disponibilidad........................................... 187
5. Mediciones ................................................................................. 189
6. Evaluacin de la disciplina......................................................... 189
Captulo XIV
Seguridad de la informacin
1. En qu consiste la administracin de seguridad? ..................... 193
1.1. Ventajas.............................................................................. 194
1.2. Barreras .............................................................................. 195
2. La seguridad en el nivel de la empresa ...................................... 195
3. Actividades ................................................................................ 197
4. Polticas de seguridad ............................................................... 198
5. El plan de seguridad................................................................... 198
6. Cumplimiento de la normativa de seguridad ............................. 199
7. Evaluacin y mantenimiento ..................................................... 200
8. Evaluacin de la disciplina ........................................................ 201
Captulo XV
Medicin
1. En qu consiste la medicin de los servicios de TI? ................ 205
1.1. Por qu medir? ................................................................. 206
1.2. Qu debemos medir?........................................................ 206
1.3. Quines participan en la medicin? ................................. 207
1.4. Criterios para definir indicadores....................................... 207
1.5. Interpretacin de indicadores ............................................. 208
2. Uso de los indicadores ............................................................... 208
3. Algunos indicadores o mediciones ............................................ 209
Anexo I -
xi
xii
Captulo I
Disc iplina s de
Adm inist ra c in de
Se rvic ios de T I
Captulo I
Gobernanza Empresarial
Captulo I
1.2.- Gobernanza de TI
Dentro del nuevo concepto de gobernanza corporativa o gobernanza
empresarial, se hizo lgico plantearse que los controles establecidos sobre
la funcin de tecnologa de informacin deben estar en un nivel
adecuado, puesto que TI es fundamental para el cumplimiento de los
procesos del negocio.
La gobernanza de TI no es una disciplina aislada, sino que es una
parte integral de la gobernanza empresarial o corporativa y tiene como
propsito: establecer el liderazgo, las estructuras organizativas y los
procesos necesarios para asegurar que la TI apoye el logro de los
objetivos y las estrategias de la empresa.
La gobernanza de las tecnologas de informacin y comunicaciones
constituye una responsabilidad tanto de la gerencia tcnica, como de la
directiva de la empresa y puede decirse que:
Establece la estructura que vincula procesos, recursos e
informacin de TI con las estrategias y objetivos de la compaa.
Integra e institucionaliza las mejores prcticas de planificacin y
organizacin, de adquisicin e implementacin, de entrega y
soporte y de monitorizacin del desempeo de la funcin de TI.
Obviamente, este nuevo concepto de gobernanza de TI requiere la
existencia de normas y estndares de uso, por lo que, en el tiempo, han
ido apareciendo varios, entre los cuales debemos mencionar:
ITIL (Information Technology Infrastructure Library- Biblioteca
de infraestructura de tecnologa de informacin)
5
Captulo I
3.- Qu es COBIT?
La Asociacin para el Control y Auditora de los Sistemas de
Informacin (Information Systems Audit and Control Association1) y el
Instituto de Gobernanza de TI (IT Governance Institute2) son las
principales organizaciones que han desarrollado COBIT (Control
Objectives for Information and related Technology - Objetivos de control
para la informacin y la tecnologa relacionada), con el fin de ser
empleado no solamente por los auditores de una empresa, sino tambin
como una gua integral para lo que se denomina los dueos de proceso
y para la gerencia de las empresas.
La dinmica de los negocios requiere, cada vez ms, la autonoma de
los dueos de proceso, de tal forma que puedan asumir la responsabilidad
total de todos aspectos del proceso que les corresponde y, a su vez, ello
requiere que se establezcan controles adecuados. Con esa finalidad,
COBIT se ha desarrollado como una herramienta para el dueo de
proceso del negocio, facilitndole el cumplimiento de esas
responsabilidades.
1
El ITGI, instituto afiliado a ISACA, fue creado en los Estados Unidos, el ao 1998,
reconociendo la importancia que, para las empresas, tiene la funcin de TI.
7
Captulo I
4.- Qu es ITIL?
La Biblioteca de Infraestructura de Tecnologa de Informacin
(Information Technology Infrastructure Library - ITIL) fue desarrollada
por la dependencia gubernamental del Reino Unido, denominada Office
of Goverment Comerce (OGC) -Oficina Gubernamental de Comercio-,
hacia finales de 1980. En esta librera se recogieron las mejores
experiencias en el manejo de los servicios de tecnologa de informacin,
para uso del gobierno del Reino Unido. Hoy da, ITIL se ha convertido en
un estndar de facto para la gestin de los servicios de informtica, pues
ha demostrado ser de gran utilidad en muchas organizaciones, como base
para organizar y desarrollar los servicios de TI.
ITIL ofrece un enfoque sistemtico para la prestacin de servicios de
tecnologa de informacin con alta calidad, por lo que las empresas
modernas, que dependen cada vez ms de esa tecnologa, adoptan con
gran inters el conjunto de disciplinas de servicio que presenta ITIL, con
el fin de que sus servicios de TI realmente apoyen el logro de sus
objetivos y constituyan el respaldo que requiere la eficiencia de sus
operaciones.
Si observamos que la fase de desarrollo e implantacin, dentro del
ciclo de vida de los productos y servicios de tecnologa de informacin,
constituye slo el 30% de los costos y el tiempo, mientras que la fase de
operacin de esos servicios ocupa el 70 %, es fcil explicarse la
importancia que tiene la administracin eficiente de esos servicios.
Captulo I
10
11
Captulo I
12
Captulo I
14
Captulo I
2.
3.
4.
5.
6.
7.
16
disponibilidad,
administracin
de
la
capacidad,
administracin del presupuesto, manejo de incidentes y de
problemas.
Servicios de planificacin para implementacin
Incluye los servicios que la organizacin de TI planifica para
implementar o actualizar los servicios: administracin de
cambios, administracin de la entrega de servicio y
administracin de implantacin.
Administracin de Seguridad
Incluye los controles de seguridad que se implementan y
mantienen para mitigar el impacto y reducir la posibilidad de
incidentes en relacin con el almacenamiento, transmisin y
proceso de la informacin.
Perspectiva de negocio
Se centra en los principios y requerimientos clave de la
organizacin y operacin del negocio: administracin de
relaciones de negocio, administracin de proveedores y
administracin de niveles de servicio.
Administracin de resolucin
Incluye los servicios que se prestan para minimizar los
trastornos al negocio, mediante la deteccin y anlisis
proactivo de causas y definicin de acciones para mejorar:
manejo de incidentes, manejo de problemas, administracin
de cambios, administracin de configuracin e informes de
servicio.
Administracin de proceso de control
Se centra en la administracin de cambios y configuracin de
servicios para dar soporte al negocio: administracin de la
configuracin, administracin de cambios, manejo de
incidentes y manejo de problemas.
Administracin de implantacin
Se centra en la puesta en marcha de servicios, sistemas,
programas y equipos nuevos o modificados.
6.- Qu es CMM?
El Modelo de Madurez de la Capacidad (CMM - Capacity Maturity
Model) fue desarrollado en 1986 por el Instituto de Ingeniera de
Sistemas (SEI) de la universidad Carnegie Mellon. Este modelo describe
un marco de referencia para el desarrollo y mantenimiento de software en
las organizaciones, as como para la adquisicin de software.
CMM constituye un modelo en el que el mejoramiento de los procesos
de software se implementa incrementalmente. El modelo CMM puede ser
adaptado y moldeado a cualquier organizacin en particular, dentro del
marco de los procedimientos que establece.
El modelo CMM se centra en el concepto de madurez de los procesos,
concepto que define como el grado de definicin de los procesos y el
grado de cumplimiento de los mismos en el manejo de los proyectos de
software.
En nuestro medio, esos procesos se suelen englobar dentro del trmino
de metodologa de desarrollo y mantenimiento de sistemas; por lo que
podramos afirmar que la madurez est determinada por el nivel de
claridad y precisin en la definicin de la metodologa y en el grado de
compromiso que existe dentro de la organizacin para cumplirla,
utilizarla para establecer los productos o entregables y ajustar los planes,
de tal manera que los proyecto sea controlables.
En el ao 2002, el CMM fue reemplazado por una nueva versin,
Integracin de Modelos de la Madurez de las Capacidades (Capacity
Maturity Model Integration).
Al igual que para CMM, la principal premisa de CMMI es que La
calidad de un producto la determina de manera importante la calidad del
proceso que se sigue para desarrollarlo y mantenerlo
Hoy da, CMMI es un modelo de referencia sobre buenas prcticas
maduras, consolidadas, y probadas para el desarrollo y mantenimiento de
productos y servicios, cubriendo todo el ciclo de vida, desde la
concepcin hasta la instalacin y mantenimiento. Integra la Ingeniera de
Software, la Ingeniera de Sistemas y la Adquisicin de Productos y
Servicios.
CMMI es:
Un gua para mejorar los procesos y comprobar la capacidad de un
grupo al ejecutarlos
Un modelo de madurez, esto es, de directrices, prcticas y
disciplinas basadas en las mejores prcticas de la industria.
17
Captulo I
Administracin de la configuracin
3. Definido:
En esta etapa las organizaciones han definido y documentado los
estndares y procedimientos de desarrollo y mantenimiento y,
adicionalmente, todos los proyectos siguen un proceso estndar
para desarrollar y mantener software.
En esta etapa se aaden diferentes disciplinas como:
Desarrollo de requerimientos
Integracin de productos
Verificacin
Validacin
Administracin integrada de proyectos
Administracin de riesgos
Administracin integrada de proveedores
4. Cuantitativamente Gestionado:
En esta etapa, adicionalmente a las definiciones realizadas en la
etapa anterior, los productos y las actividades se miden y evalan
cuantitativamente. Se mide la calidad y la efectividad del
proceso, a travs de criterios cuantitativos, y se verifica el
cumplimiento de los objetivos de negocio
En esta etapa se aaden diferentes disciplinas como:
Medicin del desempeo de los procesos en la
organizacin
Administracin cuantitativa de proyectos
5. En Optimizacin:
Esta etapa se caracteriza por la mejora cuantificable y continua
de las prcticas de desarrollo y mantenimiento, mediante la
retroalimentacin de las mediciones y la realizacin de proyectos
piloto destinados a evaluar nuevas ideas y tecnologas.
En esta etapa se aaden diferentes disciplinas como:
Innovacin y despliegue organizativo
Anlisis causal
Las claves para implementar exitosamente CMMI son:
Involucrar a los ejecutivos de la empresa
19
Captulo I
7.- Qu es MOF?
El marco de operaciones de Microsoft (Microsoft Operations
Framework - MOF) es un conjunto de prcticas recomendadas por
Microsoft, a partir de las cuales se pueden disear los procedimientos,
controles y funciones necesarios para que la infraestructura de TI pueda
ser administrada con eficacia.
MOF est basado en la Biblioteca de infraestructuras de TI (ITIL) y
est orientada a la plataforma de Microsoft.
MOF ofrece directrices sobre la forma de planificar, implementar y
mantener los procesos operativos de TI que respaldan las soluciones de
servicio crticas. MOF es un modelo genrico y, por este motivo, debe
adaptar muchas de las recomendaciones para usarlas en una empresa en
particular.
20
Captulo I
22
HP OpenView
Patrol y otros productos de la empresa BMC
LANDesk Software
Axios Systems
OpTier's CoreFirst
Corregir
Hacer seguimiento
Recuperar la operacin normal
23
Captulo I
Deteccin
Registro
Seguimiento
Suministrando
informacin
actualizada
sobre
la
configuracin de la infraestructura de TI, para el
cumplimiento de los diferentes procesos de administracin de
servicios.
Captulo I
Elaboracin de presupuestos
Identificacin de elementos de costo y sus categoras
Estimacin y seguimiento de los costos
Pronosticar el crecimiento
Justificar la adquisicin de nuevos equipos
27
Captulo I
28
Captulo II
Ce nt ro de At e nc in
Captulo II
Centro de atencin
Tabla de contenido
30
Centro de atencin
Centro de atencin
31
Captulo II
1.1.- Ventajas
Los principales beneficios de la correcta implementacin de un centro
de atencin pueden resumirse en:
Mejor atencin al usuario que repercute en un mayor grado de
satisfaccin.
Identificacin de nuevas oportunidades para apoyar al negocio.
1.2.- Barreras
La implantacin de un centro de atencin puede tropezar con una serie
de barreras como las que a continuacin enumeramos:
2.- Modalidades
El contacto con el usuario puede adquirir diversas modalidades,
dependiendo de la amplitud de los servicios que se piensen ofrecer:
32
Call center:
Centro de atencin
3.- Planificacin
La implementacin de un centro de atencin requiere una meticulosa
planificacin. Como primer paso debe establecerse:
Cules son las necesidades?
Captulo II
4.- Facilidades
Hoy da existen innumerables facilidades para que un centro de
atencin pueda funcionar eficientemente:
1. Dispositivos de comunicacin, como los ACD (automatic call
distribution), que permiten administrar eficientemente el flujo de las
llamadas y su atencin ordenada, o como las facilidades de correo de
voz.
2. Paquetes de software que permiten apoyar la operacin de un centro
de atencin. Estos paquetes ofrecen facilidades para registrar cada
llamada recibida y dejar la huella de todas las acciones tomadas,
hasta el momento de su cierre, en que el usuario exprese su
aceptacin de la solucin recibida, lo cual permite que los
supervisores del centro de atencin puedan hacer seguimiento de los
34
Centro de atencin
5.- Estructura
Como arriba sealramos, el centro de atencin es el punto de
contacto central de toda la organizacin TI con sus clientes y usuarios.
Por tal razn es imprescindible que:
Sea fcilmente accesible.
Captulo II
6.- Actividades
6.1.- Atencin de llamadas
Como puede verse en las grficas que se muestran en las pginas
siguientes, las principales actividades que cumple un centro de atencin
son:
1. Recibir las llamadas de los usuarios y registrarlas en la base de datos.
2. Asignar un cdigo identificador a cada llamada registrada. Este
cdigo se acostumbra a informrselo al usuario, con el fin de que, en
caso de cualquier reclamo u observacin, se haga referencia al
mismo.
36
Centro de atencin
37
Captulo II
38
Centro de atencin
39
Captulo II
40
Centro de atencin
41
Captulo II
42
Captulo III
Manejo de Incidentes
Captulo III
Manejo de Incidentes
Tabla de contenido
1.- En qu consiste el manejo de incidentes? .................................45
1.1.Ventajas .............................................................................47
1.2.Barreras..............................................................................47
2.- Requerimientos...........................................................................48
3.- Clasificacin de los incidentes ...................................................48
4.- Escalamiento y soporte...............................................................49
5.- Actividades .................................................................................50
5.1.Registro de incidentes ........................................................50
5.2.Clasificacin de los incidentes...........................................51
5.3.Anlisis, Resolucin y Cierre de Incidentes ......................52
6.- Evaluacin de la disciplina .........................................................53
44
Manejo de Incidentes
Manejo de Incidentes
45
Captulo III
Manejo de Incidentes
1.1.- Ventajas
Las principales ventajas de una adecuada implementacin de la
disciplina de manejo de incidentes son:
Se mejora la productividad de los usuarios.
Se vela por el cumplimiento de los niveles de servicio acordados
con los usuarios.
Se optimiza la utilizacin de los recursos disponibles.
Se dispone de una base de datos de incidentes precisa, con los
incidentes relacionados a cada uno de los componentes de la
infraestructura.
Se puede lograr una mayor satisfaccin de los usuarios y clientes.
Por el contrario, la carencia de un adecuado manejo de incidentes
puede significar:
Un deterioro de los niveles de servicio.
1.2.- Barreras
Entre las principales barreras con que tropieza la implantacin de una
disciplina manejo de incidentes pueden citarse las siguientes:
No se siguen los procedimientos previstos.
Se resuelven los incidentes sin registrarlos adecuadamente.
Los incidentes se escalan innecesariamente.
No estn bien definidos los niveles de calidad de servicio ni los
productos soportados, lo que puede provocar que se atiendan
47
Captulo III
2.- Requerimientos
El manejo de incidentes requiere de una infraestructura que facilite su
correcta implementacin. Entre los elementos necesarios cabe destacar
los siguientes:
El sistema de registro de incidentes, para ser compartido con la
disciplina de centro de atencin.
Una base de conocimiento, que permita comparar los nuevos
incidentes que se reportan, con incidentes ya resueltos en el
pasado, con el fin de:
Evitar transferir innecesariamente los incidentes que se
reciban.
Convertir el conocimiento know how- de los tcnicos
en un activo duradero para la empresa.
Poner directamente a disposicin del cliente parte o la
totalidad de estos conocimientos en forma de preguntas
frecuentes FAQs- en la intranet para los usuarios
internos de la empresa o en la extranet para los clientes,
con el fin de que en algunas oportunidades sea el propio
usuario quien aplique el correctivo, sin necesidad de
notificar el incidente.
Una base de datos del hardware y software instalado, que permita
conocer todas las configuraciones actuales y el impacto que stas
puedan tener en la resolucin del incidente.
Manejo de Incidentes
Captulo III
5.- Actividades
Las actividades que se cumplen en el proceso de atencin de
incidentes son:
1. Registro de incidentes
2. Clasificacin de los incidentes
3. Anlisis, Resolucin y Cierre de Incidentes
50
Manejo de Incidentes
51
Captulo III
52
Manejo de Incidentes
Existen casos en que para aplicar las medidas que permitan reanudar
el servicio ser necesario producir una solicitud de cambio, que
normalmente corresponder a un cambio urgente.
Cuando se haya solucionado un incidente se deber:
Cotejar con los usuarios que la solucin ha sido satisfactoria.
53
Captulo III
54
Captulo IV
M a ne jo de
Proble m a s
Captulo IV
Manejo de problemas
Tabla de contenido
1.1.1.1.2.2.2.1.2.2.2.3.3.4.-
56
Manejo de problemas
Manejo de problemas
Problema:
Causa aun no identificada de una serie de incidentes o de un
incidente aislado pero de importancia significativa.
57
Captulo IV
Error conocido:
Un problema pasa a ser un error conocido cuando se han
determinado sus causas.
1.1.- Ventajas
Los principales beneficios de un adecuado manejo de problemas son:
58
Manejo de problemas
1.2.- Barreras
Entre las principales barreras con que tropieza la implantacin de una
disciplina manejo de problemas pueden citarse las siguientes:
2.- Actividades
59
Captulo IV
4.
Deteccin de problemas
Opcionalmente, si la estructura de la organizacin lo ha
establecido, en esta actividad se desarrolla un manejo de
problemas proactivo, en conjuncin con la disciplina de
monitorizacin y control, que permita a detectar problemas
antes de que estos se manifiesten y puedan causar un
deterioro en la calidad del servicio.
Manejo de problemas
Captulo IV
Errores de procedimiento.
Documentacin incorrecta.
Manejo de problemas
63
Captulo IV
64
Manejo de problemas
4.- Ejemplo
65
Captulo IV
66
Captulo V
Adm inist ra c in de
Configura c ione s
Captulo V
Administracin de Configuraciones
Tabla de contenido
1.- En qu consiste la administracin de configuraciones?............69
1.1.Ventajas .............................................................................70
1.2.Barreras..............................................................................70
2.- Terminologa ..............................................................................71
2.1.tems de configuracin (configuration item - CI) ..............71
2.2.Base de datos de configuraciones. .....................................72
2.3.Lnea base de configuracin (configuration baseline) .......72
2.4.Sistema de administracin de configuraciones. .................72
2.5.Ambientes operacionales ...................................................73
3.- Proceso .......................................................................................75
3.1.Planificacin ......................................................................76
3.2.Clasificacin y Registro.....................................................77
3.3.Alcance ..............................................................................77
3.4.Nivel de detalle y Profundidad ..........................................78
3.5.Nomenclatura.....................................................................78
3.6.Control ...............................................................................79
3.7.Auditoras...........................................................................79
4.- Evaluacin de la disciplina .........................................................80
68
Administracin de configuraciones
Administracin de configuraciones
69
Captulo V
1.1.- Ventajas
Los beneficios de una adecuada administracin de configuraciones
son mltiples, entre ellos:
1.2.- Barreras
Las principales barreras que encuentra la implantacin de la disciplina
de administracin de configuraciones son:
70
Administracin de configuraciones
2.- Terminologa
A lo largo de este captulo hemos utilizado diferentes conceptos con
diferentes denominaciones, sin embargo, especialmente en
administracin de configuraciones, para poder desarrollar unos
procedimientos consistentes y sin ambigedades es imprescindible
manejar una terminologa clara y precisa, por lo que a continuacin
discutiremos los ms importantes.
71
Captulo V
Administracin de configuraciones
2.5.-
Ambientes operacionales
Ambiente de produccin
El ambiente de produccin est conformado con todos los
recursos y componentes destinados a procesar las
operaciones y la informacin de la empresa. Es un ambiente
que maneja los datos reales del negocio, al que slo tienen
acceso los usuarios, con las limitaciones que les imponen los
perfiles de seguridad que les hayan sido asignados, de
acuerdo con sus atribuciones y responsabilidades.
73
Captulo V
74
Administracin de configuraciones
Ambiente de adiestramiento.
En algunas empresas se utiliza un ambiente de
adiestramiento, este ambiente est conformado con todos los
recursos y componentes destinados necesarios para que los
usuarios de un nuevo sistema puedan aprender a utilizar sus
funciones en forma muy similar a como lo harn cuando el
sistema pase a produccin.
Normalmente se utiliza para adiestrar a los usuarios para un
nuevo sistema de largo alcance. Es un ambiente con una
estructura muy similar a la del ambiente de produccin, pero
en el que tambin se manejan datos ficticios datos de
prueba-.
El acceso a este ambiente tiene ms restricciones que el
ambiente de desarrollo, pero menos que el ambiente de
produccin. Solamente lo utilizan usuarios y personal de
desarrollo, debidamente autorizados para cumplir los
procesos de adiestramiento especficamente planificados.
La separacin de ambientes es un elemento fundamental de control
interno, pues permite establecer controles estrictos sobre el uso de los
componentes destinados a produccin y el acceso a la informacin del
negocio. En algunas empresas, en las que no se dispone de suficientes
recursos, ser imprescindible que, como mnimo, se establezca una
separacin estricta entre el ambiente de produccin y todas las
actividades de desarrollo y prueba.
Es importante observar que los procesos de migracin de
componentes desde el ambiente de prueba al ambiente de produccin, una
vez que han pasado satisfactoriamente los procesos de prueba, se realizan
bajo la supervisin de las disciplinas de administracin de versiones y de
cambios.
3.- Proceso
Las principales actividades que se cumplen dentro del proceso de
administracin de configuraciones son:
1. Planificacin:
Determinar los objetivos y estrategias de la administracin de
configuraciones.
75
Captulo V
2. Clasificacin y registro:
Los tems de configuracin (CIs) deben registrarse de acuerdo a su
lnea base y nomenclatura que se hayan predefinido.
3. Seguimiento y control:
Es necesario asegurar que la base de datos de la administracin de
configuracin (CMDB) est correctamente actualizada, por lo que es
fundamental hacer un seguimiento que permita asegurar que cada una
de las disciplinas relacionadas administracin de cambios y de
versiones- registren y actualicen correcta y oportunamente la
informacin de su competencia.
4. Realizacin de auditoras:
Como es prctica normal en cualquier proceso de inventario, la
administracin de la configuracin incluye la realizacin de
auditoras que permitan cotejar la informacin registrada en la base
de datos contra la configuracin fsica real de la infraestructura TI de
la organizacin.
5. Elaboracin de informes:
La Administracin de configuraciones tiene como funcin primordial
aportar informacin a otras disciplinas y para las diferentes reas de
la infraestructura de TI.
3.1.- Planificacin
Sin una base de datos de configuraciones es muy difcil que puedan
administrarse satisfactoriamente los servicios de TI, por la sencilla razn
de que no existira un conocimiento detallado de lo que se est
administrando. Por esta razn, puede decirse que la disciplina de
administracin de configuraciones es el corazn de la administracin de
servicios de TI.
Las principales tareas que se cumplen dentro de la actividad de
planificacin son las siguientes:
Administracin de configuraciones
Establecer claramente:
El alcance y objetivos.
El nivel de detalle.
El proceso de implementacin en orden de importancia o
de acuerdo con los lineamientos dictados por la gerencia
de TI.
3.3.- Alcance
Al poner en marcha la disciplina de administracin de configuraciones
ser importante establecer prioridades, determinando qu sistemas y
componentes TI van a ser incluidos gradualmente en la base de datos de
componentes. Debe tomarse en cuenta que al establecer el alcance:
77
Captulo V
3.5.- Nomenclatura
Ser de vital importancia establecer un sistema de codificacin y
clasificacin para los diferentes tems de configuracin, con el fin de que
el sistema pueda ser utilizado con facilidad:
78
Administracin de configuraciones
3.6.- Control
La administracin de configuraciones debe estar puntualmente
informada de todos los cambios y adquisiciones de componentes para
mantener actualizada la base de datos.
El registro de todos los componentes de hardware debe iniciarse desde
la aprobacin de su compra y debe mantenerse actualizado su estado en
todo momento de su ciclo de vida. Asimismo, debe estar correctamente
registrado todo el software "en produccin".
Las tareas de control deben centrarse en:
3.7.- Auditoras
El objetivo de las auditoras es asegurar que la informacin registrada
en la base de datos de configuraciones coincide con la estructura real de
la infraestructura de TI. Normalmente, las auditoras debern realizarse
en forma rotativa, pues resultar demasiado engorroso auditar toda la
infraestructura de una sola vez. Adicionalmente, el proceso de auditoras
debe mantenerse con cierta constancia, a los fines de cubrir toda la
infraestructura en un perodo razonable un semestre o un ao-.
Dentro de lo posible, deber dotarse el proceso de auditora de
herramientas automatizadas, como lectores de cdigo de barras y
programas que comparen la base de datos con los datos obtenidos en las
revisiones fsicas, con el fin de determinar faltantes, sobrantes e
inexactitudes.
Tambin ser importante que se realicen auditoras despus de haberse
procesado algn cambio significativo reemplazo de aplicaciones o de
equipos- y si existe la sospecha de que alguna parte de la informacin
almacenada en la base de datos est o incompleta o es incorrecta.
Las auditoras deben dedicar especial atencin a aspectos tales como:
79
Captulo V
80
Captulo VI
Adm inist ra c in de
V e rsione s
Captulo VI
Administracin de versiones
Tabla de contenido
1.1.1.1.2.2.2.1.2.2.2.3.2.4.2.5.3.3.1.3.2.3.3.4.5.6.-
82
Administracin de versiones
Administracin de versiones
Captulo VI
84
Administracin de versiones
1.1.- Ventajas
Entre las ventajas que pueden derivarse de una disciplina de
administracin de versiones implementada correctamente pueden
sealarse:
Las nuevas versiones cumplen los objetivos que originaron su
desarrollo.
Se reduce el nmero de incidentes que puedan ocasionarse por
incompatibilidades con otro software o hardware instalados.
El proceso de pruebas que debe preceder la implantacin, permite
asegurar la calidad del software y hardware que se instala.
El correcto mantenimiento de la bibliotecas de componentes
originales -fuentes, ejecutables, documentacin, etc.- evita que se
pierdan valiosos elementos de la infraestructura.
Se mantiene un control centralizado del software que pasa al
ambiente de produccin.
1.2.- Barreras
Entre las principales barreras que encuentra la implantacin de la
disciplina de administracin de versiones pueden sealarse las siguientes:
Resistencia a la centralizacin del proceso de cambio.
El personal y, en general, la organizacin TI no reconocen la
autoridad del administrador de versiones, especialmente en lo
relacionado a la custodia de los tems instalados en el ambiente de
produccin.
No se realizan pruebas lo suficientemente rigurosas de las nuevas
versiones, lo cual genera emergencias en el ambiente de
produccin y la permanente necesidad de hacer excepciones en el
cumplimiento de los procedimientos, con el fin de poder
modificar los componentes directamente en ese ambiente.
Hay resistencia a desarrollar planes de retorno o backout", para
deshacer cualquier cambio que se haya implementado en
produccin, pero que, por cualquier razn, no est funcionando
adecuadamente.
85
Captulo VI
Administracin de versiones
Captulo VI
Administracin de versiones
89
Captulo VI
3.1.- Planificacin
Antes de instalar una nueva versin en produccin se requiere
formular varios planes, dependiendo del tipo de versin -mayor, menor o
de emergencia-. Estos planes formarn parte del material que ser
revisar por la administracin de cambios y debern tomar en cuenta los
siguientes aspectos:
Alcance, contenido, riesgos, responsabilidades y usuarios
involucrados en la versin.
Estrategia para obtener la participacin de todas las partes
involucradas unidades de soporte, analistas de sistemas, tcnicos
de bases de datos, usuarios, etc. Planes de retorno backout- para las situaciones de falla. Verificar
que los planes de retorno o respaldo y de retorno o backout han
sido convenientemente preparados y que son totalmente viables.
Establecer quin, cmo y cundo tomar la decisin de aplicar los
planes de retorno en caso de ser necesario-, para minimizar el
impacto negativo sobre el servicio.
Qu se va a instalar? Establecer qu tems de configuracin estn
involucrados en la nueva versin.
Quines son los usuarios?
Dnde estn de los usuarios? En el caso de distribuciones
internacionales, cuales consideraciones deben ser hechas?
Cules son las principales dificultades que se prevn?
90
Administracin de versiones
Captulo VI
92
Administracin de versiones
4.- Implementacin
Una vez que se ha establecido la coordinacin con el proceso de
administracin de cambios, se procede con la implantacin en
produccin. Este proceso puede ser:
Completa
Parcial
A su vez, una vez cumplidos los procesos de implantacin, la
administracin de versiones debe asegurarse de que:
Se incluyan los programas fuente, la documentacin y las copias
de los programas ejecutables, en las bibliotecas correspondientes La base de datos de configuracin quede correctamente
actualizada.
Se informe debidamente a la unidad de atencin a los usuarios.
4.1.1.- Implementacin completa
Cuando se realiza instala una implantacin completa, se instalan todos
los tems que componen la versin simultneamente para todos los
usuarios, en todas las localidades.
Normalmente, para este tipo de implementaciones se establece un
perodo de prueba final, denominado de aceptacin funcional. Este
perodo de prueba lo cumplen los usuarios, con el personal de soporte y el
personal de operaciones, para evaluar que el sistema se desempea
adecuadamente trabajando bajo condiciones reales.
Algunas veces estas pruebas pueden incluir el cumplimiento de
paralelos. Probar un sistema nuevo en paralelo con el sistema vigente,
implica la instalacin total del sistema en el ambiente de produccin, su
ejecucin con datos reales y la comparacin de sus resultados con los que
produce el sistema vigente.
Una vez que estos procesos de aceptacin se cumplen, el nuevo
sistema pasa a ser el sistema oficial y se desinstalan todos los
componentes que correspondan al sistema que se reemplaza.
4.1.2.- Implementacin parcial
Muchas veces se realiza lo que se denomina instalacin piloto, para
asegurar que el sistema se comporta adecuadamente en el ambiente de
produccin. Tambin, si los usuarios se encuentran dispersos en
localidades muy distantes y existen diferencias importantes de horario, se
prefiere ir cubriendo grupos de usuarios separadamente. En estos casos,
93
Captulo VI
94
Captulo VII
Adm inist ra c in de
Ca m bios
Captulo VII
Administracin de cambios
Tabla de contenido
1.- En qu consiste la administracin de cambios? ........................97
1.1.Ventajas .............................................................................98
1.2.Barreras..............................................................................98
2.- Elementos ...................................................................................99
3.- Roles ...........................................................................................99
4.- Actividades ...............................................................................100
4.1.Registrar...........................................................................101
4.2.Aceptacin de la solicitud................................................102
4.3.Clasificacin ....................................................................102
5.- Aprobacin y Planificacin ......................................................104
6.- Implementacin ........................................................................105
7.- Evaluacin ................................................................................106
8.- Evaluacin de la disciplina .......................................................106
96
Administracin de cambios
Administracin de cambios
97
Captulo VII
1.1.- Ventajas
La administracin de cambios, por lo permanente y constante de los
cambios, viene a ser una de las disciplinas medulares para poder asegurar
la continuidad de los servicios. En general, podemos decir que su correcta
aplicacin puede brindar las siguientes ventajas:
1.2.- Barreras
La disciplina de administracin de cambios tropieza con una serie de
barreras como las que a continuacin enumeramos:
98
Administracin de cambios
2.- Elementos
Los procedimientos de administracin de cambios que se adopten
deben definir los siguientes elementos:
3.- Roles
En los procedimientos de administracin de cambios participan varios
personajes:
1. Proponente:
Es cualquier persona que determina la necesidad de implementar un
cambio y prepara una solicitud de cambio.
2. Administrador de cambios:
Es la persona encargada de motorizar todos los procedimientos que
conforman la administracin de cambios, entre ellas:
Procesar todas las solicitudes de cambio.
Asegurar una adecuada evaluacin del impacto que cada
cambio pueda tener, antes de que el mismo sea
aprobado.
99
Captulo VII
3.
4.
5.
6.
7.
8.
4.- Actividades
La administracin de cambios normalmente incluye actividades como
las siguientes:
100
Administracin de cambios
4.1.- Registrar
El primer paso del proceso de cambio es registrar las solicitudes de
cambio. Estas solicitudes pueden venir de cualquier parte interesada:
Fecha de preparacin.
Nmero identificador de la solicitud de cambio.
Descripcin del cambio propuesto:
Propsito -nuevo servicio, actualizacin, correccin de
error conocido, solucin de problema, etc.
tems de configuracin involucrados.
Estimado de personal y recursos que deben participar en
la implementacin del cambio.
Tiempo estimado.
El registro de la solicitud de cambios se ir actualizando a medida que
se vayan cumpliendo las diferentes tareas, con el fin de poder realizar un
seguimiento detallado del proceso, desde su inicio hasta la evaluacin
final y su cierre definitivo.
La informacin de registro debe ser actualizada durante todo el
proceso y debe incluir informacin como la siguiente:
101
Captulo VII
4.3.- Clasificacin
Una vez que el cambio solicitado ha sido evaluado, se evaluarn su
prioridad, su impacto y los factores de riesgo que podran amenazar el
xito del cambio.
La prioridad que se asigne expresar la importancia que tiene una
solicitud de cambio en relacin con otras solicitud de cambios pendientes
y permitir establecer el orden en que se irn procesando e implantando
los cambios. La experiencia ha enseado que una buena forma de
establecer los niveles de prioridad, puede ser la siguiente:
Baja:
Es frecuente que se prefiera realizar los cambios de prioridad
baja junto con otros cambios que guarden alguna relacin.
102
Normal:
Administracin de cambios
Captulo VII
104
Administracin de cambios
6.- Implementacin
La administracin de cambios no incluye las responsabilidades de
implantacin de los cambios, ya que dicha implantacin ser
responsabilidad de alguna unidad tcnica -de soporte o sistemas-, que
hemos denominado el grupo implementador, con el apoyo del
personal de diferentes unidades, que hemos denominado grupo de
soporte. Muchos de los cambios sern implementados bajo el control de
los procedimientos de administracin de versiones.
Sin embargo, especialmente para los cambios complejos o de alta
prioridad, el administrador de cambios monitorizar el proceso de cambio
para asegurar que se cumplen los cronogramas previstos y la adecuada
asignacin de recursos, tanto para el grupo implementador, como para el
grupo de soporte.
Es importante velar por una buena comunicacin; al momento de
implantarse el cambio; ningn usuario, proveedor o tcnico del centro de
atencin debe ignorar que se est realizando un cambio. Ser
responsabilidad de la administracin de cambios y del centro de atencin
mantener informados a los usuarios sobre los cambios y facilitar su
aceptacin:
105
Captulo VII
7.- Evaluacin
Antes de dar por concluido un proceso de cambio, ser necesario
realizar una evaluacin que determine el valor y la verdadera
contribucin a la calidad del servicio y a la productividad de los usuarios.
Al realizar esa evaluacin, debern considerarse aspectos como:
Evaluaciones post-implementacin.
Administracin de cambios
107
Captulo VII
108
Captulo VIII
M onit oriza c in y
Cont rol
Captulo VIII
Monitorizacin y control
Tabla de contenido
1.- En qu consiste monitorizacin y control? .............................111
1.1.Ventajas ...........................................................................113
1.2.Barreras............................................................................114
2.- Ciclo de monitorizacin............................................................114
3.- Terminologa ............................................................................115
4.- Herramientas.............................................................................116
5.- Niveles de monitorizacin ........................................................117
6.- Formas de monitorizacin ........................................................118
7.- Implementacin de la disciplina ...............................................119
8.- Evaluacin de la disciplina .......................................................119
110
Monitorizacin y control
Monitorizacin y control
Captulo VIII
112
Monitorizacin y control
1.1.- Ventajas
La implantacin de la disciplina de monitorizacin y control puede
brindar mltiples ventajas, entre las que cabe citar las siguientes:
Capacidad para anticipar algunos problemas en el servicio.
Captulo VIII
1.2.- Barreras
La disciplina de monitorizacin y control tropieza con una serie de
barreras como las que a continuacin enumeramos:
114
Monitorizacin y control
3.- Terminologa
Con el fin de asegurar que los procedimientos se establezcan sin
ambigedades, es importante tener claras varias definiciones importantes
para esta disciplina:
1. Servicio
Un servicio es una funcin que se realiza para el negocio y que, por
lo tanto, debe definirse desde ese punto de vista; por ejemplo, los
servicios de correo electrnico y los de impresin pueden ser
considerados como un servicio, independientemente del nmero de
componentes o tems de configuracin que intervienen en su entrega.
2. Catlogo de servicios
Los servicios que se prestan en una organizacin de TI, se registran
en el catlogo de servicios, en este catlogo, creado y manejado por
los administradores de monitorizacin y control, se incluye tambin
un desglose de los componentes de la infraestructura que soporta la
produccin del servicio, denominados componentes del servicio.
3. Instrumental
El instrumental lo integran las herramientas y los mecanismos que se
utilizan para determinar el estado de un componente. No siempre es
posible disponer de instrumentos para monitorizar la salud de algunos
componentes, especialmente para muchos de los componentes de
software.
4. Componentes de servicio
Los componentes de servicio son tems de configuracin, cuya
informacin se encuentra almacenada en la base de datos de
115
Captulo VIII
4.- Herramientas
Si bien todas las disciplinas de administracin de servicios requieren
herramientas que, con diversos grados de sofisticacin, faciliten su
proceso, en el caso de la disciplina de monitorizacin y control es de
crucial importancia dotarla de herramientas robustas y de amplio alcance.
As pues, las herramientas que se seleccionen debern tener
caractersticas como las siguientes:
1Alta disponibilidad
.Deben operar bajo ambientes de alta disponibilidad, como
clusters, etc. y deben haber sido desarrolladas con facilidades que
les permitan ofrecer una alta disponibilidad.
2Arquitectura compatible.
Obviamente, las herramientas de monitorizacin y control deben
ser compatibles con la infraestructura instalada.
3Adaptabilidad
Las herramientas de monitorizacin y control deben tener la
capacidad de operar en redes donde se combinan diferentes
topologas.
4Agilidad de notificaciones
Deben tener capacidad para notificar a los tcnicos en las consolas
de monitoreo y tambin para notificar a tcnicos responsables de
los servicios que presenten alguna condicin, en la forma ms
rpida posible.
116
Monitorizacin y control
5-
6-
7-
8-
9-
10-
11-
12-
Presentacin grfica
Deben tener capacidad para mostrar en forma simple,
preferiblemente en forma grfica, cualquier anomala detectada en
cualquiera de los componentes monitorizados.
Autodescubrimiento
Deben tener, en lo posible, la capacidad de identificar los cambios
que se hagan en la infraestructura.
De bajo impacto.
Deben tener agentes de supervisin livianos, que causen un mnimo
impacto en el desempeo de la infraestructura que se supervisa.
Escalabilidad
Deben tener la capacidad de crecer, a medida que crece la cantidad
de objetos manejados y el nmero de acontecimientos simultneos
que debe procesar en un momento dado.
Interoperabilidad.
Deben satisfacer los requerimientos de interoperabilidad,
integrndose con otras herramientas de administracin de servicios
Base de datos.
Deben almacenar los datos del funcionamiento de la
infraestructura, para ser utilizados por otras disciplinas de
administracin de servicios.
Base de conocimiento.
Deben ofrecer facilidades para almacenar los conocimientos que se
vayan derivando de las experiencias, para uso de los tcnicos de
monitorizacin.
Seguridad.
Deben cumplir con requerimientos de seguridad, tal como niveles
de acceso y autorizaciones basadas en roles.
117
Captulo VIII
2- El nivel externo
El nivel externo de monitorizacin centra su atencin en los
servicios -como correo, impresin, base de datos, etc.independientemente de la multiplicidad de los componentes que
intervienen en su produccin.
Un buen servicio de monitorizacin debe combinar ambos niveles,
con el fin de poder establecer tanto la calidad de los servicios, como la
adecuacin de la infraestructura y sus componentes.
2-
3-
4-
118
Monitorizacin y control
119
Captulo VIII
2-
3-
120
Mtricas
Una mtrica es el conjunto de procedimientos que se cumplen para
evaluar cuantitativamente con cierta periodicidad un proceso o un
sistema, junto con los procedimientos para interpretar los
resultados. Es decir, en una mtrica se establece lo que se va a
medir, la forma como se va a medir y la forma como se van a
interpretar los resultados.
Indicadores clave
Un indicador clave corresponde a un nivel de desempeo o
medicin, establecido y acordado previamente, para calificar la
efectividad de una organizacin o de un servicio.
Captulo IX
Adm inist ra c in de
N ive le s de Se rvic io
Captulo IX
122
Captulo IX
1.1.- Ventajas
La adopcin de la disciplina de administracin de niveles de servicio,
puede tener las siguientes ventajas:
Los servicios TI se ajustan para cumplir las necesidades de los
usuarios.
124
1.2.- Barreras
Una de las disciplinas ms difciles de adoptar es la administracin de
niveles de servicio, pues tropieza con innumerables barreras, como las
que citamos a continuacin:
y No existe un verdadero compromiso con la calidad de los servicios
ofrecidos por TI.
y No se alinean adecuadamente los servicios TI con los procesos del
negocio.
y No existe una buena comunicacin con los usuarios por lo que los
acuerdos de niveles de servicios no expresan las necesidades reales.
y Los acuerdos de niveles de servicio estn basados ms en deseos y
expectativas del cliente que en las capacidades reales que la
infraestructura TI permite ofrecer.
y Los acuerdos de servicio incluyen demasiados detalles tcnicos, lo
cual impide que los usuarios se identifiquen con ellos.
y No se asigna suficiente personal calificado a la administracin de
niveles de servicio.
y Por fallas de comunicacin, algunos usuarios desconocen las
caractersticas de los acuerdos.
y No se monitoriza adecuada y consistentemente el cumplimiento de
los niveles de servicio, lo cual minimiza el valor de la disciplina y
dificulta la posibilidad de mejorar la calidad del servicio.
2.- Terminologa
2.1.- Proveedores, clientes y usuarios
Cliente es una empresa u organismo que contrata los servicios de TI.
Los usuarios son las personas que utilizan los servicios de TI para el
cumplimiento de sus funciones.
125
Captulo IX
o
o
o
127
Captulo IX
Procedimientos de monitorizacin
Servicios de TI relacionados
Especificaciones del servicio de TI, incluyendo:
Descripcin del servicio - narrativo Elementos o componentes tecnolgicos que intervienen
Horario
Criticidad
Nivel de servicio requerido
3. Definicin de mtricas
Establecer las mediciones que se deben o pueden aplicar, para
establecer los niveles de calidad del servicio:
Disponibilidad
Captulo IX
4.- Proceso
Las principales actividades que conforman la disciplina de
administracin de niveles de servicio pueden resumirse como:
Preparacin
Seguimiento
Revisin continua
4.1.- Preparacin
Las actividades de preparacin de la administracin de niveles de
servicio requieren la participacin y el compromiso de toda la
organizacin TI, as como tambin la colaboracin activa de los usuarios
de los servicios TI.
El proceso de preparacin incluye todas las tareas para desarrollar:
Catlogo de servicios
130
4.2.- Seguimiento
Una vez establecidos los acuerdos de servicio, ser necesario verificar
que da a da se cumplen, determinar las causas de cualquier desviacin y
establecer las acciones para mejorar continuamente la calidad del
servicio. Puede afirmarse que el proceso de monitorizacin o seguimiento
131
Captulo IX
133
Captulo IX
134
Captulo X
Adm inist ra c in
Fina nc ie ra de T I
Captulo X
Administracin Financiera de TI
Tabla de contenido
1.- En qu consiste la administracin financiera de TI?...............137
1.1.Ventajas ...........................................................................138
1.2.Barreras............................................................................138
2.- Terminologa ............................................................................138
2.1.Costos y gastos.................................................................139
2.2.Depreciacin y amortizacin ...........................................141
3.- Planificacin .............................................................................142
3.1.Catlogo de servicios .......................................................143
3.2.Costeo de servicios ..........................................................144
3.3.Proyectos..........................................................................145
3.4.Costeo de proyectos .........................................................145
4.- Elaboracin del presupuesto .....................................................146
5.- Contabilidad .............................................................................147
6.- Actividades de la administracin financiera de TI ...................148
7.- Evaluacin de la disciplina .......................................................150
136
Administracin financiera de TI
Administracin Financiera de TI
Captulo X
1.1.- Ventajas
La implantacin de una adecuada administracin financiera de los
servicios de informtica ofrece ventajas como las siguientes:
Pueden optimizarse los costos de los servicios
Puede mejorarse la rentabilidad de los servicios
La organizacin TI puede planificar mejor sus inversiones
Los servicios TI se utilizan con mayor eficiencia
1.2.- Barreras
En general, las principales barreras que encuentra la implementacin
de la administracin financiera de los servicios de TI son:
No es fcil encontrar personal que est familiarizado tanto con los
servicios TI como con aspectos financieros y/o contables.
No es sencillo determinar costos por servicio, pues existen
muchos componentes de la infraestructura que son comunes a
varios servicios.
Existen mltiple costos ocultos o difciles de valorar.
2.- Terminologa
Para comprender los aspectos relacionados con la administracin
financiera es importante que revisemos, como primer paso, la
terminologa contable y presupuestaria relacionada.
138
Administracin financiera de TI
Captulo X
Servicios de comunicacin
Gastos de personal
Viticos
Servicios profesionales
Servicios de outsourcing
Alquiler de oficinas y locales
Depreciacin de mobiliario y equipos de oficina
Repuestos
Servicios de capacitacin y adiestramiento
Libros, revistas y suscripciones
Desde el punto de vista de los servicios de TI, estos costos pueden ser
de varias categoras:
Costos directos:
Son los costos que se pueden relacionar especfica y
exclusivamente con un producto o servicio, como por ejemplo,
cuando intentamos determinar el costo del servicio de internet, el
costo de los servidores que estn dedicados nicamente a
soportar este servicio, constituyen un costo directo. Esto es hay
una relacin clara entre el rubro de costo y el servicio.
Costos indirectos:
Son aquellos rubros que no son especficos o exclusivos de un
servicio, como por ejemplo, cuando queremos calcular el costo
de los servicios de una aplicacin, podemos observar que esa
aplicacin comparte los servicios del servidor de bases de datos,
del servidor de aplicaciones y los servicios de conexin a la red.
Se hace, en estos casos, necesario establecer la proporcin que
de cada uno de esos servicios utiliza la aplicacin.
La determinacin de estos costos es un poco ms difcil, por lo
general, se prorratean entre los diferentes servicios y productos
que los utilizan. La dificultad estriba en que no siempre es clara
la forma como se debe determinar la proporcin de uso.
Desde el punto de vista de su asociacin con el funcionamiento de los
servicios de TI, estos costos pueden ser de varias categoras:
140
Administracin financiera de TI
Costos de operacin
En la lista de rubros de costo que mostramos, podemos observar
que hay costos o gastos que estn asociados al funcionamiento
diario, como son los servicios de mantenimiento; estos costos se
denominan costos de operacin.
Costos de capital
Existen otros rubros de costo, como es la depreciacin de los
equipos o de las inversiones hechas para acondicionar los locales
para los equipos, que se denominan costos de capital.
141
Captulo X
3.- Planificacin
La administracin financiera se cumple en dos grandes ciclos o
tiempos diferentes, uno corresponde a la elaboracin del presupuesto, que
constituye la expresin monetaria de los planes operativos de la unidad de
TI. El otro, corresponde al ciclo de control, en el cual se lleva el cmputo
de los gastos y costos reales.
Administracin financiera de TI
143
Captulo X
Administracin financiera de TI
3.3.- Proyectos
Junto con el catlogo de servicios, las carteras de proyectos de
desarrollo o mantenimiento de la infraestructura tecnolgica y de
sistemas constituyen el universo de los costos de TI.
Los proyectos son actividades grandes o pequeas, que se cumplen
una sola vez, con un propsito especfico, como puede ser: desarrollar
una aplicacin, disear y cablear un segmento de red, etc.
Es comn que, para los proyectos, se acumulen los costos
correspondientes a los recursos que participan en su desarrollo y,
posteriormente, se amortice el total en varios perodos, durante el tiempo
que se estime se utilizar el producto o servicio vida til- que resulte del
proyecto.
Para efectos del clculo del presupuesto, las carteras de proyectos
permitirn establecer los centros en los que se acumularn los costos y
gastos de TI, de acuerdo con los recursos necesarios para asegurar su
cumplimiento.
Captulo X
146
Administracin financiera de TI
5.- Contabilidad
En una empresa, la contabilidad asociada a los servicios TI sigue
patrones similares a la contabilidad asociada a otros servicios o
departamentos, por lo que, dada la complejidad de las interrelaciones
entre los componentes humanos y tecnolgicos de TI, muchas veces la
informacin que suministra el sistema de contabilidad no tiene el grado
de desagregacin necesario para poder analizar los cosos reales de los
servicios y los proyectos.
Se hace, pues, necesario utilizar los sistemas contables como fuentes
de datos -especialmente los subsistemas de personal, nmina de pagos,
compras, cuentas por pagar y activos fijos- y mantener una base de datos
o datamart con la informacin de los sistemas mencionados.
147
Captulo X
Administracin financiera de TI
Captulo X
150
Administracin financiera de TI
151
Captulo X
152
Captulo XI
Adm inist ra c in de
la Ca pa c ida d
Captulo XI
Administracin de la capacidad
Tabla de contenido
1.- Qu es administracin de la capacidad? .................................155
1.1.Ventajas ...........................................................................157
1.2.Barreras............................................................................157
2.- Actividades ...............................................................................158
2.1.Plan de Capacidad............................................................159
2.2.Estimacin .......................................................................160
2.3.Asignacin de recursos ....................................................160
2.4.Monitorizacin.................................................................161
3.- Administracin de la demanda .................................................161
4.- Evaluacin de la disciplina .......................................................162
154
Administracin de la capacidad
Administracin de la capacidad
Captulo XI
Administracin de la capacidad
1.1.- Ventajas
La implementacin de la disciplina de administracin de capacidades
puede brindar una serie de ventajas, como las siguientes:
Se optimizan el desempeo de los recursos informticos.
Se asegura que la capacidad necesaria estar disponible para
atender los diferentes servicios en el momento en que sea
requerida.
Se evitan gastos innecesarios producidos por compras no
justificadas adecuadamente
Se planifica el crecimiento de la infraestructura de acuerdo con las
necesidades reales de los servicios
Se reducen de los gastos de mantenimiento y de administracin
asociados a equipos y aplicaciones obsoletos o innecesarios
Como conjunto, los procedimientos de administracin de capacidades
permitirn armonizar el desarrollo de la infraestructura de TI y los
requerimientos de servicios, con la consiguiente reduccin de costos y
optimizacin del desempeo.
1.2.- Barreras
La implementacin de la disciplina de administracin de la capacidad
normalmente tropieza con muchas dificultades, entre las cuales podemos
distinguir las siguientes:
157
Captulo XI
2.- Actividades
Las actividades de la administracin de las capacidades pueden ser de
dos formas:
Reactivas
Monitorizacin
Medicin
Proactivas
Prediccin de requerimientos futuros
Prediccin de tendencias
El proceso de administracin de la capacidad
incluye tres
subprocesos, encargados de analizar las capacidades de TI desde
diferentes puntos de vista:
158
Administracin de la capacidad
159
Captulo XI
2.2.- Estimacin
En la medida que las instalaciones se hacen ms complejas, resulta
mucho ms complicado administrar las capacidades y escoger los
caminos para el crecimiento de la infraestructura de TI. Es necesario
evaluar alternativas y los costos asociados a cada alternativa, para lo cual
pueden seguirse varios mtodos:
Analizar tendencias para evaluar los volmenes de trabajo que se
esperan y poder estimar los aumentos de capacidad necesarios.
Modelar y simular diferentes escenarios, con el fin de observar
el impacto de los volmenes previstos y poder tomar las
previsiones para el crecimiento de la infraestructura informtica.
Realizar benchmarks con configuraciones reales, con el fin de
asegurar que las nuevas capacidades que se adquieran
respondern adecuadamente a las necesidades futuras.
Normalmente, los benchmarks se llevan a cabo con facilidades
que ofrecen los proveedores.
160
Administracin de la capacidad
2.4.- Monitorizacin
La administracin de la capacidad es un proceso continuo e iterativo
que monitoriza, analiza y evala el desempeo y la capacidad de la
infraestructura de TI; con esos datos analiza las posibilidades de mejorar
la calidad de los servicios, bien sea por la va de la optimizacin del
manejo de los recursos o de la ampliacin de la base instalada. Siempre,
manteniendo en perspectiva que el objetivo central es asegurar que el
desempeo de la infraestructura informtica cumpla con los niveles de
servicio acordados.
161
Captulo XI
162
Administracin de la capacidad
163
Captulo XI
164
Captulo XII
Captulo XII
166
Captulo XII
168
1.1.- Ventajas
La implementacin adecuada de la disciplina de administracin de la
continuidad de los servicios de TI tiene una gran cantidad de ventajas,
entre las cuales cabe destacar las siguientes:
Se manejan y se mitigan los riesgos.
Se reducen los periodos de interrupcin no planificados del
servicio de TI.
Se fortalece la confianza en la calidad del servicio, por parte de
usuarios y clientes.
1.2.- Barreras
La implementacin de la disciplina de administracin de la
continuidad de los servicios de TI es una tarea compleja y laboriosa y,
adems, normalmente tropieza con diferentes obstculos como los
siguientes:
Hay resistencia a realizar inversiones que no van a tener una
rentabilidad inmediata, por lo que no se presupuestan ni asignan
suficientes recursos.
No existe un compromiso dentro de la organizacin a cumplir con
las tareas y actividades que requiere la disciplina, por lo que
continuamente se demoran los planes, para atender otras tareas de
mayor prioridad.
No se actualizan los procedimientos y guas cada vez que se
realiza un cambio en la plataforma de servicios de TI.
No se cumple con un anlisis completo de riesgos y se dejan de
lado amenazas y vulnerabilidades importantes.
169
Captulo XII
170
171
Captulo XII
3.- Terminologa
Dentro de las diferentes disciplinas arriba descritas, se manejan varios
trminos de importancia, como son:
Objetivo de tiempo de recuperacin -Recovery Time Objetive
(RTO)
El objetivo de tiempo de recuperacin es un resultado
fundamental del anlisis de impacto Business Impact Anlisis
(BIA)-, que establece el intervalo de tiempo en el cual un
servicio, proceso o actividad crtica de la empresa debe ser
recuperado. En trminos del Instituto de Continuidad del Negocio
-Business Continuity Institute (BCI)- es el perodo de tiempo en
el que un proceso puede estar inoperativo.
172
Centro de operaciones alternas del negocio COANEl centro de operaciones alternas del negocio es el local escogido
por la empresa para cumplir con sus operaciones en caso de que,
por cualquier motivo, no pueda tenerse acceso a las oficinas de la
empresa. Normalmente el centro alterno debe ubicarse en una
localidad que no est cercana a las oficinas regulares, previendo
los estragos que un terremoto o motn poltico pudiera generar.
En l se deber disponer de los recursos necesarios para hacer
funcionar el negocio, aunque sea en una mnima versin:
mobiliario, suministros, equipos, telfonos, etc.
Centro Alterno de Operaciones de Tecnologa -CAOTEl centro alterno de operaciones de tecnologa es el local
escogido por la empresa para operar los servicios de TI en caso
de que, por cualquier motivo, no pueda tenerse acceso a las
instalaciones normales. Es muy frecuente que el CAOT se ubique
en un centro de procesamiento contratado, ya que en el mercado
existen varios excelentes proveedores de servicios de
recuperacin y soporte.
4.- Preparacin
La preparacin de la disciplina de administracin de la continuidad de
operaciones requiere el cumplimiento de varias actividades bastante
complejas y laboriosas, como son:
Revisar los procesos del negocio y evaluar los riesgos
Identificar procesos crticos y analizar el impacto que sufrirn
esos procesos si faltan los servicios de TI
Seleccionar las estrategias de recuperacin
Captulo XII
174
Recuperacin rpida hot standbyEl mtodo de recuperacin rpida busca recuperar las
operaciones de los servicios ms importantes, dentro de un plazo
de 24 horas. Normalmente para este mtodo, el CAOT asume la
175
Captulo XII
176
Plan de recuperacin
de
de
de
Captulo XII
7.1.- Adiestramiento
Es intil disponer de unos planes de prevencin y recuperacin
concienzudamente preparados, si las personas que debern ponerlos en
prctica no estn familiarizadas con los mismos. Es indispensable que la
administracin de la continuidad de servicios de TI prepare al personal:
7.2.- Actualizacin
Tanto las polticas, estrategias y planes han de ser actualizados
peridicamente para asegurar que responden a los requisitos de la
organizacin en su conjunto.
Cualquier cambio en la infraestructura TI o en los planes de negocio
puede requerir de una profunda revisin de los planes en vigor y una
consecuente auditora que evale su adecuacin a la nueva situacin.
179
Captulo XII
180
Captulo XIII
Adm inist ra c in de
la Disponibilida d
Captulo XIII
Administracin de la disponibilidad
Tabla de contenido
1.- Qu es administracin de la disponibilidad? ..........................183
1.1.Clculo de la disponibilidad.............................................185
1.2.Ventajas ...........................................................................185
1.3.Barreras............................................................................186
2.- Requerimientos de disponibilidad ............................................186
3.- Plan de disponibilidad ..............................................................187
4.- Monitorizacin de la disponibilidad .........................................187
5.- Mediciones ...............................................................................189
6.- Evaluacin de la disciplina .......................................................189
182
Administracin de la disponibilidad
Administracin de la disponibilidad
183
Captulo XIII
184
Administracin de la disponibilidad
Captulo XIII
1.3.- Barreras
La implementacin de la disciplina de administracin de la
disponibilidad de los servicios de TI normalmente tropieza con algunas
dificultades, entre las cuales podemos distinguir las siguientes:
No existe compromiso con la disciplina dentro de la organizacin
TI.
No se hace un adecuado seguimiento de la disponibilidad de los
servicios.
No se dispone de las herramientas ni del personal adiestrado.
Los objetivos de disponibilidad no estn debidamente ajustados a
las necesidades del negocio.
Falta de coordinacin con otras disciplinas, como monitorizacin
y control, etc.
186
Administracin de la disponibilidad
Captulo XIII
permiten tener una clara visin de las diferentes fases del ciclo de vida
de la interrupcin de los servicios, con el fin de afinar los compromisos
que, en materia de niveles de disponibilidad, la organizacin TI puede
adquirir.
Desde el momento en que se presenta una interrupcin de servicio
hasta su restitucin, un incidente pasa por distintas etapas que deben ser
cuantificadas de la siguiente forma:
1. Tiempo de deteccin: es el tiempo que transcurre desde que ocurre
una falla hasta que la organizacin TI toma conocimiento de la
misma.
2. Tiempo de respuesta: es el tiempo que transcurre desde la
deteccin del problema hasta que se realiza un diagnstico del
mismo.
3. Tiempo de reparacin/recuperacin: periodo de tiempo utilizado
para reparar la falla o encontrar alguna solucin temporal que
permita poner operativo el servicio.
188
Administracin de la disponibilidad
5.- Mediciones
La administracin de la disponibilidad debe realizar un conjunto de
mediciones que permitan comprender la importancia de los factores que
intervienen en la disponibilidad del servicio, lo cual permitir prever el
los recursos que debern asignarse para mejorar, prevenir y mantener la
infraestructura, as como elaborar planes de mejora a partir del anlisis de
dichas mediciones. Entre estas podemos citar las siguientes:
1. Anlisis del impacto de la falla de un componente (CFIA Component Failure Impact Anlisis)
Este anlisis permite identificar el impacto que tiene cada tem de
configuracin en la disponibilidad de los servicios TI en los que
interviene.
2. Anlisis del rbol de fallas (FTA - Failure Tree Anlisis)
Este anlisis busca establecer la forma cmo se propagan las
fallas a travs de la infraestructura TI, con el fin de comprender
mejor las vulnerabilidades del servicio.
3. Anlisis y manejo de riesgos (RAMM - Risk Analysis and
Management Method)
El objetivo de este anlisis es identificar los riesgos y
vulnerabilidades a los que se halla expuesta la infraestructura TI,
con el objetivo de adoptar acciones de mitigacin, que permitan
reducir el riesgo o que permitan recuperar rpidamente el servicio
en caso de cualquier interrupcin.
4. Anlisis de las interrupciones de servicio (SOA - Service Outage
Anlisis)
Este anlisis tiene como propsito complementar las acciones de
administracin de problemas, con el fin de proponer soluciones a
los problemas que han causado o pueden causar interrupciones de
servicio.
Captulo XIII
190
Captulo XIV
Se gurida d de la
I nform a c in
Captulo XIV
Seguridad de la informacin
Tabla de contenido
1.- En qu consiste la administracin de seguridad?....................193
1.1.Ventajas ...........................................................................194
1.2.Barreras............................................................................195
2.- La seguridad en el nivel de la empresa.....................................195
3.- Actividades ...............................................................................197
4.- Polticas de seguridad ..............................................................198
5.- El plan de seguridad .................................................................198
6.- Cumplimiento de la normativa de seguridad ............................199
7.- Evaluacin y mantenimiento ....................................................200
8.- Evaluacin de la disciplina .......................................................201
192
Seguridad de la informacin
Seguridad de la informacin
Captulo XIV
1.1.- Ventajas
Entre las principales ventajas que aporta una adecuada implantacin
de la disciplina de administracin de seguridad de la informacin, pueden
citarse los siguientes:
Se preserva la integridad de los datos.
Se preserva la confidencialidad de los datos y la privacidad de
clientes y usuarios.
Se cumple la normativa de la empresa relacionada con la
seguridad de informacin.
194
Seguridad de la informacin
1.2.- Barreras
La implementacin de la disciplina de seguridad de la informacin
tropieza con barreras como las siguientes:
No existen polticas de seguridad en el nivel de la empresa.
No existe el suficiente compromiso de todos los miembros de la
organizacin TI con la seguridad.
Captulo XIV
2. Criterios de categorizacin
Los criterios de categorizacin, permiten establecer cuando un
documento, reporte, memorando, plano, registro de base de datos,
etc. es estrictamente confidencial, confidencial, slo para uso interno
o pblico.
Las empresas acostumbran a identificar en forma visible la categora
de seguridad de cada documento. As, por ejemplo, veremos
memorandos en los que aparecen claramente visibles las palabras
confidencial o slo uso interno; anlogamente, las aplicaciones
hacen una indicacin similar en los reportes que imprimen.
3. Procedimientos
Los procedimientos establecen qu normas deben cumplirse para
proteger la informacin, de acuerdo con su categora. As mismo,
establecen qu funcionarios, de acuerdo con su nivel, pueden tener
acceso a informacin clasificada como estrictamente confidencial o
confidencial.
Adicionalmente, los procedimientos tambin establecen las
responsabilidades que cada funcionario tiene sobre la informacin a
la que accede y los pasos que debern darse para cumplir con la
normativa al utilizar la informacin
4. Funcionarios de seguridad por rea funcional
Una vez que en el nivel de la empresa se establecen normas y
procedimientos de seguridad, normalmente, se establecen las
funciones del coordinador de seguridad de cada rea del negocio,
quien ser responsable de velar por la adecuada clasificacin de los
documentos e informacin del rea, de verificar que los
procedimientos de seguridad son viables para su rea y de velar por
su cumplimiento.
Es costumbre que este rol opere en estrecho contacto con el
administrador de seguridad en TI, ya que tendr como
responsabilidad autorizar o revocar los niveles de acceso que se
otorguen a los funcionarios de su rea, con el fin de poder tener
acceso a servicios y aplicaciones, de acuerdo con sus
responsabilidades.
196
Seguridad de la informacin
3.- Actividades
La administracin de la seguridad esta estrechamente relacionada con
todas las disciplinas de administracin y todos los procesos de TI, por lo
que para resultar exitosa requiere el concurso y la colaboracin de toda la
organizacin.
Para que esa colaboracin sea eficaz es necesario que la
administracin de la seguridad:
Establezca una clara y definida poltica de seguridad que sirva de
gua a todos los otros procesos.
Elabore un plan de seguridad que incluya los niveles de seguridad
adecuados tanto en los servicios prestados a los clientes como en
los acuerdos de servicio firmados con proveedores internos y
externos.
Implemente el plan de seguridad.
Monitorice y evale el cumplimiento de dicho plan.
197
Captulo XIV
Seguridad de la informacin
Indicadores Clave
Siempre que sea posible deben definirse mtricas e indicadores
clave que permitan evaluar los niveles de seguridad y el
cumplimiento de las normas.
199
Captulo XIV
200
Seguridad de la informacin
201
Captulo XIV
202
Captulo XV
M e dic in
Captulo XIV
Medicin
Tabla de contenido
1.En qu consiste la medicin de los servicios de TI?............205
1.1.- Por qu medir? .................................................................206
1.2.- Qu debemos medir?........................................................207
1.3.- Quines participan en la medicin? .................................207
1.4.- Criterios para definir indicadores ......................................207
1.5.- Interpretacin de indicadores.............................................208
2.Uso de los indicadores ...........................................................209
3.Algunos indicadores o mediciones ........................................211
204
Seguridad de la informacin
Medicin
Qu indicadores se requieren?
205
Captulo XIV
206
Seguridad de la informacin
Captulo XIV
208
Seguridad de la informacin
Captulo XIV
210
Seguridad de la informacin
211
Captulo XIV
212223-
24252627282930313233343536373839404142-
212
Seguridad de la informacin
43444546474849-
Horizonte de planificacin
Tiempo promedio para atender un requerimiento del negocio
con soluciones de TI relevantes, por nivel de costo
Cantidad de suspensiones de servicio no planificadas
ocasionadas por cambios realizados
Cantidad de suspensiones de servicio no planificadas
ocasionadas por implementacin de versiones
Tiempo promedio para implementar un cambio en el
ambiente de produccin
Tiempo promedio para implementar una nueva versin en el
ambiente de produccin
Tiempo promedio para resolver una interrupcin de servicio
213
Anexo I
I m pla nt a c in de la s Disc iplina s de
Adm inist ra c in de Se rvic ios de T I
5. Centro de atencin
6. Manejo de incidentes
7. Manejo de problemas
Fase III.- En una tercera fase debera implementarse la
disciplina de:
8. Administracin de versiones
Fase IV.- En una cuarta fase debera implementarse la
disciplina de:
9. Monitorizacin y control
Fase V.- En la quinta fase debera implementarse la disciplina
de:
10. Administracin de la disponibilidad
11. Administracin de la capacidad
12. Administracin de niveles de servicio Catlogo de servicios
13. Administracin financiera de los servicios TI
Fase VI.- En la fase final completarse el proyecto
implementando las disciplinas de:
14. Administracin de niveles de servicio
Para cada fase y cada disciplina, al preparar los planes de trabajo, ser
fundamental cumplir un proceso de evaluacin y seleccin de
herramientas. Claro est, que si se selecciona una herramienta de gran
alcance como son Tvoli o Unicenter, slo ser necesario para cada
disciplina, revisar la forma como los mdulos correspondientes sern
utilizados.
Cada disciplina, a su vez, debe implementarse por etapas, ya que es
poco probable que de un solo golpe pueda cubrirse el alcance completo
para cada disciplina. A ttulo de ejemplos veamos la forma como
podemos definir las etapas para la disciplina de administracin de la
seguridad de informacin:
1.
Asignacin de responsables para la administracin de la disciplina.
2.
Creacin de responsables de seguridad en cada una de las reas del
negocio (coordinador funcional de seguridad).
3.
Establecer procedimientos para la cooperacin entre el
administrador de seguridad, los coordinadores de seguridad por
rea del negocio y el administrador de la red, con el fin coordinar la
creacin de nuevos usuarios, cambio de niveles de autoridad y
214
216
Anexo II
COBI T
Proc e sos de T I
I - PLANIFICACIN Y ORGANIZACIN
1. Definicin de un plan estratgico de TI
2. Definicin de la arquitectura de Informacin
3. Determinacin de la direccin tecnolgica
4. Definicin de la organizacin y de las relaciones de TI
5. Manejo de la Inversin en TI
6. Comunicacin de la direccin y expectativas de la gerencia
7. Administracin de recursos humanos
8. Asegurar el cumplimiento de requerimientos externos
9. Evaluacin de Riesgos
10. Administracin de proyectos
11. Administracin de calidad
II - ADQUISICIN E IMPLEMENTACIN
1.
2.
3.
4.
5.
6.
Identificacin de soluciones
Adquisicin y mantenimiento de software de aplicaciones
Adquisicin y mantenimiento de arquitectura de tecnologa
Desarrollo y mantenimiento de procedimientos
Instalacin y acreditacin de sistemas
Administracin de cambios
IV - SEGUIMIENTO
1.
2.
3.
4.
218
Anexo III
COBI T
Re la c ione s de los Obje t ivos de Cont rol
Dom inios, Proc e sos y Obje t ivos de
Cont rol
En COBIT se define control como:
El conjunto de polticas, procedimientos, prcticas y
estructuras organizativas diseadas para crear una seguridad
razonable de que se lograrn los objetivos del negocio y de
que se toman acciones para detectar, prevenir o corregir los
efectos de eventos indeseables.
Anlogamente, objetivo de control se define como:
Una declaracin del resultado deseado o propsito a ser
alcanzado, implementando procedimientos de control en
alguna actividad particular.
A continuacin se listan los objetivos de control que establece COBIT,
relacionados con los procesos de TI.
I - PLANIFICACIN Y ORGANIZACIN
1. Definicin de un plan estratgico de TI
OC-1.1.
OC-1.2.
OC-1.3.
OC-1.4.
OC-1.5.
OC-1.6.
OC-2.1.
OC-2.2.
OC-2.3.
OC-2.4.
Niveles de seguridad
OC-3.2.
OC-3.3.
OC-3.4.
OC-3.5.
Estndares de tecnologa
220
OC-4.1.
OC-4.2.
OC-4.3.
OC-4.4.
Funciones y responsabilidades
OC-4.5.
OC-4.6.
OC-4.7.
Propiedad y custodia
OC-4.8.
OC-4.9.
Supervisin
OC-4.10.
Segregacin de funciones
OC-4.11.
OC-4.12.
OC-4.13.
Personal clave de TI
OC-4.14.
OC-4.15.
Relaciones
5. Manejo de la Inversin en TI
OC-5.1.
OC-5.2.
OC-5.3.
OC-6.2.
OC-6.3.
OC-6.4.
OC-6.5.
Mantenimiento de polticas
OC-6.6.
OC-6.7.
OC-6.8.
OC-6.9.
OC-6.10.
Polticas especficas
OC-6.11.
OC-7.2.
Personal calificado
OC-7.3.
Entrenamiento de personal
OC-7.4.
OC-7.5.
OC-7.6.
OC-7.7.
OC-8.2.
OC-8.3.
OC-8.4.
OC-8.5.
Comercio electrnico
OC-8.6.
9. Evaluacin de Riesgos
OC-9.1.
OC-9.2.
OC-9.3.
Identificacin de riesgos
OC-9.4.
Medicin de riesgos
OC-9.5.
OC-9.6.
Aceptacin de riesgos
OC-9.7.
OC-9.8.
222
OC-10.1.
OC-10.2.
OC-10.3.
OC-10.4.
OC-10.5.
OC-10.6.
OC-10.7.
OC-10.8.
OC-10.9.
OC-11.2.
OC-11.3.
OC-11.4.
OC-11.5.
OC-11.6.
OC-11.7.
OC-11.8.
Coordinacin y comunicacin
OC-11.9.
223
II - ADQUISICIN E IMPLEMENTACIN
1. Identificacin de soluciones
OC-1.1.
OC-1.2.
OC-1.3.
OC-1.4.
OC-1.5.
OC-1.6.
OC-1.7.
Arquitectura de informacin
OC-1.8.
OC-1.9.
OC-1.10.
OC-1.11.
Ergonoma
OC-1.12.
OC-1.13.
OC-1.14.
OC-1.15.
OC-1.16.
OC-1.17.
Aceptacin de facilidades
OC-1.18.
Aceptacin de tecnologa
Mtodos de diseo
OC-2.2.
OC-2.3.
OC-2.4.
OC-2.5.
Especificaciones de programas
OC-2.6.
OC-2.7.
OC-2.8.
Definicin de interfases
OC-2.9.
Interfases usuario-mquina
OC-2.10.
OC-2.11.
OC-2.12.
Controlabilidad
OC-2.13.
OC-2.14.
OC-2.15.
OC-2.16.
OC-2.17.
OC-3.2.
OC-3.3.
OC-3.4.
OC-3.5.
OC-3.6.
OC-3.7.
OC-4.2.
OC-4.3.
Manual de operaciones
OC-4.4.
Material de entrenamiento
Entrenamiento
OC-5.2.
OC-5.3.
Plan de implementacin
OC-5.4.
OC-5.5.
Conversin de datos
OC-5.6.
OC-5.7.
Pruebas de cambios
OC-5.8.
OC-5.9.
OC-5.10.
OC-5.11.
Prueba operacional
OC-5.12.
Migracin a produccin
OC-5.13.
OC-5.14.
6. Administracin de cambios
226
OC-6.1.
OC-6.2.
Evaluacin de impacto
OC-6.3.
Control de cambios
OC-6.4.
Cambios de emergencia
OC-6.5.
Documentacin y procedimientos
OC-6.6.
Mantenimiento autorizado
OC-6.7.
OC-6.8.
Distribucin de software
OC-1.2.
OC-1.3.
Procedimientos de ejecucin
OC-1.4.
Monitorizacin y reporte
OC-1.5.
OC-1.6.
OC-1.7.
OC-2.2.
OC-2.3.
OC-2.4.
Calificacin de terceros
OC-2.5.
Contratos de outsourcing
OC-2.6.
Continuidad de servicios
OC-2.7.
Relaciones de seguridad
OC-2.8.
Monitorizacin
OC-3.2.
Plan de disponibilidad
OC-3.3.
Monitorizacin y reporte
OC-3.4.
Herramientas de modelaje
OC-3.5.
OC-3.6.
OC-3.7.
OC-3.8.
Disponibilidad de Recursos
OC-3.9.
OC-4.2.
OC-4.3.
OC-4.4.
OC-4.5.
OC-4.6.
OC-4.7.
OC-4.8.
OC-4.9.
OC-4.10.
Recursos crticos de TI
OC-4.11.
OC-4.12.
OC-4.13.
228
OC-5.1.
OC-5.2.
OC-5.3.
OC-5.4.
OC-5.5.
OC-5.6.
OC-5.7.
Vigilancia de la seguridad
OC-5.8.
Clasificacin de datos
OC-5.9.
OC-5.10.
OC-5.11.
Manejo de incidentes
OC-5.12.
Reacreditacin
OC-5.13.
Confianza en contrapartes
OC-5.14.
Autorizacin de transacciones
OC-5.15.
No rechazo
OC-5.16.
Sendero seguro
OC-5.17.
OC-5.18.
OC-5.19.
OC-5.20.
OC-5.21.
OC-6.2.
Procedimientos de costeo
OC-6.3.
OC-7.2.
Organizacin de entrenamiento
OC-7.3.
Escritorio de ayuda
OC-8.2.
OC-8.3.
OC-8.4.
OC-8.5.
9. Administracin de la configuracin
OC-9.1.
Registro de la configuracin
OC-9.2.
OC-9.3.
Registro de estatus
OC-9.4.
Control de configuraciones
OC-9.5.
Software no autorizado
OC-9.6.
Almacenamiento de software
OC-9.7.
OC-9.8.
OC-10.2.
Escalamiento de problemas
OC-10.3.
OC-10.4.
OC-10.5.
230
OC-11.1.
OC-11.2.
OC-11.3.
OC-11.4.
OC-11.5.
OC-11.6.
OC-11.7.
OC-11.8.
OC-11.9.
Seguridad fsica
231
OC-12.2.
OC-12.3.
Escolta de visitantes
OC-12.4.
OC-12.5.
OC-12.6.
OC-13.2.
OC-13.3.
Calendarios de trabajos
OC-13.4.
OC-13.5.
Continuidad de procesamiento
OC-13.6.
Bitcoras de operacin
OC-13.7.
OC-13.8.
Operaciones remotas
IV - SEGUIMIENTO
1. Monitorizacin del proceso
OC-1.1.
OC-1.2.
Evaluacin de desempeo
OC-1.3.
OC-1.4.
Reportes gerenciales
232
OC-2.1.
OC-2.2.
OC-2.3.
OC-2.4.
OC-3.2.
OC-3.3.
OC-3.4.
OC-3.5.
OC-3.6.
OC-3.7.
OC-3.8.
Esquemas de auditora
OC-4.2.
Independencia
OC-4.3.
OC-4.4.
Competencia
OC-4.5.
Planificacin
OC-4.6.
OC-4.7.
Reportes de auditora
OC-4.8.
Actividades de seguimiento
233
234
Bibliogra fa
K. Brand & H. Boonen (2008). IT Governance CobiT 4.1 - A
Management Guide 3rd Edition. Van Haren Publishing. Holanda.
COBIT - Publicaciones del COBIT Steering Committee y del IT
Governance Institute
James W. Cortada (1998). Best Practices in Information
Technology. Prentice Hall PTR. Van Haren Publishing. Estados
Unidos.
B. Johnson & J. Higgin (2007). ITIL and the Software Lifecycle:
Practical Strategy and Design Principles. Van Haren Publishing.
Holanda.
Info Tech Research Group (2005). Building a comprehensive
Disaster Recovery Plan. Canad.
Harris Kern, Rich Schiesser, Mayra Muniz (2005). IT Production
Services Building Competitive Advantage. Harris Kern's Enterprise
Computing Institute Series. Estados Unidos.
Harris Kern and Kenneth Moskowitz (2005). Managing IT as an
Investment: Partnering for Success. Harris Kern's Enterprise
Computing Institute Series. Estados Unidos.
itSMF International (2006). Metrics for IT Service Management.
Van Haren Publishing. Estados Unidos.
Larry Klosterboer (2008). Implementing ITIL Configuration
Management. IBM Press. Estados Unidos
235
236
237
238